Estadísticas de firewall te ayuda a comprender los patrones de uso de tus reglas de firewall. Puedes usar estas estadísticas para respaldar las decisiones sobre quitar o modificar las reglas de firewall a fin de simplificar y proteger la configuración de tu firewall.
Puedes ver las siguientes estadísticas en la página Estadísticas de firewallde la consola de Google Cloud y en otros lugares de la consola de Google Cloud :
- Reglas de firewall bloqueadas: Te ayudan a identificar las reglas de firewall que se superponen con las reglas existentes.
- Reglas demasiado permisivas: Te ayudan a identificar reglas
allowsin hits, atributos sin usar o rangos de puertos o direcciones IP demasiado permisivos. - Reglas de rechazo: Te brindan detalles sobre las reglas
denyque tuvieron hits durante el período de observación configurado.
Las estadísticas de las reglas demasiado permisivas y las reglas de rechazo se generan en función de los datos recopilados durante el período en el que se habilita el Registro de reglas de firewall.
En la página Estadísticas de firewall de la consola de Google Cloud , en cada tarjeta donde se muestran las estadísticas, se incluye una lista de todas las reglas de tu proyecto que cumplen con los criterios de estadísticas.
Si deseas limitar los resultados solo a una red de VPC, usa la barra de filtros en la parte superior de la página para seleccionar una red.
Para obtener más información, consulta Dónde puedes visualizar métricas y estadísticas.
En las siguientes secciones, se describe cómo ver cada estadística.
Roles y permisos requeridos
Para obtener el permiso que necesitas y ver las estadísticas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
-
Administrador del recomendador de firewall (
roles/recommender.firewallAdmin) -
Visualizador del recomendador de firewall (
roles/recommender.firewallViewer)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Este rol predefinido contiene
el permiso
recommender.computeFirewallInsights.list
necesario para ver las
estadísticas.
También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.
Visualiza reglas de firewall bloqueadas
Para obtener información sobre esta estadística, consulta Reglas bloqueadas.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta denominada Reglas bloqueadas, haz clic en Ver lista completa. La consola deGoogle Cloud muestra la página Reglas bloqueadas, que enumera todas las redes de VPC.
Para cada red de VPC en tu proyecto, puedes ver las estadísticas de las políticas de firewall jerárquicas, las políticas de firewall de red globales y las reglas de firewall de VPC, junto con la prioridad de la regla. La columna Estadística de cada regla proporciona un resumen del motivo por el que se la identificó como una regla bloqueada.
Opcional: Usa el filtrado para reducir los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.
Para ver más detalles sobre la regla bloqueada y las reglas que la sustituyen, haz clic en la estadística.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas allow sin hits
Para obtener información sobre esta estadística, consulta Reglas de permiso sin hits.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta llamada Reglas de permiso sin hits, haz clic en Ver lista completa. La consola de Google Cloud muestra la página Reglas de permiso sin hits. En esta página, se enumeran todas las redes de VPC que tenían reglas sin hits durante el período de observación.
En la columna Estadística de cada regla, se muestra si la regla de firewall no tuvo hits durante el período de observación. En la columna Predicción de hits futuros, se muestra una predicción del uso futuro según las reglas de firewall de la misma organización.
Opcional: Usa el filtrado para reducir los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver el registro de auditoría.
- Para ver los detalles de la predicción, haz clic en el vínculo de la columna Estadística. Se muestra el panel Detalles de la estadística. En el panel, se describen los atributos principales de la regla. También se describen otras reglas del proyecto que tienen atributos similares.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas allow que estén obsoletas según el análisis adaptable
Puedes ver las reglas allow que es menos probable que estén activas según los
patrones de uso y el análisis adaptable.
Para obtener información sobre esta estadística, consulta Reglas de permiso obsoletas según el análisis adaptable.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta llamada Reglas de permiso sin hits (análisis adaptable), haz clic en Ver lista completa. Se abrirá la página Reglas de permiso sin hits (análisis adaptable). En la página, se enumeran todas las redes de VPC que tenían reglas que probablemente ya no se usen.
En la columna Estadística de cada regla, se muestra si la regla de firewall ya no está activa según el análisis adaptable del historial de recuento de aciertos de la regla.
Opcional: Usa el filtrado para reducir los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver el registro de auditoría.
- Para ver los detalles de la predicción, haz clic en el vínculo de la columna Estadística.
En la página Detalles de la estadística, se describen los atributos principales de la regla. En la sección Análisis adaptativo, puedes ver la fecha de la última coincidencia de la regla y los recuentos de aciertos diarios promedio antes de que la regla dejara de estar activa.
Para cerrar la página Detalles de la estadística, haz clic en Cancelar.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas allow con atributos sin usar
Para obtener información sobre esta estadística, consulta Reglas de permiso con atributos sin usar.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta Reglas de permiso con atributos sin usar, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Reglas de permiso con atributos sin usar. En esta página, se enumeran todas las redes de VPC que tienen reglas que tenían atributos sin usar durante el período de observación.
En la columna Estadística de cada regla, se muestra la cantidad de atributos sin usar durante el período de observación.
Opcional: Usa el filtrado para reducir los resultados en la lista según el nombre de la regla, la prioridad y el nombre de la política.
Para cualquier red de VPC de la lista, realiza una de las siguientes acciones según corresponda:
- Para ver la página Detalles de las reglas de firewall, haz clic en el nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver el registro de auditoría.
- Para ver los detalles de la predicción, haz clic en el vínculo correspondiente. Se muestra el panel Detalles de la estadística. En el panel, se describen los atributos principales de la regla. También se describen otras reglas del proyecto que tienen atributos similares.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas allow con rangos de puertos o direcciones IP demasiado permisivos
Para obtener información sobre esta estadística, consulta Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos.
Ten en cuenta que tu proyecto puede tener reglas de firewall que permitan el acceso desde ciertos bloques de direcciones IP para las verificaciones de estado del balanceador de cargas o para otras funciones deGoogle Cloud . Es posible que estas direcciones IP no tengan hits, pero no se deben quitar de tus reglas de firewall. Para obtener más información sobre estos rangos, consulta la documentación de Compute Engine.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta llamada Reglas de permiso con rangos de puertos o direcciones IP demasiado permisivos, haz clic en Ver lista completa. En la consola deGoogle Cloud , se muestra una lista de todas las reglas que tuvieron rangos demasiado permisivos durante el período de observación.
Para cualquier regla de la lista, realiza las siguientes acciones según corresponda:
- Para ver la página Detalles de las reglas de firewall de cualquier regla, haz clic en el nombre de la regla.
- Para ver el registro de la regla, haz clic en Ver el registro de auditoría.
- Para ver sugerencias sobre cómo limitar el rango, haz clic en el vínculo en la columna Estadística. Se muestra el panel Detalles de la estadística. En el panel, se describen los atributos principales de la regla. Sugiere direcciones IP o rangos de puertos más específicos que puedes usar.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas deny con hits
Para obtener información sobre esta estadística, consulta Reglas de rechazo con hits.
Consola
En la consola de Google Cloud , ve a la página Estadísticas de firewall.
En la tarjeta llamada Reglas de rechazo con hits, haz clic en Ver lista completa. En respuesta, la consola de Google Cloud muestra la página Reglas de rechazo con hits. En esta página, se enumeran todas las redes de VPC que tienen reglas
denyque tuvieron hits durante el período de observación.Para revisar los paquetes que descartó un firewall, haz clic en Recuento de aciertos.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza estadísticas en la página de detalles de la interfaz de red de VM
Visualiza el uso del firewall en la página Detalles de la interfaz de red de una VM.
Si deseas obtener más información, consulta Enumera las reglas de firewall para una interfaz de red de una instancia de VM.
Visualiza reglas con hits en los últimos 24 meses
Consola
En la consola de Google Cloud , ve a la páginaInstancias de VM de Compute Engine.
En los resultados de la búsqueda de una interfaz de VM, selecciona una VM y haz clic en el menú Más acciones.
En el menú, selecciona Ver detalles de red.
En la página Detalles de firewall y rutas, haz clic en la pestaña Reglas de firewall.
En la columna Recuento de aciertos, observa los recuentos de aciertos del tráfico de
allowydenyde los últimos 24 meses para todas las reglas de firewall asociadas con una interfaz de red específica.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza estadísticas en la página Firewall
Para obtener más información sobre la página Firewall, consulta Enumera las reglas de firewall de VPC para una red de VPC.
Enumera las estadísticas de un proyecto
Consola
En la consola de Google Cloud , ve a la página Políticas de firewall.
Para cada regla de firewall, visualiza el nombre de las estadísticas disponibles en la columna Estadísticas.
Puedes hacer clic en el nombre de una estadística para ver los detalles.
En las siguientes secciones, se describe cómo interpretar y ver los detalles de cada tipo de estadística.
Visualiza reglas allow sin hits en los últimos 24 meses
Consola
En la consola de Google Cloud , ve a la página Políticas de firewall.
En la columna Última coincidencia, revisa la última vez que se usó una regla de firewall determinada en los últimos 24 meses.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza el gráfico del historial de uso de una regla
Consola
En la consola de Google Cloud , ve a la página Políticas de firewall.
Haz clic en el nombre de una regla de firewall.
En la sección Supervisión de aciertos de la página, consulta el gráfico resultante que muestra el recuento de aciertos de firewall para un período determinado. Puedes seleccionar un intervalo de tiempo para el gráfico de supervisión de aciertos.
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
Visualiza reglas deny con hits para un período de observación
Consola
En la consola de Google Cloud , ve a la página Políticas de firewall.
En la columna Recuento de aciertos, ve la cantidad de conexiones únicas usadas para una regla de firewall en los últimos 24 meses (predeterminado).
gcloud y API
Las Estadísticas de firewall usan comandos del recomendador. El recomendador es un servicio de Google Cloud que proporciona recomendaciones de uso para los productos y servicios de Google Cloud .
¿Qué sigue?
- Administra y exporta estadísticas.
- Revisa y optimiza las reglas de firewall.
- Consulta las estadísticas en el panel del Centro de recomendaciones.