Memecahkan masalah pemeriksaan lapisan aplikasi

Halaman ini menjelaskan cara memecahkan masalah umum yang mungkin Anda alami saat menyiapkan pemeriksaan lapisan aplikasi (Lapisan 7) di jaringan. Masalah ini mungkin terkait dengan profil keamanan, grup profil keamanan, endpoint firewall, atau kebijakan firewall.

Langkah-langkah pemecahan masalah umum

Untuk memecahkan masalah error konfigurasi umum yang terkait dengan pemeriksaan Lapisan 7 di jaringan Anda, selesaikan tugas yang disebutkan di bagian berikut.

Mengaktifkan logging aturan kebijakan firewall

Untuk mengaktifkan logging bagi aturan firewall pemeriksaan Lapisan 7 dalam kebijakan firewall Anda, lakukan tindakan berikut:

  1. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  2. Klik nama kebijakan firewall yang memiliki aturan firewall pemeriksaan Lapisan 7.

  3. Di kolom Prioritas, klik prioritas aturan kebijakan firewall yang log-nya ingin Anda aktifkan.

  4. Klik Edit.

  5. Untuk Logs, pilih On.

  6. Klik Simpan.

Ulangi langkah-langkah sebelumnya untuk semua kebijakan firewall jaringan dan kebijakan firewall hierarkis yang berisi aturan firewall pemeriksaan Lapisan 7.

Memverifikasi konfigurasi aturan kebijakan firewall

  1. Pastikan kebijakan firewall dengan aturan firewall pemeriksaan Lapisan 7 dikaitkan dengan jaringan Virtual Private Cloud (VPC) tempat workload virtual machine (VM) Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
  2. Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat workload VM Anda berada.
  3. Periksa urutan penegakan aturan untuk memastikan bahwa aturan yang diterapkan ke traffic berada dalam urutan yang benar. Untuk mengetahui informasi selengkapnya, lihat Urutan evaluasi kebijakan dan aturan.
  4. Periksa aturan firewall yang efektif di tingkat jaringan dan instance VM. Pastikan aturan kebijakan firewall untuk aturan firewall pemeriksaan Lapisan 7 diaktifkan untuk traffic jaringan.

Semua koneksi diizinkan atau ditolak, tetapi tidak dicegat

Skenario ini terjadi saat Anda telah mengonfigurasi semua komponen untuk aturan firewall pemeriksaan Lapisan 7, tetapi traffic tidak dicegat dan diperiksa untuk mendeteksi ancaman atau aktivitas berbahaya.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan endpoint firewall dan beban kerja VM yang akan diperiksa berada di zona yang sama.
  2. Verifikasi bahwa logging diaktifkan untuk aturan kebijakan firewall. Untuk informasi selengkapnya, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.

  3. Pada konsol Google Cloud, buka halaman Kebijakan Firewall.

    Buka Kebijakan firewall

  4. Klik kebijakan firewall yang berisi aturan untuk pemeriksaan Lapisan 7.

  5. Di kolom Hit count, lihat jumlah koneksi unik yang digunakan untuk aturan firewall.

  6. Jika jumlah hit nol, aturan tidak akan diterapkan ke traffic. Untuk memverifikasi apakah penyiapan sudah benar, lihat bagian Langkah pemecahan masalah umum dalam dokumen ini.

  7. Jika jumlah hit bukan nol, klik jumlah untuk membuka halaman Log explorer dan ikuti langkah-langkah berikut:

    1. Luaskan setiap log untuk melihat detail connection, disposition, dan remote location.
    2. Jika disposition tidak disetel ke intercepted dan fallback_action = ALLOW, lihat bagian Langkah pemecahan masalah umum dalam dokumen ini untuk memverifikasi apakah penyiapan sudah benar.

Aturan kebijakan firewall masuk tidak mencegat traffic masuk

Skenario ini terjadi saat aturan firewall pemeriksaan Lapisan 7 tidak diterapkan ke traffic masuk. Hal ini terjadi saat traffic masuk cocok dengan aturan firewall lainnya sebelum mencapai aturan kebijakan firewall pemeriksaan Lapisan 7.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan logging diaktifkan untuk aturan kebijakan firewall dengan pemeriksaan Lapisan 7. Untuk informasi selengkapnya, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.
  2. Pastikan kebijakan firewall dengan aturan firewall pemeriksaan Lapisan 7 dikaitkan dengan jaringan VPC tempat workload VM Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
  3. Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat workload VM Anda berada.
  4. Untuk memverifikasi bahwa aturan firewall pemeriksaan Lapisan 7 diterapkan, jalankan uji konektivitas berdasarkan sumber dan tujuan yang Anda tentukan dalam aturan. Untuk mempelajari cara menjalankan Uji Konektivitas, lihat Membuat dan menjalankan Uji Konektivitas.
  5. Periksa urutan penerapan aturan ke traffic masuk. Untuk mengubah urutan ini, lihat Mengubah urutan evaluasi kebijakan dan aturan.

Ancaman tidak terdeteksi di beberapa atau semua koneksi

Skenario ini mungkin terjadi saat traffic Anda dienkripsi, atau kebijakan pencegahan ancaman tidak disetel untuk mendeteksi ancaman.

Jika traffic Anda dienkripsi, pastikan Anda telah mengaktifkan pemeriksaan Transport Layer Security (TLS) di jaringan. Untuk mempelajari lebih lanjut cara mengaktifkan pemeriksaan TLS, lihat Menyiapkan pemeriksaan TLS.

Jika pemeriksaan TLS diaktifkan, bedakan antara pesan yang dilihat dari klien dan pesan error saat Cloud Next Generation Firewall memblokir ancaman. Untuk mengetahui informasi selengkapnya, lihat Pesan error.

Pastikan kebijakan pencegahan ancaman disetel untuk mendeteksi ancaman ini:

  1. Tinjau profil keamanan Anda untuk mengidentifikasi bahwa tindakan penggantian untuk ancaman ini ditetapkan seperti yang diharapkan.
  2. Tambahkan tindakan penggantian ke profil keamanan Anda untuk memastikan bahwa ancaman tertangkap.

Aturan firewall layanan pencegahan penyusupan yang salah dikonfigurasi

Skenario ini terjadi jika tidak ada endpoint firewall yang valid atau endpoint tidak terkait dengan jaringan VPC tempat workload VM Anda berada. Sebagai tindakan penggantian default, Cloud NGFW mengizinkan traffic, dan menambahkan apply_security_profile_fallback_action = ALLOW ke log firewall. Untuk melihat log firewall, lihat Melihat log.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Untuk mengaktifkan logging bagi aturan kebijakan firewall pemeriksaan Lapisan 7 di jaringan Anda, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.

  2. Buat metrik berbasis log, pemberitahuan berbasis log, atau keduanya dengan menggunakan filter berikut.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

Filter ini menghasilkan detail insiden, yang membantu Anda memahami kondisi kecocokan log, batas frekuensi notifikasi, durasi penutupan otomatis insiden, label log, dan tingkat keparahan log dengan ringkasan.

Pesan error

Bagian ini menjelaskan pesan error umum yang Anda dapatkan saat kepercayaan TLS tidak tepat atau Cloud NGFW memblokir ancaman. Untuk mempelajari cara menyiapkan pemeriksaan TLS, lihat Menyiapkan pemeriksaan TLS.

Aturan kebijakan firewall diblokir

Anda menerima pesan error yang mirip dengan error berikut dari klien selama sesi SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Untuk mengatasi error ini, lihat log dan validasi. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Logging Aturan Firewall.

Kepercayaan yang salah dikonfigurasi

Anda menerima pesan error yang mirip dengan error berikut dari klien selama sesi SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Error ini menunjukkan masalah kepercayaan yang salah dikonfigurasi. Masalah ini disebabkan karena konfigurasi yang salah atau tidak adanya otoritas sertifikat (CA). Untuk mengatasi error ini, aktifkan Layanan Certificate Authority.

Kebijakan endpoint diabaikan

Hanya aturan kebijakan firewall yang dievaluasi dan traffic tidak diduplikasi ke Cloud Intrusion Detection System untuk pemeriksaan saat menggunakan kebijakan pemeriksaan L7 Cloud Next Generation Firewall.

Untuk mengatasi hal ini, Anda harus memastikan bahwa kebijakan inspeksi L7 Cloud NGFW (aturan dengan tindakan apply_security_profile_group) tidak berlaku untuk paket yang perlu Anda periksa dengan Cloud IDS.

Langkah berikutnya