您可以運用虛擬私有雲防火牆規則記錄功能,稽核、驗證及分析虛擬私有雲防火牆規則的成效。舉例來說,您可以判斷用於拒絕流量的虛擬私有雲防火牆規則是否正常運作。需要瞭解特定虛擬私有雲防火牆規則影響的連線數量時,這項功能也能派上用場。
您必須為需要記錄連線的每項虛擬私有雲防火牆規則,個別啟用虛擬私有雲防火牆規則記錄功能。無論虛擬私有雲防火牆規則的動作 (allow 或 deny) 或方向 (ingress 或 egress) 為何,您都可以選擇記錄規則。
虛擬私有雲防火牆規則記錄功能會記錄Compute Engine 虛擬機器 (VM) 執行個體的往來流量。包括以 Compute Engine VM 為基礎建構的產品,例如 Google Kubernetes Engine (GKE) 叢集和 Google Kubernetes Engine 彈性環境執行個體。 Google Cloud
啟用虛擬私有雲防火牆規則的記錄功能後, Google Cloud 每次規則允許或拒絕流量時,都會建立名為「連線記錄」的項目。您可以在 Cloud Logging 中查看這些記錄,並將記錄檔匯出至 Cloud Logging 匯出功能支援的任何目的地。
每筆連線記錄都包含來源和目的地 IP 位址、通訊協定和通訊埠、日期和時間,以及適用於流量的 VPC 防火牆規則參照。
如要瞭解如何查看記錄,請參閱「管理虛擬私有雲防火牆規則記錄」。
規格
虛擬私有雲防火牆規則記錄適用的規範如下:
支援的部署作業:您可以為與一般虛擬私有雲網路相關聯的階層式、全域網路、區域網路和區域系統防火牆政策,以及與 RoCE 虛擬私有雲網路相關聯的區域網路防火牆政策,啟用虛擬私有雲防火牆規則記錄。
不支援的規則:系統不支援舊版網路中的規則、一般虛擬私有雲網路中的隱含拒絕輸入和隱含允許輸出規則,或 RoCE 虛擬私有雲網路的隱含允許輸入和輸出規則的虛擬私有雲防火牆規則記錄。
通訊協定支援:虛擬私有雲防火牆規則記錄只會記錄
TCP和UDP連線。如要監控其他通訊協定,請考慮使用頻外整合。以連線為準的記錄:系統會在建立連線時建立虛擬私有雲防火牆規則記錄,而非針對每個封包建立記錄。只要每 10 分鐘至少交換一次封包,連線就算有效。每個新封包都會重設閒置計時器。因此,持續的流量串流在整個期間只會產生一筆記錄。如要持續掌握長期運作的有效串流,且沒有閒置期,請使用 VPC 流量記錄。
現有連線:如果您在符合已啟用
TCP或UDP連線的規則上啟用記錄功能,系統不會產生新的記錄項目。只有在連線閒置至少 10 分鐘後,且後續傳送了新封包時,VPC 防火牆規則才會記錄連線。允許和拒絕行為:
允許 + 記錄:系統只會記錄一次允許的連線,即使連線持續存在,也不會重複記錄項目,因為防火牆規則是有狀態的,系統會自動允許回覆流量,且不會記錄。
拒絕 + 記錄:系統會將每個對應於唯一 5 元組數的捨棄封包,記錄為一次失敗的嘗試。只要遭拒連線中還有封包,就不會每 5 秒重複一次記錄項目。
記錄產生角度:只有在虛擬私有雲防火牆規則已啟用記錄,且該規則套用至 VM 傳送或接收的流量時,系統才會建立記錄項目。系統會根據連線記錄限制建立項目。
速率限制:每個時間單位記錄的連線數量取決於一般虛擬私有雲網路的 VM 機型,或是 RoCE 虛擬私有雲網路的規則監控或記錄動作。詳情請參閱「連線記錄限制」和「監控和記錄」。
舊版範圍:虛擬私有雲防火牆規則記錄僅適用於在一般虛擬私有雲網路中運作的舊版虛擬私有雲防火牆規則。
通訊協定限制:舊版虛擬私有雲防火牆規則記錄支援將 IP 通訊協定欄位設為
ALL。稽核記錄:您可以在虛擬私有雲稽核記錄中,查看虛擬私有雲防火牆規則的設定變更。詳情請參閱「虛擬私有雲稽核記錄」。
限制
虛擬私有雲防火牆規則記錄採用舊版格式,不支援記錄進階 Cloud NGFW 中繼資料欄位,例如:
source_region_codedestination_region_codesource_fqdndestination_fqdnsource_threat_intelligencedestination_threat_intelligencesource_address_groupsdestination_address_groupssource_secure_tagtarget_secure_tag