Fehlerbehebung bei der Prüfung auf Anwendungsebene

Auf dieser Seite wird beschrieben, wie Sie häufige Probleme beim Einrichten der Prüfung auf Anwendungsebene (Ebene 7) in Ihrem Netzwerk beheben können. Diese Probleme können mit Sicherheitsprofilen, Sicherheitsprofilgruppen, Firewall-Endpunkten oder Firewallrichtlinien verbunden sein.

Allgemeine Schritte zur Fehlerbehebung

Führen Sie die in den folgenden Abschnitten erwähnten Aufgaben aus, um häufige Konfigurationsfehler im Zusammenhang mit der Layer 7-Prüfung in Ihrem Netzwerk zu beheben.

Logging von Firewallrichtlinien-Regeln aktivieren

So aktivieren Sie das Logging für die Firewallregeln der Layer-7-Prüfung in Ihren Firewallrichtlinien:

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie auf den Namen einer Firewallrichtlinie, die Firewallregeln für die Layer-7-Inspektion enthält.

3. Klicken Sie in der Spalte Priorität auf die Priorität der Firewallrichtlinienregel, für die Sie das Logging aktivieren möchten.

4. Klicken Sie auf Bearbeiten.

5. Wählen Sie für Logs Ein aus.

6. Klicken Sie auf Speichern.

Wiederholen Sie die vorherigen Schritte für alle Netzwerkfirewall-Richtlinien und hierarchischen Firewall-Richtlinien, die Firewallregeln für die Layer-7-Prüfung enthalten.

Konfiguration der Firewallrichtlinien-Regeln prüfen

1. Achten Sie darauf, dass die Firewall-Richtlinien mit den Layer 7-Firewallregeln dem VPC-Netzwerk (Virtual Private Cloud) zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
2. Prüfen Sie, ob die Firewall-Endpunkte dem VPC-Netzwerk zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden.
3. Prüfen Sie die Reihenfolge der Regeldurchsetzung, um sicherzustellen, dass die auf den Traffic angewendeten Regeln in der richtigen Reihenfolge sind. Weitere Informationen finden Sie unter Reihenfolge der Richtlinien- und Regelauswertungen.
4. Prüfen Sie die gültigen Firewallregeln auf Netzwerk- und VM-Instanzebene. Achten Sie darauf, dass die Firewallrichtlinienregeln für die Layer-7-Inspektionsfirewallregeln für den Netzwerktraffic erreicht werden.

Alle Verbindungen werden zugelassen oder abgelehnt, aber nicht abgefangen

Dieses Szenario tritt auf, wenn Sie alle Komponenten für die Firewallregeln für die Layer-7-Prüfung konfiguriert haben, der Traffic jedoch nicht abgefangen und auf Bedrohungen oder schädliche Aktivitäten untersucht wird.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Prüfen Sie, ob sich der Firewall-Endpunkt und die zu prüfenden VM-Arbeitslasten in derselben Zone befinden.
2. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.

3. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

4. Klicken Sie auf die Firewallrichtlinie, die die Regel für die Layer-7-Prüfung enthält.

5. In der Spalte Trefferzahl sehen Sie die Anzahl der einmaligen Verbindungen, die für die Firewallregel verwendet wurden.

6. Wenn die Trefferanzahl null ist, wird die Regel nicht auf den Traffic angewendet. Wie Sie prüfen, ob die Einrichtung korrekt ist, erfahren Sie im Abschnitt Allgemeine Schritte zur Fehlerbehebung in diesem Dokument.

7. Wenn die Trefferzahl nicht null ist, klicken Sie auf die Anzahl, um die Seite Log Explorer aufzurufen. Führen Sie dann die folgenden Schritte aus:

   1. Maximieren Sie einzelne Protokolle, um Details zu connection, disposition und remote location aufzurufen.
   2. Wenn die disposition nicht auf intercepted und fallback_action = ALLOW festgelegt ist, lesen Sie den Abschnitt Allgemeine Schritte zur Fehlerbehebung in diesem Dokument, um zu prüfen, ob die Einrichtung korrekt ist.

Firewall-Richtlinienregeln für eingehenden Traffic fangen eingehenden Traffic nicht ab

Dieses Szenario tritt auf, wenn die Firewallregeln der Layer-7-Prüfung nicht auf den eingehenden Traffic angewendet werden. Dies tritt zu, wenn der eingehende Traffic den anderen Firewallregeln entspricht, bevor er die Firewallrichtlinienregeln der Layer-7-Prüfung erreicht.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel der Layer-7-Prüfung aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.
2. Achten Sie darauf, dass die Firewallrichtlinie mit der Layer-7-Firewallregel der Prüfung dem VPC-Netzwerk zugeordnet ist, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
3. Prüfen Sie, ob die Firewall-Endpunkte dem VPC-Netzwerk zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden.
4. Um zu prüfen, ob die Firewallregel für die Layer-7-Prüfung angewendet wird, führen Sie Konnektivitätstests anhand der in der Regel definierten Quelle und des Ziels aus. Informationen zum Ausführen von Konnektivitätstests finden Sie unter Konnektivitätstests erstellen und ausführen.
5. Prüfen Sie die Reihenfolge, in der die Regeln auf den eingehenden Traffic angewendet werden. Informationen zum Ändern dieser Reihenfolge finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.

Eine Bedrohung wird bei einigen oder allen Verbindungen nicht erkannt

Dieses Szenario kann auftreten, wenn Ihr Traffic verschlüsselt ist oder die Richtlinie zur Bedrohungsprävention nicht so konfiguriert ist, dass die Bedrohung erkannt wird.

Wenn Ihr Traffic verschlüsselt ist, muss die TLS-Prüfung (Transport Layer Security) für Ihr Netzwerk aktiviert sein. Weitere Informationen zum Aktivieren der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Wenn die TLS-Prüfung aktiviert ist, wird zwischen vom Client angezeigten Meldungen und Fehlermeldungen unterschieden, wenn Cloud Next Generation Firewall eine Bedrohung blockiert. Weitere Informationen finden Sie unter Fehlermeldungen.

Achten Sie darauf, dass die Richtlinie zur Bedrohungsprävention so konfiguriert ist, dass diese Bedrohung erkannt wird:

1. Prüfen Sie Ihr Sicherheitsprofil, um festzustellen, ob die Überschreibungsaktionen für diese Bedrohung wie erwartet festgelegt sind.
2. Fügen Sie Ihren Sicherheitsprofilen Überschreibungsaktionen hinzu, damit die Bedrohung sicher erfasst wird.

Falsch konfigurierte Firewallregeln des Diensts zur Angriffsprävention

Dieses Szenario tritt auf, wenn kein gültiger Firewall-Endpunkt vorhanden ist oder der Endpunkt nicht mit dem VPC-Netzwerk verknüpft ist, in dem sich Ihre VM-Arbeitslasten befinden. Als Standard-Fallback-Aktion lässt Cloud NGFW den Traffic zu und fügt den Firewall-Logs apply_security_profile_fallback_action = ALLOW hinzu. Informationen zum Anzeigen von Firewall-Logs finden Sie unter Logs ansehen.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Informationen zum Aktivieren des Loggings für die Firewallrichtlinienregeln der Layer-7-Prüfung in Ihrem Netzwerk finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.

2. Mit den folgenden Filtern können Sie logbasierte Messwerte, logbasierte Benachrichtigungen oder beides erstellen.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Der Filter generiert Vorfalldetails, die dabei helfen, Log-Übereinstimmungsbedingungen, das Limit der Benachrichtigungsrate, die Dauer für das automatische Schließen von Vorfällen, Loglabels und den Logschweregrad über die Zusammenfassung zu verstehen.

Fehlermeldungen

In diesem Abschnitt werden die häufigsten Fehlermeldungen beschrieben, die angezeigt werden, wenn das TLS-Vertrauen nicht korrekt ist oder die Cloud NGFW eine Bedrohung blockiert. Informationen zum Einrichten der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Firewallrichtlinien-Regel blockiert

Sie haben während einer SSH-Sitzung von einem Client eine Fehlermeldung erhalten, die so ähnlich wie die folgende aussieht.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Rufen Sie das Protokoll auf und prüfen Sie es, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Logging von Firewallregeln verwenden.

Falsch konfigurierte Vertrauensstellung

Sie haben während einer SSH-Sitzung von einem Client eine Fehlermeldung erhalten, die so ähnlich wie die folgende aussieht.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Dieser Fehler weist auf ein Problem mit der Vertrauensstellung hin. Dieses Problem wird entweder durch eine falsche Konfiguration oder das Fehlen einer Zertifizierungsstelle (Certificate Authority, CA) verursacht. Aktivieren Sie den Certificate Authority Service, um diesen Fehler zu beheben.

Nächste Schritte

• Konzeptionelle Informationen zum Dienst zur Angriffsprävention finden Sie unter Übersicht: Dienst zur Angriffsprävention.
• Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
• Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.