סקירה כללית של רישום ביומן של כללי חומת אש ב-VPC

רישום ביומן של כללי חומת אש ב-VPC מאפשר לכם לבצע ביקורת, לאמת ולנתח את ההשפעות של כללי חומת האש ב-VPC. לדוגמה, אתם יכולים לבדוק אם כלל חומת אש ב-VPC שנועד לדחות תעבורה פועל כמו שרציתם. רישום ביומן של כללי חומת האש ב-VPC שימושי גם אם אתם רוצים לדעת כמה חיבורים מושפעים מכלל מסוים של חומת האש ב-VPC.

מפעילים את הרישום ביומן של כללי חומת האש של VPC בנפרד לכל כלל של חומת אש של VPC שאתם רוצים לרשום ביומן את החיבורים שלו. אפשר להפעיל את האפשרות 'רישום ביומן של כללי חומת אש ב-VPC' לכל כלל של חומת אש ב-VPC, בלי קשר לפעולה (allow או deny) או לכיוון (ingress או egress) של הכלל.

רישום ביומן של כללי חומת אש ב-VPC מתעד את התעבורה אל מכונות וירטואליות (VM) ב-Compute Engine וממנה. זה כולל Google Cloud מוצרים שמבוססים על מכונות וירטואליות ב-Compute Engine, כמו אשכולות של Google Kubernetes Engine ‏ (GKE) ומכונות של הסביבה הגמישה של Google Kubernetes Engine.

כשמפעילים רישום ביומן לכלל חומת אש ב-VPC, Google Cloud נוצרת רשומה שנקראת רשומת חיבור בכל פעם שהכלל מאפשר או חוסם תעבורת נתונים. אפשר לראות את הרשומות האלה ב-Cloud Logging, ואפשר לייצא יומנים לכל יעד שנתמך בייצוא של Cloud Logging.

כל רשומה של חיבור מכילה את כתובות ה-IP של המקור והיעד, את הפרוטוקול והיציאות, את התאריך והשעה והפניה לכלל חומת האש של ה-VPC שחל על התעבורה.

מידע על צפייה ביומנים זמין במאמר ניהול רישום ביומן של כללים של חומת אש ב-VPC.

מפרטים

המאפיינים של רישום ביומן של כללי חומת אש ב-VPC:

  • פריסות נתמכות: אפשר להפעיל רישום ביומן של כללי חומת אש של VPC ברשתות היררכיות, גלובליות ואזוריות, ובמדיניות אזורית של חומת אש של המערכת שמשויכת לרשת VPC רגילה, ובמדיניות אזורית של חומת אש של רשת שמשויכת לרשת VPC מסוג RoCE.

  • כללים שלא נתמכים: לא ניתן לתעד כללים של חומת אש ב-VPC ברשתות מדור קודם, כללים משתמעים לדחייה של תעבורת נתונים נכנסת (ingress) או לאישור של תעבורת נתונים יוצאת (egress) ברשת VPC רגילה, או כללים משתמעים לאישור של תעבורת נתונים נכנסת (ingress) או יוצאת (egress) ברשת VPC של RoCE.

  • תמיכה בפרוטוקולים: ביומן של כללי חומת האש ב-VPC מתועדים רק חיבורים מסוג TCP ו-UDP. אם רוצים לעקוב אחרי פרוטוקולים אחרים, כדאי להשתמש בשילוב מחוץ לפס.

  • רישום ביומן לפי חיבור: רישום ביומן של כללי חומת אש ב-VPC נוצר כשחיבור נוצר, ולא עבור כל מנה בנפרד. החיבור נשאר פעיל כל עוד מתבצעת החלפת מנות לפחות פעם ב-10 דקות. כל מנה חדשה מאפסת את טיימר ההמתנה. לכן, זרם רציף של תנועת גולשים יוצר רק רשומה אחת ביומן למשך כל הפעילות שלו. אם אתם צריכים לראות באופן רציף את הסטרימינג הפעיל לטווח ארוך בלי תקופות של חוסר פעילות, תוכלו להשתמש ב-VPC Flow Logs.

  • חיבורים קיימים: אם מפעילים רישום ביומן בכלל שתואם לחיבור TCP או UDP שכבר פעיל, לא נוצר רשומה חדשה ביומן. כלל חומת האש של ה-VPC מתעד את החיבור רק אם הוא נשאר במצב בלי פעילות למשך 10 דקות לפחות, ואחרי כן נשלחת מנה חדשה.

  • התנהגות של אישור ודחייה:

    • Allow + Logging: חיבור מותר נרשם ביומן פעם אחת בלבד, והערך לא חוזר על עצמו גם אם החיבור נמשך, כי כללי חומת האש הם עם שמירת מצב, תעבורת תשובות מותרת באופן אוטומטי ולא נרשמת ביומן.

    • Deny + Logging: כל מנה שהוסרה בהתאם ל-5-tuple ייחודית מתועדת כניסיון כושל. רשומת היומן חוזרת כל 5 שניות כל עוד נצפים מנות עבור החיבור שנדחה.

  • היבט יצירת היומן: רשומות ביומן נוצרות רק אם הופעל רישום ביומן של כלל חומת אש של VPC, ואם הכלל חל על תעבורה שנשלחת אל המכונה הווירטואלית או ממנה. הערכים נוצרים בכפוף למגבלות של רישום ביומן של החיבור.

  • מגבלות קצב: מספר החיבורים שנרשמים ליחידת זמן נקבע לפי סוג המכונה של המכונה הווירטואלית ברשתות VPC רגילות, או לפי פעולת המעקב או הרישום ביומן של הכלל ברשתות VPC של RoCE. מידע נוסף זמין במאמרים מגבלות על רישום ביומן של חיבורים ומעקב ורישום ביומן.

  • היקף השימוש בדור קודם: רישום ביומן של כללי חומת אש ב-VPC חל רק על כללי חומת אש ב-VPC מדור קודם שפועלים ברשת VPC רגילה.

  • מגבלות הפרוטוקול: רישום ביומן של כללי חומת אש של VPC מדור קודם תומך בהגדרת השדה של פרוטוקול ה-IP ל-ALL.

  • יומני ביקורת: אפשר לראות שינויים בהגדרות של כלל חומת האש של ה-VPC ביומני הביקורת של ה-VPC. מידע נוסף זמין במאמר בנושא יומני ביקורת של VPC.

מגבלות

רישום ביומן של כללי חומת אש ב-VPC הוא פורמט מדור קודם, ואין בו תמיכה ברישום ביומן של שדות מטא-נתונים מתקדמים של Cloud NGFW, כמו:

  • source_region_code
  • destination_region_code
  • source_fqdn
  • destination_fqdn
  • source_threat_intelligence
  • destination_threat_intelligence
  • source_address_groups
  • destination_address_groups
  • source_secure_tag
  • target_secure_tag

המאמרים הבאים