Administra el registro de reglas de firewall de VPC

En esta página, se muestra cómo inhabilitar y habilitar el registro para las reglas de firewall de VPC. Para obtener instrucciones sobre el registro de las reglas de firewall de la nube privada virtual (VPC), consulta Cómo habilitar y deshabilitar el registro de reglas de firewall de VPC. También puedes aprender a ver los registros generados para las reglas de firewall de VPC. Para comprender el registro de reglas de firewall de VPC, consulta la Descripción general del registro de reglas de firewall de VPC.

Si habilitas el registro en una regla de firewall de VPC, puedes ver estadísticas y recomendaciones para la regla desde Estadísticas de firewall. Para obtener más información, consulta Firewall Insights en la documentación de Network Intelligence Center.

Permisos

Para modificar las reglas de firewall de VPC o los registros de acceso, los principales de Identity and Access Management (IAM) necesitan uno de los siguientes roles.

Habilita e inhabilita el registro de reglas de firewall de VPC

Cuando creas una regla de firewall de VPC, puedes habilitar el registro de reglas de firewall de VPC. Para obtener más información, consulta Crea reglas de firewall de VPC.

Cuando habilitas el registro, puedes especificar si deseas incluir campos de metadatos. Si los omites, puedes ahorrar en costos de almacenamiento. Para habilitar o inhabilitar el registro de reglas de firewall de VPC para una regla de política de firewall existente, consulta las siguientes secciones.

Habilita el registro de reglas de firewall de VPC

gcloud compute firewall-rules update RULE_NAME \
    --enable-logging \
    --logging-metadata=LOGGING_METADATA

resource "google_compute_firewall" "rules" {
  project     = var.project_id # Replace this with your project ID in quotes
  name        = "my-firewall-rule"
  network     = "default"
  description = "Creates firewall rule targeting tagged instances"

  log_config {
    metadata = "INCLUDE_ALL_METADATA"
  }

  allow {
    protocol = "tcp"
    ports    = ["80", "8080", "1000-2000"]
  }
  target_tags = ["web"]
}

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": true,
    "metadata": "LOGGING_METADATA"
  }
}

Inhabilita el registro de reglas de firewall de VPC

gcloud compute firewall-rules update RULE_NAME \
    --no-enable-logging

PATCH https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/firewalls/RULE_NAME
{
  "name": "RULE_NAME",
  "logConfig": {
    "enable": false
  }
}

Ver registros

Los registros de las reglas de políticas de firewall se crean en el proyecto que aloja la red que contiene las instancias de VM y las reglas de firewall. Con la VPC compartida, creas instancias de VM en proyectos de servicio, pero estas instancias usan una red de VPC compartida ubicada en el proyecto host. En estos casos, el proyecto host almacena los registros de las reglas de la política de firewall.

Los registros de reglas de firewall de VPC se crean en el proyecto que aloja la red que contiene las instancias de VM y las reglas de firewall de VPC. Con la VPC compartida, creas instancias de VM en proyectos de servicio, pero estas instancias usan una red de VPC compartida ubicada en el proyecto host. En estos casos, el proyecto host almacena los registros de las reglas de la política de firewall.

Para ver los registros de las reglas de firewall de VPC, usa la sección Explorador de registros de la consola de Google Cloud . Para obtener más información, consulta Visualiza y analiza registros.

Las siguientes consultas demuestran cómo puedes buscar eventos de firewall de VPC específicos.

Ver todos los registros de firewall

Para ver los registros de las reglas de firewall de VPC, usa una de las siguientes opciones.

Visualiza los registros de subredes específicas

Para ver los registros de reglas de firewall de VPC de subredes específicas, usa una de las siguientes opciones.

Visualiza registros en VM específicas

Para ver los registros de reglas de firewall de VPC de VMs específicas, usa una de las siguientes opciones.

Visualiza los registros de las conexiones de un país específico

Para ver los registros de reglas de firewall de VPC de un país específico, haz lo siguiente:

1. En la consola de Google Cloud , accede a la página Explorador de registros.

   Ve al Explorador de registros

2. Pega lo siguiente en el campo del editor de consultas.

   resource.type="gce_subnetwork"
   logName="projects/PROJECT_ID/logs/compute.googleapis.com%2Ffirewall"
   jsonPayload.remote_location.country=COUNTRY
   

   Reemplaza lo siguiente:

   • PROJECT_ID: Es el ID del proyecto.
   • COUNTRY: Código ISO 3166-1 alpha-3 del país del que deseas ver los registros

3. Si no ves el campo del editor de consultas, haz clic en el botón de activación Mostrar consulta.

4. Haz clic en Ejecutar consulta.

Exporta registros

Para exportar registros de reglas de firewall de VPC, consulta Enruta registros a destinos compatibles. Puedes usar las consultas de ejemplo para limitar los registros que exportas.

Tabla de interacciones

• En el caso de la comunicación de VM a VM, ambas VM pueden generar registros, según sus respectivas reglas de firewall.
• La conexión registrada incluye paquetes que circulan en ambos sentidos si el firewall permitió el paquete inicial.
• Para una VM determinada, las conexiones entrantes se comparan con las reglas de firewall configuradas en esa VM, y las conexiones salientes se comparan con la regla de firewall de salida configurada en esa VM.
• Una conexión permitida que coincide con una regla de firewall con la indicación "permitir y registrar" se registra solo una vez. La entrada de registro no se repite cada 5 segundos, incluso si la conexión perdura.
• Una conexión denegada que coincide con una regla de firewall con la indicación "denegada y registrar" repite la entrada de registro cada 5 segundos mientras haya paquetes observados en esa conexión denegada.
• Si habilitas el registro en una regla de firewall que coincide con una conexión TCP o UDP ya activa, no se generará una nueva entrada de registro. Solo se crea una entrada de registro si la conexión permanece inactiva durante al menos 10 minutos y se envía un paquete nuevo en la misma conexión. En el caso del tráfico continuo con períodos de inactividad inferiores a 10 minutos, solo se genera una entrada de registro para la conexión.

En esta tabla se muestra el comportamiento del registro de firewall desde el punto de vista de una VM única.

Si una VM1 tiene una regla de entrada R1 que coincide con los paquetes y una regla de salida R2 que también coincide con los paquetes, el comportamiento del registro de firewall es el siguiente:

Ten en cuenta que la entrada y salida son simétricas.

Esta es la descripción detallada de la semántica de los registros de firewall:

• Permitir + registrar (el registro solo es compatible con TCP y UDP)

  • La conexión iniciada en la dirección en la que se aplica la regla crea un registro único.
  • Se permite el tráfico de respuesta debido al seguimiento de la conexión. El tráfico de respuesta no genera ningún registro, independientemente de las reglas de firewall de VPC en esa dirección.
  • Si la conexión expira desde el firewall (inactiva durante 10 minutos o RST de TCP recibido), es posible que otro paquete en cualquier dirección active el registro.
  • El registro se basa en 5 tuplas. Los marcadores de TCP no influyen en el comportamiento del registro.

• Denegar + registrar (el registro solo es compatible con TCP y UDP)

  • Los paquetes se descartan (no se inicia ninguna conexión).
  • Cada paquete que corresponde a una tupla única de 5 se registra como un intento de conexión con errores.
  • La misma tupla de 5 se vuelve a registrar cada 5 segundos si continúa recibiendo paquetes.

¿Qué sigue?

• Administra el registro de reglas de políticas de firewall
• Descripción general de Cloud Logging
• Enruta registros a destinos compatibles.