本頁說明如何啟用使用防火牆洞察功能所需的 API 和功能。
使用防火牆洞察前,請選取專案、確認您具備必要角色和權限,然後完成必要設定工作。如要進一步瞭解前兩個步驟,請參閱「角色和權限」。
設定工作會因您想使用的指標和洞察資料而異。詳情請參閱下表。
| 工作 | 所有指標 | 覆蓋規則深入分析資訊 | 過於寬鬆的規則深入分析 | 發揮作用的拒絕規則 |
|---|---|---|---|---|
| 啟用 Firewall Insights API | ✔ | ✔ | ✔ | ✔ |
| 啟用防火牆規則記錄 | ✔ | ✔ | ✔ | |
| 啟用 Recommender API | ✔ | ✔ | ||
| 啟用這類洞察 | ✔ | ✔ | ||
| 設定觀察期 | ✔ | ✔ | ||
| 排定自訂重新整理週期 | ✔ |
以下各節說明如何啟用 API 和功能。
啟用 Firewall Insights API
使用防火牆洞察執行任何工作前,請務必啟用 Firewall Insights API。
如要啟用 API,請按照下列步驟操作,或使用Google Cloud 控制台 API 程式庫,詳情請參閱 Cloud API 文件中的「啟用 API」一節。
控制台
前往 Google Cloud 控制台的「Firewall Insights」(防火牆洞察) 頁面。
在「Firewall Insights API」頁面中,按一下「啟用」。
gcloud
使用下列指令:
gcloud services enable firewallinsights.googleapis.com
啟用防火牆規則記錄
如要查看下列任何項目,您必須啟用防火牆規則記錄:
- 防火牆規則相關指標
- 過於寬鬆的規則或
deny規則的深入分析,這些深入分析統稱為「以記錄為依據的深入分析」
防火牆洞察只會針對已啟用記錄功能的規則,產生指標和以記錄為基礎的洞察。詳情請參閱「防火牆規則記錄總覽」。
啟用 Recommender API
啟用 Recommender API,即可執行下列操作:
- 使用遭到覆蓋的規則深入分析
- 使用過於寬鬆規則的深入分析
透過發出 API 呼叫或使用 Google Cloud CLI 擷取任何資料
控制台
前往 Google Cloud 控制台的「Enable access to API」(啟用 API 存取權) 頁面。
確認已選取正確的專案,然後按一下「下一步」。
按一下「啟用」。
gcloud
使用下列指令:
gcloud services enable recommender.googleapis.com
啟用遭到覆蓋的規則或過於寬鬆規則的深入分析
除非您在「Firewall Insights」頁面上主動啟用這些功能,否則 Firewall Insights 不會產生遭覆蓋或過於寬鬆規則的深入分析。
啟用任一功能後,最多可能需要等待 48 小時,系統才會產生洞察資料。
建立或更新防火牆規則後,您可能需要等待最多十天,才能看到過於寬鬆的規則深入分析資訊的機器學習預測。在此期間,您可以查看根據防火牆規則記錄收集到的資料產生的深入分析結果。
控制台
前往 Google Cloud 控制台的「Firewall Insights」(防火牆洞察) 頁面。
按一下「設定」。
按一下「啟用」。
視需要將滑桿移至「已啟用」或「已停用」,以啟用或停用下列一或兩項設定:
覆蓋規則深入分析
過於寬鬆規則的深入分析
API
您可以使用 Recommender API 啟用或停用覆蓋規則深入分析和過於寬鬆規則深入分析。您也可以使用 API 設定過於寬鬆規則深入分析的觀察期,並擷取設定詳細資料。
如要啟用覆蓋規則深入分析和過於寬鬆規則深入分析,請使用 updateConfig 方法。
如要使用 updateConfig 方法,您必須為所有參數設定值。啟用或停用深入分析時,您也必須設定過於寬鬆深入分析的觀察期。
如要進行這類更新,請使用下列要求。
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
"enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
"enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
}
},
"etag": "\"ETAG\"",
}
替換下列值:
- PROJECT_ID:專案 ID
- OBSERVATION_PERIOD_OVERLY_PERMISSIVE:過於寬鬆規則深入分析的觀察期時間 (以秒為單位)
- ENABLEMENT_SHADOWED:布林值,表示是否已啟用遭覆蓋規則的深入分析
- ENABLEMENT_OVERLY_PERMISSIVE:布林值,表示是否已啟用過於寬鬆規則的深入分析
- ETAG:IAM 政策 etag 值;如要擷取 etag 值,請使用
getConfig方法,如下一節所述
範例
PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
{
"name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
"insightTypeGenerationConfig": {
"params": {
"observation_period": "604800s",
"enable_shadowed_rule_insights": true,
"enable_overly_permissive_rule_insights": true
}
},
"etag": "\"ETAG\"",
}
擷取設定詳細資料
如要擷取防火牆洞察設定的詳細資料,請使用 getConfig 方法,如下列範例所示。
GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
設定觀察期
您可以為部分深入分析設定觀察期間,或深入分析涵蓋的時間間隔。詳情請參閱「設定觀察期間」一文的「設定觀察期間和更新週期」一節。
排定自訂重新整理週期
您可以設定重新整理週期,為專案產生遭覆蓋規則深入分析。詳情請參閱「設定觀察期間和更新週期」中的「排定自訂更新週期」。