Cette page explique comment résoudre les problèmes courants que vous pouvez rencontrer lors de la configuration de l'inspection de la couche application (couche 7) sur votre réseau. Ces problèmes peuvent être liés aux profils de sécurité, aux groupes de profils de sécurité, aux points de terminaison de pare-feu ou aux stratégies de pare-feu.
Procédure de dépannage générale
Pour résoudre les erreurs de configuration courantes liées à l'inspection de la couche 7 sur votre réseau, effectuez les tâches mentionnées dans les sections suivantes.
Activer la journalisation des règles de stratégie de pare-feu
Pour activer la journalisation des règles de pare-feu d'inspection de la couche 7 dans vos stratégies de pare-feu, procédez comme suit :
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur le nom de la stratégie de pare-feu contenant des règles de pare-feu d'inspection de la couche 7.
Dans la colonne Priorité, cliquez sur la priorité de la règle de stratégie de pare-feu pour laquelle vous souhaitez activer les journaux.
Cliquez sur Modifier.
Pour le champ Journaux, sélectionnez Activé.
Cliquez sur Enregistrer.
Répétez les étapes précédentes pour toutes les stratégies de pare-feu réseau et hiérarchiques contenant des règles de pare-feu d'inspection de la couche 7.
Vérifier la configuration de vos règles de stratégie de pare-feu
- Assurez-vous que les stratégies de pare-feu contenant des règles de pare-feu d'inspection de la couche 7 sont associées au réseau cloud privé virtuel (VPC) dans lequel se trouvent les charges de travail des machines virtuelles (VM). Pour en savoir plus, consultez la section Associer une stratégie au réseau.
- Vérifiez que les points de terminaison de pare-feu sont associés au réseau VPC dans lequel se trouvent vos charges de travail de VM.
- Vérifiez l'ordre d'application des règles pour vous assurer que les règles appliquées au trafic sont dans l'ordre approprié. Pour en savoir plus, consultez la section Ordre d'évaluation des stratégies et des règles.
- Vérifiez les règles de pare-feu appliquées au niveau du réseau et de l'instance de VM. Assurez-vous que les règles de stratégie de pare-feu pour les règles de pare-feu d'inspection de la couche 7 sont déclenchées pour le trafic réseau.
Toutes les connexions sont autorisées ou refusées, mais pas interceptées
Ce scénario se produit lorsque vous avez configuré tous les composants des règles de pare-feu d'inspection de la couche 7, mais que le trafic n'est pas intercepté ni inspecté afin de détecter les menaces ou les activités malveillantes.
Pour résoudre ce problème, procédez comme suit :
- Vérifiez que le point de terminaison de pare-feu et les charges de travail de VM à inspecter se trouvent dans la même zone.
- Vérifiez que la journalisation est activée pour la règle de stratégie de pare-feu. Pour en savoir plus, consultez la section Activer la journalisation des règles de stratégie de pare-feu de ce document.
Dans la console Google Cloud, accédez à la page Règles d'administration.
Cliquez sur la stratégie de pare-feu contenant la règle d'inspection de la couche 7.
Dans la colonne Nombre de déclenchements, affichez le nombre de connexions uniques utilisées pour la règle de pare-feu.
Si le nombre de déclenchements est égal à zéro, la règle n'est pas appliquée au trafic. Pour vérifier si la configuration est correcte, consultez la section Procédure de dépannage générale de ce document.
Si le nombre de déclenchements n'est pas égal à zéro, cliquez dessus pour accéder à la page Explorateur de journaux, puis procédez comme suit :
- Développez les journaux individuels pour afficher les informations
connection
,disposition
etremote location
. - Si l'élément
disposition
n'est pas défini surintercepted
et sifallback_action = ALLOW
, consultez la section Procédure de dépannage générale de ce document pour vérifier si la configuration est correcte.
- Développez les journaux individuels pour afficher les informations
La règle de stratégie de pare-feu d'entrée n'intercepte pas le trafic entrant
Ce scénario se produit lorsque les règles de pare-feu d'inspection de la couche 7 ne sont pas appliquées au trafic entrant. Cela se produit lorsque le trafic entrant correspond aux autres règles de pare-feu avant de déclencher les règles de stratégie de pare-feu d'inspection de la couche 7.
Pour résoudre ce problème, procédez comme suit :
- Vérifiez que la journalisation est activée pour la règle de stratégie de pare-feu avec l'inspection de couche 7. Pour en savoir plus, consultez la section Activer la journalisation des règles de stratégie de pare-feu de ce document.
- Assurez-vous que la stratégie de pare-feu contenant la règle de pare-feu d'inspection de la couche 7 est associée au réseau VPC dans lequel se trouvent vos charges de travail de VM. Pour en savoir plus, consultez la section Associer une stratégie au réseau.
- Vérifiez que les points de terminaison de pare-feu sont associés au réseau VPC dans lequel se trouvent vos charges de travail de VM.
- Pour vérifier que la règle de pare-feu d'inspection de la couche 7 est appliquée, exécutez les tests de connectivité en fonction de la source et de la destination que vous avez définies dans la règle. Pour savoir comment exécuter des tests de connectivité, consultez la page Créer et exécuter des tests de connectivité.
- Vérifiez l'ordre dans lequel les règles sont appliquées au trafic entrant. Pour modifier cette séquence, consultez la section Modifier l'ordre d'évaluation des stratégies et des règles.
Une menace n'est pas détectée sur tout ou partie des connexions
Ce scénario peut se produire lorsque votre trafic est chiffré ou lorsque la règle de prévention des menaces n'est pas définie pour détecter la menace.
Si votre trafic est chiffré, assurez-vous d'avoir activé l'inspection TLS (Transport Layer Security) sur votre réseau. Pour en savoir plus sur l'activation de l'inspection TLS, consultez la page Configurer l'inspection TLS.
Si l'inspection TLS est activée, faites la distinction entre les messages vus par le client et les messages d'erreur lorsque le pare-feu Cloud nouvelle génération bloque une menace. Pour en savoir plus, consultez la section Messages d'erreur.
Assurez-vous que la règle de prévention des menaces est définie pour détecter cette menace :
- Examinez votre profil de sécurité pour vous assurer que les actions de remplacement associées à cette menace sont définies comme prévu.
- Ajoutez des actions de remplacement à vos profils de sécurité pour vous assurer que la menace est identifiée.
Règles de pare-feu mal configurées pour le service de prévention des intrusions
Ce scénario se produit lorsqu'il n'existe aucun point de terminaison de pare-feu valide ou que celui-ci n'est pas associé au réseau VPC dans lequel se trouvent vos charges de travail de VM. Par défaut, Cloud NGFW autorise le trafic et ajoute apply_security_profile_fallback_action = ALLOW
aux journaux de pare-feu.
Pour afficher les journaux de pare-feu, consultez la section Afficher les journaux.
Pour résoudre ce problème, procédez comme suit :
Pour activer la journalisation des règles de stratégie de pare-feu d'inspection de la couche 7 dans votre réseau, consultez la section Activer la journalisation des règles de stratégie de pare-feu de ce document.
Créez les métriques basées sur les journaux, les alertes basées sur les journaux ou les deux, à l'aide des filtres suivants.
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP" jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
Le filtre génère les détails des incidents, vous permettant ainsi de comprendre la condition de correspondance des journaux, la limite du taux de notifications, la durée de fermeture automatique des incidents, les étiquettes des journaux et le niveau de gravité du journal avec le résumé.
Messages d'erreur
Cette section décrit les messages d'erreur courants que vous recevez lorsque l'approbation TLS est incorrecte ou que Cloud NGFW bloque une menace. Pour apprendre à configurer l'inspection TLS, consultez la page Configurer l'inspection TLS.
La règle de stratégie de pare-feu est bloquée
Vous avez reçu un message d'erreur semblable à l'erreur suivante d'un client au cours d'une session SSH.
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
Pour résoudre cette erreur, consultez le journal et validez-le. Pour plus d'informations, consultez la section Utiliser la journalisation des règles de pare-feu.
Problème de configuration de l'approbation
Vous avez reçu un message d'erreur semblable à l'erreur suivante d'un client au cours d'une session SSH.
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection
Cette erreur indique un problème de configuration de l'approbation. Ce problème est dû à une configuration incorrecte ou à l'absence d'une autorité de certification (CA). Pour résoudre cette erreur, activez Certificate Authority Service.
Étapes suivantes
- Pour obtenir des informations conceptuelles sur le service de prévention des intrusions, consultez la présentation du service de prévention des intrusions.
- Pour obtenir des informations conceptuelles sur les règles de stratégie de pare-feu, consultez la section Règles de stratégie de pare-feu.
- Pour déterminer les coûts, consultez la section Tarifs de Cloud NGFW.