Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית של רישום ביומן של כללי מדיניות חומת אש

רישום ביומן של כללי מדיניות של חומת אש מאפשר לכם לבצע ביקורת, לאמת ולנתח את ההשפעות של כללי מדיניות חומת האש. לדוגמה, אפשר לבדוק אם כלל במדיניות חומת אש שנועד לחסום תנועה פועל כמצופה. רישום ביומן של כללי מדיניות חומת אש שימושי גם אם רוצים לדעת כמה חיבורים מושפעים מכלל מדיניות חומת אש מסוים.

מפעילים את הרישום ביומן של כללי מדיניות חומת אש בנפרד לכל כלל מדיניות חומת אש שרוצים לרשום ביומן את החיבורים שלו. אפשר להפעיל רישום ביומן של כל כלל מדיניות חומת אש, ללא קשר לפעולה (allow או deny) או לכיוון (ingress או egress) של הכלל.

רישום ביומן של כללי מדיניות חומת אש מתעד את התעבורה אל מכונות וירטואליות (VM) ב-Compute Engine וממנה. זה כולל Google Cloud מוצרים שמבוססים על מכונות וירטואליות ב-Compute Engine, כמו אשכולות של Google Kubernetes Engine ‏ (GKE) ומכונות של הסביבה הגמישה של Google Kubernetes Engine.

כשמפעילים את הרישום ביומן עבור כלל במדיניות חומת האש, Google Cloud נוצרת רשומה שנקראת רשומת חיבור בכל פעם שהכלל מאפשר או חוסם תעבורת נתונים. אפשר לראות את הרשומות האלה ב-Cloud Logging, ואפשר לייצא יומנים לכל יעד שנתמך בייצוא של Cloud Logging.

כל רשומה של חיבור מכילה את כתובות ה-IP של המקור והיעד, את הפרוטוקול והיציאות, את התאריך והשעה והפניה לכלל של מדיניות חומת האש שחל על התעבורה.

מידע על הצגת יומנים זמין במאמר ניהול רישום ביומן של כללים במדיניות חומת האש.

מפרטים

לרישום ביומן של כללי מדיניות חומת אש יש את המאפיינים הבאים:

פריסות נתמכות: אפשר להפעיל רישום ביומן של כללים במדיניות חומת אש עבור כללים במדיניות חומת אש היררכית, גלובלית, אזורית ומערכת אזורית של חומת אש שמשויכת לרשת VPC רגילה, וכללים במדיניות חומת אש אזורית שמשויכת לרשת VPC מסוג RoCE.
כללים שלא נתמכים: תיעוד של כללים במדיניות חומת אש לא נתמך עבור כללים ברשתות מדור קודם, כללים משתמעים לדחייה של תעבורת נתונים נכנסת (ingress) או לאישור של תעבורת נתונים יוצאת (egress) ברשת VPC רגילה, או כללים משתמעים לאישור של תעבורת נתונים נכנסת (ingress) או יוצאת (egress) ברשת VPC של RoCE.
תמיכה בפרוטוקולים: רישום ביומן של כללי מדיניות חומת אש מתעד רק חיבורים מסוג TCP ו-UDP. אם רוצים לעקוב אחרי פרוטוקולים אחרים, כדאי להשתמש בשילוב מחוץ לפס.
רישום ביומן שמבוסס על חיבור: רישום ביומן של כללי מדיניות חומת האש נוצר כשנוצר חיבור, ולא עבור כל מנה בנפרד. החיבור נשאר פעיל כל עוד מתבצעת החלפת מנות לפחות פעם ב-10 דקות. כל מנה חדשה מאפסת את טיימר ההמתנה. לכן, זרם רציף של תנועת גולשים יוצר רק רשומה אחת ביומן למשך כל הפעילות שלו. אם אתם צריכים לראות באופן רציף את הסטרימינג הפעיל לטווח ארוך בלי תקופות של חוסר פעילות, תוכלו להשתמש ב-VPC Flow Logs.
חיבורים קיימים: אם מפעילים רישום ביומן בכלל שתואם לחיבור TCP או UDP שכבר פעיל, לא נוצר רשומה חדשה ביומן. כלל המדיניות של חומת האש מתעד את החיבור רק אם הוא נשאר במצב לא פעיל למשך 10 דקות לפחות, ואחרי כן נשלח חבילת נתונים חדשה.
התנהגות של אישור ודחייה:
- Allow + Logging: חיבור מותר נרשם ביומן פעם אחת בלבד, והערך לא חוזר על עצמו גם אם החיבור נמשך, כי כללי חומת האש הם עם שמירת מצב, תעבורת תשובות מותרת באופן אוטומטי ולא נרשמת ביומן.
- Deny + Logging: כל מנה שהוסרה בהתאם ל-5-tuple ייחודית מתועדת כניסיון כושל. רשומת היומן חוזרת כל 5 שניות כל עוד נצפים מנות עבור החיבור שנדחה.
נקודת מבט של יצירת יומן: רשומות ביומן נוצרות רק אם ההרשאה של מדיניות חומת האש מאפשרת רישום ביומן, ואם ההרשאה חלה על תנועה שנשלחת אל המכונה הווירטואלית או ממנה. הערכים נוצרים בכפוף למגבלות של רישום ביומן של החיבור.
מגבלות קצב: מספר החיבורים שנרשמים ליחידת זמן נקבע לפי סוג המכונה של המכונה הווירטואלית ברשתות VPC רגילות, או לפי פעולת המעקב או הרישום ביומן של הכלל ברשתות VPC של RoCE. מידע נוסף זמין במאמרים מגבלות על רישום ביומן של חיבורים ומעקב ורישום ביומן.

לוגיקה מבוססת-סשן לבדיקה מתקדמת: כשמדיניות חומת אש משתמשת בפעולה המתקדמת apply_security_profile_group, התנהגות הרישום ביומן משתנה מלוגיקה מבוססת-חיבור ללוגיקה מבוססת-סשן.

‫Cloud NGFW יוצר רשומה אחת ביומן ברמה גבוהה עבור הסשן הראשוני שתואם לכלל ונחטף בהצלחה לצורך בדיקת מנות לעומק, גם אם כמה חיבורים בסיסיים שייכים לאותו סשן. יומן חומת האש ברמה גבוהה שונה מיומנים מפורטים של שכבה 7, כמו סינון כתובות URL או יומני איומים שנוצרים לכל חיבור שנבדק.
פעולות ייחודיות וסטטוסים: יומני המדיניות של Cloud NGFW הם היומנים היחידים שיכולים לתעד את הסטטוס INTERCEPTED ואת הפעולה APPLY_SECURITY_PROFILE_GROUP. אם משתמשים בפעולה הזו, המערכת רושמת שדה נוסף ביומן (apply_security_profile_fallback_action).
יומני ביקורת: אפשר לראות את השינויים בהגדרות של כלל מדיניות חומת האש ביומני הביקורת של Cloud NGFW. מידע נוסף זמין במאמר בנושא רישום ביומן של ביקורת ב-Cloud NGFW.

מגבלות

כשמשתמשים בפעולה apply_security_profile_group עם הפעלת רישום ביומן, Cloud NGFW לא מתעד ביומן את כל הסשנים. המגבלה הזו לא משפיעה על בדיקה או על יירוט של תנועת נתונים.
אם מפעילים רישום ביומן עבור כלל במדיניות חומת האש שתואם לחיבורים קיימים של TCP או UDP, לא נוצרים רשומות ביומן עבור החיבורים הפעילים האלה. הרישום ביומן של החיבורים האלה מתחיל רק אחרי שהם בלי פעילות במשך 10 דקות לפחות.
כשמציינים את פרוטוקול ה-IP‏ (IpPortInfo.ip_protocol), אי אפשר להגדיר את הערך ALL לכללים של מדיניות חומת האש.
כללי מדיניות חומת האש לא תומכים ברישום ביומן של שדות מטא-נתונים מדור קודם, במיוחד source_tag,‏ target_tag,‏ source_service_account ו-target_service_accounts.

סקירה כללית של רישום ביומן של כללי מדיניות חומת אש קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

מפרטים

מגבלות

המאמרים הבאים

סקירה כללית של רישום ביומן של כללי מדיניות חומת אש