防火牆政策規則記錄總覽

您可以根據防火牆政策規則記錄，進一步稽核、驗證及分析防火牆政策規則的成效。舉例來說，您可以判斷用來拒絕流量的防火牆政策規則是否正常運作。需要瞭解特定防火牆政策規則影響的連線數量時，這項功能也能派上用場。

您必須為需要記錄連線的每項防火牆政策規則，個別啟用防火牆政策規則記錄功能。無論防火牆政策規則的動作 (allow 或 deny) 或方向 (ingress 或 egress) 為何，您都可以選擇記錄防火牆政策規則。

防火牆政策規則記錄功能會記錄Compute Engine 虛擬機器 (VM) 執行個體的往來流量。包括以 Compute Engine VM 為基礎建構的產品，例如 Google Kubernetes Engine (GKE) 叢集和 Google Kubernetes Engine 彈性環境執行個體。 Google Cloud

啟用防火牆政策規則的記錄功能後， Google Cloud 會在規則允許或拒絕流量時，建立名為「連線記錄」的項目。您可以在 Cloud Logging 中查看這些記錄，並將記錄檔匯出至 Cloud Logging 匯出功能支援的任何目的地。

每筆連線記錄都包含來源和目的地 IP 位址、通訊協定和通訊埠、日期和時間，以及適用於流量的防火牆政策規則參照。

如要瞭解如何查看記錄，請參閱「管理防火牆政策規則記錄」。

規格

防火牆政策規則適用的規範如下：

• 支援的部署作業：您可以為與一般虛擬私有雲網路相關聯的階層式、全域網路、區域網路和區域系統防火牆政策，以及與 RoCE 虛擬私有雲網路相關聯的區域網路防火牆政策，啟用防火牆政策規則記錄。

• 不支援的規則：防火牆政策規則記錄不支援舊版網路中的規則、一般虛擬私有雲網路中的默示拒絕輸入和默示允許輸出規則，或 RoCE 虛擬私有雲網路的默示允許輸入和輸出規則。

• 通訊協定支援：防火牆政策規則記錄只會記錄 TCP 和 UDP 連線。如要監控其他通訊協定，請考慮使用頻外整合。

• 以連線為準的記錄：建立連線時會建立防火牆政策規則記錄，而非針對每個封包建立記錄。只要每 10 分鐘至少交換一次封包，連線就算有效。每個新封包都會重設閒置計時器。因此，持續的流量串流在整個期間只會產生一筆記錄。如要持續掌握長期運作的有效串流，且沒有閒置期，請使用 VPC 流量記錄。

• 現有連線：如果您在符合已啟用 TCP 或 UDP 連線的規則上啟用記錄功能，系統不會產生新的記錄項目。只有在連線閒置至少 10 分鐘後，又傳送新的封包時，防火牆政策規則才會記錄連線。

• 允許和拒絕行為：

  • 允許 + 記錄：系統只會記錄一次允許的連線，即使連線持續存在，也不會重複記錄項目，因為防火牆規則是有狀態的，系統會自動允許回覆流量，且不會記錄。

  • 拒絕 + 記錄：系統會將每個對應於唯一 5 元組數的捨棄封包，記錄為一次失敗的嘗試。只要遭拒連線中還有封包，就不會每 5 秒重複一次記錄項目。

• 記錄產生角度：只有在防火牆政策規則已啟用記錄，且該規則套用至 VM 傳送或接收的流量時，系統才會建立記錄項目。系統會根據連線記錄限制建立項目。

• 速率限制：每個時間單位記錄的連線數量取決於一般虛擬私有雲網路的 VM 機型，或是 RoCE 虛擬私有雲網路的規則監控或記錄動作。詳情請參閱「連線記錄限制」和「監控和記錄」。

• 進階檢查的工作階段式邏輯：當防火牆政策使用進階 apply_security_profile_group 動作時，記錄行為會從連線式邏輯轉為工作階段式邏輯。

  即使多個基礎連線屬於同一個工作階段，Cloud NGFW 仍會為符合規則並成功攔截以進行封包深度檢查的起始工作階段，產生單一高階記錄項目。這類高階防火牆記錄與詳細的第 7 層記錄不同，例如系統會為每個檢查的連線產生網址篩選或威脅記錄。

• 不重複動作和處置：只有 Cloud NGFW 政策記錄檔可以記錄 INTERCEPTED 處置和 APPLY_SECURITY_PROFILE_GROUP 動作。如果使用這項動作，系統會記錄額外欄位 (apply_security_profile_fallback_action)。

• 稽核記錄：您可以在 Cloud NGFW 稽核記錄中，查看防火牆政策規則的設定變更。詳情請參閱「Cloud NGFW 稽核記錄」。

限制

• 啟用記錄功能後，如果使用 apply_security_profile_group 動作，Cloud NGFW 不會擷取所有工作階段的記錄。這項限制不會影響流量檢查或攔截。

• 如果您為符合現有 TCP 或 UDP 連線的防火牆政策規則啟用記錄功能，系統不會為這些有效連線產生記錄項目。這些連線閒置至少 10 分鐘後，系統才會開始記錄。

• 指定 IP 通訊協定 (IpPortInfo.ip_protocol) 時，防火牆政策規則的值不能設為 ALL。

• 防火牆政策規則不支援記錄舊版中繼資料欄位，具體來說是 source_tag、target_tag、source_service_account 和 target_service_accounts。

後續步驟

• 管理防火牆政策規則記錄。
• 防火牆政策規則記錄範例。
• Cloud Logging 總覽。
• 排解防火牆政策規則記錄檔問題。