Fehlerbehebung bei der Prüfung auf Anwendungsebene

Auf dieser Seite wird beschrieben, wie Sie häufige Probleme beim Einrichten der Prüfung auf Anwendungsebene (Ebene 7) in Ihrem Netzwerk beheben können. Diese Probleme können mit Sicherheitsprofilen, Sicherheitsprofilgruppen, Firewall-Endpunkten oder Firewallrichtlinien verbunden sein.

Allgemeine Schritte zur Fehlerbehebung

Führen Sie die in den folgenden Abschnitten genannten Aufgaben aus, um häufige Konfigurationsfehler im Zusammenhang mit der Layer-7-Prüfung in Ihrem Netzwerk zu beheben.

Logging von Firewallrichtlinien-Regeln aktivieren

So aktivieren Sie das Logging für die Firewallregeln der Layer-7-Prüfung in Ihren Firewallrichtlinien:

1. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie auf den Namen der Firewallrichtlinie, die Firewallregeln der Layer-7-Prüfung enthält.

3. Klicken Sie in der Spalte Priorität auf die Priorität der Firewallrichtlinienregel, für die Sie Logs aktivieren möchten.

4. Klicken Sie auf Bearbeiten.

5. Wählen Sie für Logs Ein aus.

6. Klicken Sie auf Speichern.

Wiederholen Sie die vorherigen Schritte für alle Netzwerk-Firewallrichtlinien und hierarchische Firewallrichtlinien, die Layer-7-Prüfungs-Firewallregeln enthalten.

Konfiguration der Firewallrichtlinien-Regeln prüfen

1. Achten Sie darauf, dass die Firewallrichtlinien mit den Firewallregeln der Layer-7-Prüfung dem VPC-Netzwerk (Virtual Private Cloud) zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
2. Prüfen Sie, ob die Firewall-Endpunkte mit dem VPC-Netzwerk verknüpft sind, in dem sich Ihre VM-Arbeitslasten befinden.
3. Prüfen Sie die Reihenfolge der Regelerzwingung, um zu gewährleisten, dass die auf den Traffic angewendeten Regeln in der richtigen Reihenfolge vorliegen. Weitere Informationen finden Sie unter Reihenfolge der Richtlinien- und Regelauswertungen.
4. Prüfen Sie die effektiven Firewallregeln auf Netzwerk- und VM-Instanzebene. Achten Sie darauf, dass die Firewallrichtlinien-Regeln für die Firewall-Regeln der Layer-7-Prüfung für den Netzwerk-Traffic getroffen werden.

Alle Verbindungen werden zugelassen oder abgelehnt, aber nicht abgefangen

Dieses Szenario tritt auf, wenn Sie alle Komponenten für Firewallregeln der Layer-7-Prüfung konfiguriert haben, der Traffic jedoch nicht abgefangen und auf Bedrohungen oder schädliche Aktivitäten geprüft wird.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Achten Sie darauf, dass sich der Firewall-Endpunkt und die zu prüfenden VM-Arbeitslasten in derselben Zone befinden.
2. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.

3. Rufen Sie in der Google Cloud Console die Seite der Firewall-Richtlinien auf.

   Zu den Firewall-Richtlinien

4. Klicken Sie auf die Firewallrichtlinie, die die Regel für die Layer-7-Prüfung enthält.

5. In der Spalte Trefferzahl sehen Sie die Anzahl der einzelnen Verbindungen, die für die Firewallregel verwendet werden.

6. Wenn die Trefferanzahl null ist, wird die Regel nicht auf den Traffic angewendet. Wie Sie prüfen, ob die Einrichtung korrekt ist, erfahren Sie im Abschnitt Allgemeine Schritte zur Fehlerbehebung dieses Dokuments.

7. Wenn die Trefferanzahl nicht null ist, klicken Sie auf die Anzahl, um die Seite Log-Explorer aufzurufen, und führen Sie die folgenden Schritte aus:

   1. Maximieren Sie einzelne Logs, um die Details connection, disposition und remote location aufzurufen.
   2. Wenn disposition nicht auf intercepted und fallback_action = ALLOW gesetzt ist, lesen Sie den Abschnitt Allgemeine Schritte zur Fehlerbehebung dieses Dokuments, um zu prüfen, ob die Einrichtung korrekt ist.

Firewallrichtlinienregel für eingehenden Traffic fängt eingehenden Traffic nicht ab

Dieses Szenario tritt auf, wenn die Firewallregeln der Layer-7-Prüfung nicht auf den eingehenden Traffic angewendet werden. Dies tritt zu, wenn der eingehende Traffic den anderen Firewallregeln entspricht, bevor er die Firewallrichtlinienregeln der Layer-7-Prüfung erreicht.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel der Layer-7-Prüfung aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.
2. Achten Sie darauf, dass die Firewallrichtlinie mit der Firewallregel der Layer-7-Inspektion dem VPC-Netzwerk zugeordnet ist, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
3. Prüfen Sie, ob die Firewall-Endpunkte mit dem VPC-Netzwerk verknüpft sind, in dem sich Ihre VM-Arbeitslasten befinden.
4. Führen Sie die Konnektivitätstests anhand der Quelle und des Ziels aus, die Sie in der Regel definiert haben, um zu prüfen, ob die Firewallregel für die Layer-7-Prüfung angewendet wird. Informationen zum Ausführen von Konnektivitätstests finden Sie unter Konnektivitätstests erstellen und ausführen.
5. Prüfen Sie die Reihenfolge, in der die Regeln auf den eingehenden Traffic angewendet werden. Informationen zum Ändern dieser Sequenz finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.

Eine Bedrohung wird bei einigen oder allen Verbindungen nicht erkannt

Dieses Szenario kann auftreten, wenn Ihr Traffic verschlüsselt ist oder die Richtlinie zur Bedrohungsvermeidung nicht festgelegt ist, um die Bedrohung zu erkennen.

Wenn Ihr Traffic verschlüsselt ist, achten Sie darauf, dass Sie die TLS-Prüfung (Transport Layer Security) in Ihrem Netzwerk aktiviert haben. Weitere Informationen zum Aktivieren der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Wenn die TLS-Prüfung aktiviert ist, unterscheiden Sie zwischen Nachrichten, die vom Client angezeigt werden, und von Fehlermeldungen, wenn die Cloud Next Generation Firewall eine Bedrohung blockiert. Weitere Informationen finden Sie unter Fehlermeldungen.

Achten Sie darauf, dass die Richtlinie zur Bedrohungsvermeidung so eingestellt ist, dass diese Bedrohung erkannt wird:

1. Prüfen Sie Ihr Sicherheitsprofil, um festzustellen, ob die Überschreibungsaktionen für diese Bedrohung wie erwartet festgelegt sind.
2. Fügen Sie Ihren Sicherheitsprofilen Überschreibungsaktionen hinzu, um sicherzustellen, dass die Bedrohung erfasst wird.

Falsch konfigurierte Firewallregeln für den Einbruchspräventionsdienst

Dieses Szenario tritt auf, wenn kein gültiger Firewall-Endpunkt vorhanden ist oder der Endpunkt nicht mit dem VPC-Netzwerk verknüpft ist, in dem sich Ihre VM-Arbeitslasten befinden. Als Standard-Fallback-Aktion lässt Cloud NGFW den Traffic zu und fügt den Firewall-Logs apply_security_profile_fallback_action = ALLOW hinzu. Informationen zum Anzeigen von Firewall-Logs finden Sie unter Logs ansehen.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Informationen zum Aktivieren des Loggings für Firewallrichtlinien-Regeln für die Layer-7-Prüfung in Ihrem Netzwerk finden Sie im Abschnitt Logging von Firewallrichtlinien-Regeln aktivieren in diesem Dokument.

2. Erstellen Sie mithilfe der folgenden Filter die logbasierten Messwerte, logbasierten Benachrichtigungen oder beides.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Der Filter generiert Details zu Vorfällen, mit denen Sie die Logübereinstimmungsbedingung, das Limit für die Benachrichtigungsrate, die Dauer des automatischen Schließens von Vorfällen, die Loglabels und den Logschweregrad der Zusammenfassung nachvollziehen können.

Fehlermeldungen

In diesem Abschnitt werden die häufigsten Fehlermeldungen beschrieben, die Sie erhalten, wenn die TLS-Vertrauensstellung falsch ist oder Cloud NGFW eine Bedrohung blockiert. Informationen zum Einrichten der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Firewallrichtlinienregel ist blockiert

Während einer SSH-Sitzung haben Sie eine Fehlermeldung ähnlich der folgenden von einem Client erhalten.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Rufen Sie das Protokoll auf und prüfen Sie es, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Logging von Firewallregeln verwenden.

Falsch konfigurierte Vertrauensstellung

Während einer SSH-Sitzung haben Sie eine Fehlermeldung ähnlich der folgenden von einem Client erhalten.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Dieser Fehler weist auf ein falsch konfiguriertes Vertrauensproblem hin. Dieses Problem wird entweder durch eine falsche Konfiguration oder das Fehlen einer Zertifizierungsstelle (Certificate Authority, CA) verursacht. Aktivieren Sie den Certificate Authority Service, um diesen Fehler zu beheben.

Nächste Schritte

• Konzeptionelle Informationen zum Einbruchspräventionsdienst finden Sie unter Dienst zur Einbruchsprävention.
• Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
• Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.