El registro de reglas de firewall de VPC te permite auditar, verificar y analizar los efectos de tus reglas de firewall de VPC. Por ejemplo, puedes determinar si una regla de firewall de VPC diseñada para denegar tráfico está funcionando según lo previsto. El registro de reglas de firewall de VPC también es útil si necesitas determinar cuántas conexiones se ven afectadas por una regla de firewall de VPC determinada.
Habilita el registro de las reglas de firewall de VPC de forma individual para las reglas cuyas conexiones debas registrar. El registro de las reglas de firewall de VPC es una opción que se puede aplicar a cualquier regla de firewall de VPC, sin importar la acción (allow o deny) o la dirección (ingress o egress) de la regla.
El registro de reglas de firewall de VPC registra el tráfico desde y hacia las instancias de máquina virtual (VM) de Compute Engine. Esto incluye Google Cloud productos compilados en VMs de Compute Engine, como clústeres de Google Kubernetes Engine (GKE) e instancias del entorno flexible de Google Kubernetes Engine.
Cuando habilitas el registro para una regla de firewall de VPC, Google Cloud se crea una entrada llamada registro de conexión cada vez que la regla permite o rechaza tráfico. Puedes ver estos registros en Cloud Logging, y exportarlos a cualquier destino que admita la exportación de Cloud Logging.
Cada registro de conexión contiene las direcciones IP de origen y de destino; el protocolo y los puertos; la fecha y la hora, y una referencia a la regla de firewall de VPC que se aplica al tráfico.
Para obtener información sobre cómo ver los registros, consulta Administra el registro de reglas de firewall de VPC.
Especificaciones
El registro de las reglas de firewall de VPC tiene las siguientes especificaciones:
Implementaciones compatibles: Puedes habilitar el registro de reglas de firewall de VPC para las reglas de firewall de VPC dentro de las políticas de firewall jerárquicas, de red global, regionales de red y de sistema regional asociadas con una red de VPC normal, y las políticas de firewall de red regionales asociadas con una red de VPC de RoCE.
Reglas no compatibles: El registro de reglas de firewall de VPC no es compatible con las reglas de redes heredadas, las reglas de denegación de entrada implícita y de permiso de salida implícito en una red de VPC normal, o las reglas de permiso de entrada y salida implícito de una red de VPC de RoCE.
Compatibilidad con protocolos: El registro de reglas de firewall de VPC solo registra las conexiones
TCPyUDP. Si deseas supervisar otros protocolos, considera usar la integración fuera de banda.Registro basado en conexiones: El registro de reglas de firewall de VPC se crea cuando se establece una conexión, no para cada paquete individual. Una conexión permanece activa mientras se intercambien paquetes al menos una vez cada 10 minutos. Cada paquete nuevo restablece el temporizador de inactividad. Por lo tanto, una transmisión continua de tráfico genera solo una entrada de registro durante toda su duración. Si necesitas visibilidad continua en transmisiones activas, de larga duración sin períodos de inactividad, usa los registros de flujo de VPC.
Conexiones existentes: Si habilitas el registro en una regla que coincide con una conexión ya activa
TCPoUDP, no se genera una entrada de registro nueva. La regla de firewall de VPC registra la conexión solo si permanece inactiva durante al menos 10 minutos y, luego, se envía un paquete nuevo.Comportamiento de permitir y denegar:
Permitir + registro: Una conexión permitida se registra solo una vez, y la entrada no se repite, incluso si la conexión perdura, porque las reglas de firewall tienen estado, el tráfico de respuesta se permite automáticamente y no se registra.
Denegar + registro: Cada paquete descartado que corresponde a una tupla única de 5 se registra como un intento fallido. La entrada de registro se repite cada 5 segundos mientras se observen paquetes para esa conexión denegada.
Perspectiva de generación de registros: Las entradas de registro solo se crean si una regla de firewall de VPC tiene el registro habilitado y si la regla se aplica al tráfico enviado hacia o desde la VM. Las entradas se crean según los límites de registro de conexiones.
Límites de frecuencia: la cantidad de conexiones registradas por unidad de tiempo está determinada por el tipo de máquina de la VM para las redes de VPC normales o por la acción de supervisión o registro de la regla para las redes de VPC de RoCE. Para obtener más información, consulta Límites de registro de conexiones y Supervisión y registro
Alcance heredado: El registro de reglas de firewall de VPC solo se aplica a las reglas de firewall de VPC heredadas que operan dentro de una red de VPC normal.
Límites de protocolo: El registro de reglas de firewall de VPC heredadas admite la configuración de el campo de protocolo IP en
ALL.Registros de auditoría: puedes ver los cambios de configuración en la regla de firewall de VPC en los registros de auditoría de VPC. Para obtener más información, consulta Registros de auditoría de VPC.
Limitaciones
El registro de reglas de firewall de VPC es un formato heredado y no admite el registro de campos de metadatos avanzados de Cloud NGFW, como los siguientes:
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag
¿Qué sigue?
- Administra el registro de reglas de firewall de VPC.
- Ejemplos de registro de reglas de firewall de VPC.
- Formato de registro de reglas de firewall de VPC.
- Descripción general de Cloud Logging.