En esta página, se describen las categorías y los estados de Estadísticas de firewall.
Las estadísticas analizan la configuración y el uso de tus reglas de firewall con el
tipo de estadísticas google.compute.firewall.Insight.
Categorías de estadísticas
Dentro de Estadísticas de firewall, las estadísticas se dividen en las dos categorías generales que se describen en la siguiente tabla.
| Categoría | Descripción | Estadísticas |
|---|---|---|
| Basada en la configuración | Las estadísticas se generan en función de los datos sobre cómo configuraste tus reglas de firewall. | Reglas bloqueadas |
| Basada en registros | Las estadísticas se generan a partir del registro sobre el uso de tus reglas de firewall y la información para configurar tus reglas de firewall. |
Reglas demasiado permisivas
Reglas |
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, para las estadísticas de reglas bloqueadas, el nivel de gravedad es medium. Para obtener más información, consulta
Gravedad en la
documentación del recomendador.
Estados de estadísticas
Cada estadística puede tener uno de los siguientes estados, que puedes cambiar según se describe en la siguiente tabla.
| Estado | Descripción |
|---|---|
ACTIVE |
La estadística está activa. Google continúa actualizando el contenido de las estadísticas
de ACTIVE según la información más reciente. |
DISMISSED |
La estadística se descarta y ya no se muestra a ningún usuario en ninguna
lista de estadísticas activas. Puedes restablecer el estado Para obtener más información, consulta Marca una estadística como descartada. |
Reglas bloqueadas
Las reglas bloqueadas comparten atributos, como direcciones IP, con otras reglas de mayor o igual prioridad llamadas reglas de bloqueo. Estadísticas de firewall analiza tus reglas de firewall de VPC y tus políticas de firewall para detectar estas reglas bloqueadas.
- En el caso de las políticas de firewall asignadas a una red de VPC, puedes ver estadísticas sobre una regla de política que es bloqueada por una regla de VPC en la misma política o en cualquier otra.
- Las políticas de firewall jerárquicas, las políticas de firewall de red globales y las reglas de firewall de VPC se evalúan según el pedido de evaluación de políticas y reglas. Por ejemplo, en el caso de las políticas de firewall de red globales, puedes obtener estadísticas sobre qué regla de política de firewall de red global es bloqueada por una regla de firewall de VPC según el pedido de evaluación de reglas.
- Si tienes reglas de firewall con etiquetas seguras en una política de firewall de red global, puedes ver estadísticas sobre esas reglas que se bloquean entre sí en la misma política de firewall global. Para obtener más información, consulta Etiquetas para firewalls.
Las Estadísticas de firewall no identifican todas las reglas bloqueadas posibles. Específicamente, no identifican que varias etiquetas de otras reglas de firewall hayan bloqueado las etiquetas de una regla de firewall.
Ejemplos de reglas bloqueadas
En este ejemplo, algunas reglas bloqueadas y reglas de bloqueo tienen filtros de rango de IP de origen superpuestos, y otros tienen prioridades de reglas diferentes.
En la siguiente tabla, se muestran las reglas de firewall de A a E. Para diferentes situaciones de reglas bloqueadas,
consulta las secciones que siguen a la tabla.
| Política de Firewall |
Tipo | Destinos | Filtros | Protocolos o puertos |
Acción | Prioridad | |
|---|---|---|---|---|---|---|---|
| Regla de firewall A | X | Entrada | Aplicar a todas | 10.10.0.0/16 | tcp:80 | Permitir | 1,000 |
| Regla de firewall B | Y | Entrada | Aplicar a todas | 10.10.0.0/24 | tcp:80 | Permitir | 1,000 |
| Regla de firewall C | - | Entrada | Web | 10.10.2.0/24 | tcp:80 tcp:443 | Permitir | 1,000 |
| Regla de firewall D | - | Entrada | Web | 10.10.2.0/24 | tcp:80 | Denegar | 900 |
| Regla de firewall E | - | Entrada | Web | 10.10.2.0/24 | tcp:443 | Denegar | 900 |
Ejemplo 1: La regla de firewall B está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Estas reglas son casi idénticas,
excepto por sus filtros de rango de direcciones IP de origen. Por ejemplo, el rango de
direcciones IP de A es 10.10.0.0/16,
mientras que el rango de direcciones IP de B es 10.10.0.0/24. Por lo tanto, la regla de firewall B está bloqueada por la regla de firewall A.
La estadística de shadowed firewall rules suele indicar una configuración incorrecta del firewall.
Por ejemplo, el parámetro de configuración del filtro de dirección IP de A es amplio,
o el parámetro de configuración del filtro de B es innecesario y demasiado restrictivo.
Ejemplo 2: La regla de firewall C está bloqueada por las reglas de firewall D y E
En este ejemplo, hay tres reglas de firewall: C, D y E. La regla de firewall C
permite la entrada del tráfico web del puerto HTTP 80 y del puerto HTTPS 443 y tiene una
prioridad de 1000 (prioridad predeterminada). Por otro lado, las reglas de firewall D y E rechazan
el ingreso del tráfico web HTTP y HTTPS, respectivamente, y ambas tienen una
prioridad de 900 (prioridad alta). Por lo tanto, el firewall C está bloqueado por las reglas
de firewall D y E combinadas.
Ejemplo 3: La regla de firewall B en la política de firewall Y está bloqueada por la regla de firewall A en la política X
En este ejemplo, hay dos reglas de firewall: A y B. La regla de firewall A está en la política X asociada con Folder1, mientras que la regla de firewall B está en la política Y asociada con Folder2. Tanto Folder1 como Folder2 se encuentran en el mismo nodo de organización, y Folder2 es un elemento secundario de Folder1. Estas dos reglas son idénticas, excepto por su rango de direcciones IP de origen. Esta estadística indica que la regla de firewall B en la política Y es innecesaria porque ya está cubierta por la regla de firewall A en la política X. Por lo tanto, la regla de firewall B en la política Y está bloqueada por la regla de firewall A en la política X.
Ejemplo 4: La regla de firewall B en la política de firewall de red global Y está bloqueada por la regla de firewall A
En este ejemplo, hay dos reglas de firewall: A y B. Ambas reglas de firewall A y
B están en Network1, pero la regla de firewall B está en la política de firewall de red global Y.
El pedido de aplicación de la política de firewall de la política Y es AFTER_CLASSIC_FIREWALLS.
Estas dos reglas son casi idénticas, excepto por su rango de direcciones IP de origen.
Esta estadística indica que la regla B de la política Y es innecesaria, ya que la regla A ya
la abarca. Por lo tanto, la regla de firewall B de la política Y está bloqueada por
la regla de firewall A.
Reglas de rechazo con hits
Esta estadística proporciona detalles sobre las reglas deny que tuvieron hits durante el
período
de observación.
Estas estadísticas te proporcionan indicadores de descarte de paquetes de firewall. Luego, puedes verificar si los paquetes descartados se esperan debido a protecciones de seguridad o si son el resultado de una configuración incorrecta de la red.
Reglas demasiado permisivas
Las Estadísticas de firewall proporcionan un análisis integral sobre si las reglas de firewall son demasiado permisivas. En este análisis, se incluyen las siguientes estadísticas:
- Reglas de permiso sin hits
- Reglas de permiso obsoletas según el análisis adaptable
- Reglas de permiso con atributos sin usar
- Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Los datos proporcionados por estas estadísticas provienen del registro de reglas de firewall. Por lo tanto, estos datos son precisos solo si habilitaste el registro de reglas de firewall durante todo el período de observación. De lo contrario, la cantidad real de reglas en cada categoría de estadística podría ser mayor que la indicada.
Las estadísticas de reglas demasiado permisivas evalúan el tráfico de TCP y UDP. No se analizan otros tipos de tráfico. Para obtener más información, consulta la descripción de cada estadística.
Cada subtipo de estadística tiene un nivel de gravedad. Por ejemplo, el nivel de gravedad es
high para las estadísticas de reglas demasiado permisivas. Para obtener más información, consulta
Gravedad en la documentación del
recomendador.
Reglas de permiso sin hits
Esta estadística identifica reglas allow que no tuvieron hits durante el período de
observación.
Para cada regla, puedes ver las predicciones del aprendizaje automático sobre si es probable que una regla o un atributo tenga hits en el futuro. Esta predicción se produce a través de un análisis de aprendizaje automático que tiene en cuenta el patrón de tráfico histórico de esta regla y las reglas similares en la misma organización.
Para ayudarte a comprender la predicción, esta estadística identifica, en el mismo proyecto, reglas similares a la regla que identificó la estadística. La estadística enumera el recuento de aciertos de estas reglas y resume los detalles de su configuración. Entre estos detalles, se incluyen la prioridad y los atributos de cada regla, como su dirección IP y sus rangos de puertos.
Allow rules with no hits evalúa las reglas de firewall que se aplican al tráfico de TCP
y UDP. Si una regla de firewall permite cualquier otro tipo de tráfico, no se
incluye en este análisis.
Reglas de permiso obsoletas según el análisis adaptable
Esta estadística identifica las reglas allow que es menos probable que estén activas
según los patrones de uso y el análisis adaptable. La estadística se genera a partir de
un análisis de aprendizaje automático que considera el recuento promedio de aciertos en las últimas seis
semanas y un análisis adaptativo de los recuentos de hits recientes. Sin embargo, si la regla nunca
estuvo activa desde que se empezó a registrar el recuento de aciertos, también puede incluirse en la
estadística hasta que vuelva a estar activa.
Por ejemplo, supongamos que una regla de firewall se activa con frecuencia durante las últimas semanas del período de observación y deja de activarse durante varios días. En ese caso, es posible que veas esta estadística en esa regla, lo que indica un cambio en el patrón de uso. Sin embargo, las reglas de firewall se analizan para identificar las que se activan con poca frecuencia, pero que están activas. Estas reglas activas no aparecen en esta estadística.
En cada regla, si el análisis de aprendizaje automático identifica que la regla está inactiva, puedes ver las estadísticas basadas en el análisis adaptativo más rápido y antes de que finalice el período de observación. Por ejemplo, puedes empezar a recibir estadísticas basadas en análisis adaptativos después de la primera semana del período de observación, aunque este sea de 12 meses.
Una vez que finalice el período de observación, podrás ver las estadísticas basadas en los datos recopilados a través del registro de reglas de firewall durante todo el período de observación.
Reglas de permiso con atributos sin usar
Esta estadística identifica reglas allow que tienen atributos, como rangos de direcciones IP
y puertos, que no tuvieron hits durante el período de observación.
Para cada regla identificada, esta estadística también informa la probabilidad de que la regla tenga hits en el futuro. Esta predicción se basa en predicciones de aprendizaje automático que tienen en cuenta los patrones de tráfico históricos de esta regla y de reglas similares de la misma organización.
Para ayudarte a comprender la predicción, la estadística resume, otras reglas de firewall del mismo proyecto que tienen atributos similares. En este resumen, se incluyen datos sobre si se alcanzaron los atributos de esas reglas.
Allow rules with unused attributes evalúa solo los atributos que se definen
para el tráfico de TCP y UDP. Si una regla permite otros tipos de tráfico además de TCP y
UDP, entonces se puede incluir en este análisis. Sin embargo, no se analizan los atributos que
pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece sin usar, no se considera así, ya que podrías usarlo para tráfico ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP sin usar, la regla se marca como demasiado permisiva.
Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos
Esta estadística identifica las reglas allow que pueden tener rangos de puertos o direcciones IP
demasiado amplios.
Las reglas de firewall suelen crearse con un permiso más amplio de lo necesario. Un permiso demasiado amplio puede generar riesgos de seguridad.
Esta estadística ayuda a mitigar este problema analizando el uso real de los rangos de direcciones IP y puertos de tus reglas de firewall. También sugiere una combinación alternativa de rangos de puertos y direcciones IP para las reglas con rangos demasiado amplios. Con este conocimiento, puedes quitar los rangos de puertos innecesarios según los patrones de tráfico durante el período de observación.
Allow rules with overly permissive IP address or port ranges evalúa solo
los atributos que se definen para el tráfico de TCP y UDP. Si una regla permite otros
tipos de tráfico además de TCP y UDP, entonces se puede incluir en este análisis.
Sin embargo, no se analizan los atributos que pertenecen a otros tipos de tráfico.
Por ejemplo, supongamos que una regla permite el tráfico de TCP y de ICMP. Si el rango de direcciones IP permitido parece usarse solo de forma parcial, la estadística no marca el rango de direcciones IP como demasiado amplio, ya que podría usarse para tráfico de ICMP. Sin embargo, si la misma regla tiene un rango de puertos TCP que se usa parcialmente, se marca como demasiado permisiva.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permitan el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones deGoogle Cloud . Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Predicciones de aprendizaje automático
Como se describió en las secciones anteriores, dos estadísticas (reglas allow sin hits y reglas allow
con atributos sin usar) usan predicciones de
aprendizaje automático.
Para generar predicciones, las Estadísticas de firewall entrenan un modelo de aprendizaje automático con las reglas de firewall de la misma organización. De esta manera, las Estadísticas de firewall aprenden patrones comunes. Por ejemplo, las Estadísticas de firewall aprenden sobre las combinaciones de atributos que suelen tener hits. Entre estos atributos, se pueden incluir rangos de direcciones IP, rangos de puertos y protocolos IP.
Si la regla de firewall contiene patrones comunes que indican que es probable que tenga hits, las Estadísticas de firewall tendrán más confianza en que la regla tenga hits en el futuro. Esto también se cumple en el caso opuesto.
Para cada estadística que usa predicciones, las Estadísticas de firewall muestran detalles sobre las reglas que se consideraron similares a la regla identificada por la estadística. Por ejemplo, en el panel Detalles de la estadística, puedes ver detalles sobre las tres reglas más similares a la regla que es objeto de la predicción. Cuanto más superposición exista entre los atributos de las dos reglas, más similares se considerarán.
Para las reglas allow sin hits, considera el siguiente ejemplo:
Supongamos que la regla A tiene los siguientes atributos:
Source IP ranges: 10.0.1.0/24
Target tags: http-server
Protocol and ports: TCP:80
Supongamos también que la regla B tiene los siguientes atributos:
Source IP ranges: 10.0.2.0/24
Target tags: http-server
Protocol and ports: TCP:80
Estas dos reglas comparten los mismos atributos de etiquetas de destino, protocolo y puerto. Solo difieren en los atributos de origen. Por esta razón, se consideran similares.
Para las reglas allow con atributos sin usar, la similitud se determina de la
misma manera. Para esta estadística, las Estadísticas de firewall consideran reglas
similares cuando su configuración incluye los mismos atributos.