O registo de regras de firewall permite-lhe auditar, validar e analisar os efeitos das suas regras de firewall. Por exemplo, pode determinar se uma regra de firewall concebida para recusar tráfego está a funcionar como previsto. O registo das regras de firewall também é útil se precisar de determinar quantas ligações são afetadas por uma determinada regra de firewall.
Ativa o registo das regras de firewall individualmente para cada regra de firewall cujas ligações tem de registar. O registo de regras de firewall é uma opção
para qualquer regra de firewall, independentemente da ação (allow ou deny) ou da direção
(entrada ou saída) da regra.
O registo de regras de firewall regista o tráfego de e para instâncias de máquinas virtuais (VMs) do Compute Engine. Isto inclui Trusted Cloud by S3NS produtos criados em VMs do Compute Engine, como clusters do Google Kubernetes Engine (GKE) e instâncias do ambiente flexível do App Engine.
Quando ativa o registo para uma regra de firewall, Trusted Cloud by S3NS cria uma entrada denominada registo de ligação sempre que a regra permite ou nega tráfego. Pode ver estes registos nos Registos na nuvem e exportá-los para qualquer destino suportado pela exportação dos Registos na nuvem.
Cada registo de ligação contém os endereços IP de origem e destino, o protocolo e as portas, a data e a hora, e uma referência à regra da firewall que foi aplicada ao tráfego.
O registo de regras de firewall está disponível para regras de firewall da VPC e políticas de firewall hierárquicas.
Para obter informações sobre a visualização de registos, consulte o artigo Use Firewall Rules Logging.
Especificações
O registo de regras de firewall tem as seguintes especificações:
O registo de regras de firewall pode ser ativado para o seguinte:
Regras de firewall em políticas de firewall hierárquicas, políticas de firewall de rede globais e políticas de firewall de rede regionais associadas a uma rede VPC normal.
Regras de firewall da VPC numa rede VPC normal.
Regras de firewall em políticas de firewall de rede regionais que estão associadas a uma rede da VPC RoCE.
O registo de regras de firewall não suporta o seguinte:
Regras de firewall de VPC em redes antigas.
Regras de recusa implícita de entrada e permissão implícita de saída de uma rede de VPC normal.
Regras de entrada e saída permitidas implícitas de uma rede de VPC RoCE.
O registo das regras de firewall apenas regista ligações TCP e UDP. Embora possa criar uma regra de firewall que se aplique a outros protocolos, não pode registar as respetivas ligações.
As entradas de registo são escritas na perspetiva das VMs. As entradas de registo só são criadas se uma regra de firewall tiver o registo ativado e se a regra se aplicar ao tráfego enviado para ou a partir da VM. As entradas são criadas de acordo com os limites de registo de ligações com base no melhor esforço.
O número de ligações que o registo de regras de firewall pode registar por unidade de tempo:
Baseia-se no tipo de máquina para redes VPC normais.
Depende da ação de monitorização ou registo da regra de firewall para redes da VPC RoCE.
As alterações às regras de firewall podem ser vistas nos registos de auditoria da VPC.
Formato do registo da firewall
Sujeito às especificações, é criada uma entrada de registo no Cloud Logging para cada regra de firewall que tenha o registo ativado se essa regra se aplicar ao tráfego para ou a partir de uma instância de VM. Os registos são incluídos no campo de payload JSON de um LogEntry do Logging.
Os registos de registo contêm campos de base, que são os campos principais de cada registo de registo, e campos de metadados que adicionam informações adicionais. Pode controlar se os campos de metadados são incluídos. Se os omitir, pode poupar nos custos de armazenamento.
Alguns campos de registo suportam valores que também são campos. Estes campos podem ter mais do que um elemento de dados num determinado campo. Por exemplo, o campo connection está no formato IpConnection, que contém o endereço IP e a porta de origem e destino, além do protocolo, num único campo. Estes campos estão descritos nas tabelas seguintes.
| Campo | Descrição | Tipo de campo: metadados básicos ou opcionais |
|---|---|---|
| ligação | IpConnection 5-Tuple que descreve o endereço IP de origem e destino, a porta de origem e destino, e o protocolo IP desta ligação. |
Base |
| disposição | string Indica se a associação foi ALLOWED ou
DENIED. |
Base |
| rule_details | RuleDetails Detalhes da regra que foi aplicada a esta associação. |
|
rule_details.reference campo |
Base | |
| Outros campos de detalhes da regra | Metadados | |
| instância | InstanceDetails Detalhes da instância de VM. Numa configuração de VPC partilhada, project_id corresponde à do projeto de serviço. |
Metadados |
| vpc | VpcDetails Detalhes da rede VPC. Numa configuração de VPC partilhada, project_id corresponde à do projeto anfitrião. |
Metadados |
| remote_instance | InstanceDetails Se o ponto final remoto da ligação for uma VM localizada no Compute Engine, este campo é preenchido com detalhes da instância da VM. |
Metadados |
| remote_vpc | VpcDetails Se o ponto final remoto da ligação for uma VM localizada numa rede VPC, este campo é preenchido com os detalhes da rede. |
Metadados |
| remote_location | GeographicDetails Se o ponto final remoto da ligação for externo à rede da VPC, este campo é preenchido com os metadados de localização disponíveis. |
Metadados |
IpConnection
| Campo | Tipo | Descrição |
|---|---|---|
| src_ip | de string | Endereço IP de origem. Se a origem for uma VM do Compute Engine,
src_ip é o endereço IP interno principal ou um endereço
num intervalo de IPs de alias da interface de rede da VM. O endereço IP
externo não é apresentado. O registo mostra o endereço IP da VM, tal como a VM o vê no cabeçalho do pacote, tal como se executasse o TCP dump na VM. |
| src_port | número inteiro | Porta de origem |
| dest_ip | de string | Endereço IP de destino. Se o destino for uma Trusted Cloud VM,
dest_ip é o endereço IP interno principal ou um endereço
num intervalo de IPs de alias da interface de rede da VM. O endereço IP externo não é apresentado, mesmo que tenha sido usado para estabelecer a ligação. |
| dest_port | número inteiro | Porta de destino |
| protocolo | número inteiro | Protocolo IP da ligação |
RuleDetails
| Campo | Tipo | Descrição |
|---|---|---|
| referência | de string | Referência à regra de firewall; formato:"network:{network name}/firewall:{firewall_name}" |
| prioridade | número inteiro | A prioridade da regra de firewall. |
| ação | de string | PERMITIR ou RECUSAR |
| source_range[ ] | de string | Lista de intervalos de origem aos quais a regra de firewall se aplica. |
| destination_range[ ] | de string | Lista de intervalos de destino aos quais a regra de firewall se aplica. |
| ip_port_info[ ] | IpPortDetails | Lista de protocolos IP e intervalos de portas aplicáveis para regras. |
| direção | de string | A direção à qual a regra de firewall se aplica (entrada ou saída). |
| source_tag[ ] | de string | Lista de todas as etiquetas de origem às quais a regra de firewall se aplica. |
| target_tag[ ] | de string | Lista de todas as etiquetas de destino às quais a regra de firewall se aplica. |
| source_service_account[ ] | de string | Lista de todas as contas de serviço de origem às quais a regra de firewall se aplica. |
| target_service_account[ ] | de string | Lista de todas as contas de serviço de destino às quais a regra de firewall se aplica. |
| source_region_code[ ] | de string | Lista de todos os códigos de países de origem aos quais a regra de firewall se aplica. |
| destination_region_code[ ] | de string | Lista de todos os códigos de países de destino aos quais a regra de firewall se aplica. |
| source_fqdn[ ] | de string | Lista de todos os nomes de domínios de origem aos quais a regra da firewall se aplica. |
| destination_fqdn[ ] | de string | Lista de todos os nomes de domínios de destino aos quais a regra de firewall se aplica. |
| source_address_groups[ ] | de string | Lista de todos os grupos de endereços de origem aos quais a regra de firewall se aplica. |
| destination_address_groups[ ] | de string | Lista de todos os grupos de endereços de destino aos quais a regra da firewall se aplica. |
IpPortDetails
| Campo | Tipo | Descrição |
|---|---|---|
| ip_protocol | de string | Protocolo IP ao qual a regra de firewall se aplica. "ALL" se se aplicar a todos os protocolos. |
| port_range[ ] | de string | Lista de intervalos de portas aplicáveis para regras; por exemplo, 8080-9090. |
InstanceDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | de string | ID do projeto que contém a VM |
| vm_name | de string | Nome da instância da VM |
| região | de string | Região da VM |
| zona | de string | Zona da VM |
VpcDetails
| Campo | Tipo | Descrição |
|---|---|---|
| project_id | de string | ID do projeto que contém a rede |
| vpc_name | de string | Rede na qual a VM está a funcionar |
| subnetwork_name | de string | Sub-rede na qual a VM está a funcionar |
GeographicDetails
| Campo | Tipo | Descrição |
|---|---|---|
| continente | de string | Continente para pontos finais externos |
| country | de string | País para pontos finais externos |
| região | de string | Região para pontos finais externos |
| cidade | de string | Cidade para pontos finais externos |
O que se segue?
- Para configurar o registo e ver os registos, consulte o artigo Use o registo de regras de firewall.
- Para ver estatísticas sobre como as regras de firewall estão a ser usadas, consulte Estatísticas de firewall.
- Para armazenar, pesquisar, analisar, monitorizar e alertar sobre dados de registos e eventos, consulte o Cloud Logging.
- Para encaminhar entradas de registo, consulte o artigo Configure e faça a gestão de destinos.