Halaman ini menjelaskan cara memecahkan masalah umum yang mungkin Anda alami saat menyiapkan pemeriksaan lapisan aplikasi (Lapisan 7) di jaringan Anda. Masalah ini mungkin terkait dengan profil keamanan, grup profil keamanan, endpoint firewall, atau kebijakan firewall.
Langkah-langkah pemecahan masalah umum
Untuk memecahkan masalah error konfigurasi umum terkait pemeriksaan Lapisan 7 di jaringan Anda, selesaikan tugas-tugas yang disebutkan di bagian berikut.
Aktifkan logging aturan kebijakan firewall
Guna mengaktifkan logging untuk aturan firewall pemeriksaan Lapisan 7 di kebijakan firewall Anda, lakukan hal berikut:
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Klik nama kebijakan firewall yang memiliki aturan firewall pemeriksaan Lapisan 7.
Di kolom Priority, klik prioritas aturan kebijakan firewall yang lognya ingin Anda aktifkan.
Klik Edit.
Untuk Log, pilih Aktif.
Klik Save.
Ulangi langkah sebelumnya untuk semua kebijakan firewall jaringan dan kebijakan firewall hierarkis yang berisi aturan firewall pemeriksaan Lapisan 7.
Memverifikasi konfigurasi aturan kebijakan firewall
- Pastikan kebijakan firewall dengan aturan firewall pemeriksaan Lapisan 7 dikaitkan dengan jaringan Virtual Private Cloud (VPC) tempat workload virtual machine (VM) Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
- Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat beban kerja VM Anda berada.
- Periksa urutan penerapan aturan untuk memastikan aturan yang diterapkan ke traffic berada dalam urutan yang benar. Untuk informasi selengkapnya, lihat Urutan evaluasi kebijakan dan aturan.
- Periksa aturan firewall yang efektif di tingkat instance VM dan jaringan. Pastikan aturan kebijakan firewall untuk aturan firewall pemeriksaan Lapisan 7 mendapatkan hit untuk traffic jaringan.
Semua koneksi diizinkan atau ditolak, tetapi tidak diblokir
Skenario ini akan terjadi jika Anda telah mengonfigurasi semua komponen untuk aturan firewall pemeriksaan Lapisan 7, tetapi traffic tidak dicegat dan diperiksa untuk mengetahui apakah ada ancaman atau aktivitas berbahaya.
Untuk menyelesaikan masalah ini, ikuti langkah berikut:
- Pastikan endpoint firewall dan workload VM yang akan diperiksa berada di zona yang sama.
- Pastikan logging diaktifkan untuk aturan kebijakan firewall. Untuk mengetahui informasi selengkapnya, baca bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.
Pada konsol Google Cloud, buka halaman Kebijakan Firewall.
Klik kebijakan firewall yang berisi aturan untuk pemeriksaan Layer 7.
Di kolom Jumlah hit, lihat jumlah koneksi unik yang digunakan untuk aturan firewall.
Jika jumlah hit adalah nol, aturan tidak diterapkan ke traffic. Untuk memverifikasi apakah penyiapan sudah benar, lihat bagian Langkah pemecahan masalah umum dalam dokumen ini.
Jika jumlah hit bukan nol, klik jumlah tersebut untuk membuka halaman Log explorer, lalu ikuti langkah-langkah berikut:
- Luaskan log satu per satu untuk melihat detail
connection
,disposition
, danremote location
. - Jika
disposition
tidak ditetapkan keintercepted
danfallback_action = ALLOW
, lihat bagian Langkah pemecahan masalah umum dalam dokumen ini untuk memverifikasi apakah penyiapan sudah benar.
- Luaskan log satu per satu untuk melihat detail
Aturan kebijakan firewall masuk tidak mengintersep traffic masuk
Skenario ini terjadi saat aturan firewall pemeriksaan Lapisan 7 tidak diterapkan ke traffic masuk. Hal ini terjadi saat traffic masuk cocok dengan aturan firewall lain sebelum mencapai aturan kebijakan firewall pemeriksaan Lapisan 7.
Untuk menyelesaikan masalah ini, ikuti langkah berikut:
- Pastikan logging diaktifkan untuk aturan kebijakan firewall dengan pemeriksaan Lapisan 7. Untuk mengetahui informasi selengkapnya, baca bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.
- Pastikan kebijakan firewall dengan aturan firewall pemeriksaan Lapisan 7 dikaitkan dengan jaringan VPC tempat workload VM Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
- Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat beban kerja VM Anda berada.
- Untuk memverifikasi bahwa aturan firewall pemeriksaan Lapisan 7 diterapkan, jalankan pengujian konektivitas berdasarkan sumber dan tujuan yang Anda tentukan dalam aturan. Untuk mempelajari cara menjalankan Uji Konektivitas, lihat Membuat dan menjalankan Uji Konektivitas.
- Periksa urutan penerapan aturan ke traffic masuk. Untuk mengubah urutan ini, lihat Mengubah kebijakan dan urutan evaluasi aturan.
Ancaman tidak terdeteksi di beberapa atau semua koneksi
Skenario ini mungkin terjadi saat traffic Anda dienkripsi, atau kebijakan pencegahan ancaman tidak ditetapkan untuk mendeteksi ancaman.
Jika traffic dienkripsi, pastikan Anda telah mengaktifkan pemeriksaan Transport Layer Security (TLS) di jaringan Anda. Untuk mempelajari cara mengaktifkan pemeriksaan TLS lebih lanjut, lihat Menyiapkan pemeriksaan TLS.
Jika pemeriksaan TLS diaktifkan, bedakan pesan yang terlihat dari klien versus pesan error saat Cloud Next Generation Firewall memblokir ancaman. Untuk mengetahui informasi selengkapnya, lihat Pesan error.
Pastikan kebijakan pencegahan ancaman disetel untuk mendeteksi ancaman ini:
- Tinjau profil keamanan Anda untuk mengidentifikasi bahwa tindakan penggantian untuk ancaman ini telah ditetapkan sebagaimana mestinya.
- Tambahkan tindakan penggantian ke profil keamanan Anda untuk memastikan ancaman terdeteksi.
Aturan firewall layanan pencegahan intrusi yang salah dikonfigurasi
Skenario ini terjadi jika tidak ada endpoint firewall yang valid atau endpoint
tidak terkait dengan jaringan VPC tempat beban kerja VM Anda
berada. Sebagai tindakan penggantian default, Cloud NGFW mengizinkan traffic, dan menambahkan apply_security_profile_fallback_action = ALLOW
ke log firewall.
Untuk melihat log firewall, buka bagian Melihat log.
Untuk menyelesaikan masalah ini, ikuti langkah berikut:
Guna mengaktifkan logging untuk aturan kebijakan firewall pemeriksaan Lapisan 7 di jaringan Anda, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.
Buat metrik berbasis log, pemberitahuan berbasis log, atau keduanya menggunakan filter berikut.
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP" jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
Filter ini menghasilkan detail insiden, yang membantu Anda memahami kondisi pencocokan log, batas kapasitas notifikasi, durasi penutupan otomatis insiden, label log, dan tingkat keparahan log dengan ringkasan.
Pesan error
Bagian ini menjelaskan pesan error umum yang Anda dapatkan saat kepercayaan TLS tidak tepat atau Cloud NGFW memblokir ancaman. Untuk mempelajari cara menyiapkan pemeriksaan TLS, lihat Menyiapkan pemeriksaan TLS.
Aturan kebijakan firewall diblokir
Anda menerima pesan error yang serupa dengan error berikut dari klien selama sesi SSH.
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
Untuk mengatasi error ini, lihat log dan validasikan. Untuk mengetahui informasi lebih lanjut, lihat Menggunakan Logging Aturan Firewall.
Kepercayaan yang salah dikonfigurasi
Anda menerima pesan error yang serupa dengan error berikut dari klien selama sesi SSH.
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection
Error ini menunjukkan masalah kepercayaan yang salah dikonfigurasi. Masalah ini disebabkan karena konfigurasi yang salah atau tidak adanya certificate authority (CA). Untuk mengatasi error ini, aktifkan Certificate Authority Service.
Langkah selanjutnya
- Untuk informasi konseptual tentang layanan pencegahan penyusupan, lihat Ringkasan layanan pencegahan penyusupan.
- Untuk mengetahui informasi konseptual tentang aturan kebijakan firewall, lihat Aturan kebijakan firewall.
- Untuk menentukan biaya, lihat Harga Cloud NGFW.