Risolvere i problemi relativi all'ispezione a livello di applicazione

Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare durante la configurazione dell'ispezione a livello di applicazione (livello 7) nella tua rete. Questi problemi potrebbero essere correlati a profili di sicurezza, gruppi di profili di sicurezza, endpoint firewall o criteri firewall.

Procedura generica per la risoluzione dei problemi

Per risolvere gli errori di configurazione comuni relativi all'ispezione a livello 7 nella tua rete, completa le attività indicate nelle sezioni seguenti.

Attivare il logging delle regole del criterio firewall

Per attivare il logging per le regole del firewall di ispezione di livello 7 nei tuoi criteri firewall:

1. Nella console Google Cloud, vai alla pagina Policy firewall.

   Vai a Policy del firewall

2. Fai clic sul nome del criterio del firewall che contiene le regole del firewall di ispezione di livello 7.

3. Nella colonna Priorità, fai clic sulla priorità della regola del criterio del firewall per cui vuoi attivare i log.

4. Fai clic su Modifica.

5. Per Log, seleziona On.

6. Fai clic su Salva.

Ripeti i passaggi precedenti per tutti i criteri firewall di rete e i criteri firewall gerarchici che contengono regole firewall di ispezione di livello 7.

Verifica la configurazione delle regole dei criteri del firewall

1. Assicurati che le policy del firewall con le regole del firewall di ispezione di livello 7 siano associate alla rete Virtual Private Cloud (VPC) in cui si trovano i carichi di lavoro delle macchine virtuali (VM). Per ulteriori informazioni, consulta la sezione Associare un criterio alla rete.
2. Verifica che gli endpoint del firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro VM.
3. Controlla l'ordine di applicazione delle regole per assicurarti che le regole applicate al traffico siano nella sequenza corretta. Per ulteriori informazioni, consulta Ordine di valutazione di norme e regole.
4. Controlla le regole firewall effettive a livello di rete e di istanza VM. Assicurati che le regole delle policy del firewall per le regole del firewall di ispezione di livello 7 vengano attivate per il traffico di rete.

Tutte le connessioni sono consentite o negate, ma non intercettate

Questo scenario si verifica quando hai configurato tutti i componenti per le regole del firewall di ispezione a livello 7, ma il traffico non viene intercettato e ispezionato per rilevare eventuali minacce o attività dannose.

Per risolvere il problema, segui questi passaggi:

1. Verifica che l'endpoint firewall e i carichi di lavoro VM da ispezionare si trovino nella stessa zona.
2. Verifica che il logging sia abilitato per la regola del criterio del firewall. Per ulteriori informazioni, consulta la sezione Abilitare il logging delle regole dei criteri firewall di questo documento.

3. Nella console Google Cloud, vai alla pagina Policy firewall.

   Vai a Policy del firewall

4. Fai clic sulla policy del firewall contenente la regola per l'ispezione di livello 7.

5. Nella colonna Numero di hit, visualizza il numero di connessioni uniche utilizzate per la regola del firewall.

6. Se il conteggio dei hit è pari a zero, la regola non viene applicata al traffico. Per verificare se la configurazione è corretta, consulta la sezione Passaggi generici per la risoluzione dei problemi di questo documento.

7. Se il conteggio hit non è pari a zero, fai clic sul conteggio per andare alla pagina Log Explorer e segui questi passaggi:

   1. Espandi i singoli log per visualizzare i dettagli di connection, disposition e remote location.
   2. Se disposition non è impostato su intercepted e fallback_action = ALLOW, consulta la sezione Passaggi generici per la risoluzione dei problemi di questo documento per verificare se la configurazione è corretta.

La regola del criterio firewall in entrata non intercetta il traffico in entrata

Questo scenario si verifica quando le regole del firewall di ispezione di livello 7 non vengono applicate al traffico in entrata. Si verifica quando il traffico in entrata corrisponde alle altre regole firewall prima di raggiungere le regole delle policy del firewall di ispezione di livello 7.

Per risolvere il problema, segui questi passaggi:

1. Verifica che il logging sia abilitato per la regola del criterio del firewall con l'ispezione di livello 7. Per ulteriori informazioni, consulta la sezione Abilitare il logging delle regole dei criteri firewall di questo documento.
2. Assicurati che la regola del firewall di ispezione di livello 7 sia associata alla rete VPC in cui si trovano i carichi di lavoro VM. Per ulteriori informazioni, consulta la sezione Associare un criterio alla rete.
3. Verifica che gli endpoint del firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro VM.
4. Per verificare che la regola firewall di ispezione di livello 7 sia applicata, esegui i test di connettività in base all'origine e alla destinazione che hai definito nella regola. Per scoprire come eseguire Connectivity Tests, consulta Creare ed eseguire test di connettività.
5. Controlla la sequenza in cui le regole vengono applicate al traffico in entrata. Per modificare questa sequenza, consulta Modificare l'ordine di valutazione delle norme e delle regole.

Non viene rilevata alcuna minaccia su alcune o su tutte le connessioni

Questo scenario potrebbe verificarsi quando il traffico è criptato o quando il criterio di prevenzione delle minacce non è impostato per rilevare la minaccia.

Se il traffico è criptato, assicurati di aver attivato l'ispezione TLS (Transport Layer Security) sulla tua rete. Per scoprire di più su come attivare l'ispezione TLS, consulta Configurare l'ispezione TLS.

Se l'ispezione TLS è attivata, distingui i messaggi visualizzati dal client rispetto ai messaggi di errore quando Cloud Next Generation Firewall blocca una minaccia. Per ulteriori informazioni, vedi Messaggi di errore.

Assicurati che il criterio di prevenzione delle minacce sia impostato per rilevare questa minaccia:

1. Controlla il tuo profilo di sicurezza per verificare che le azioni di override per questa minaccia siano impostate come previsto.
2. Aggiungi azioni di override ai tuoi profili di sicurezza per assicurarti che la minaccia venga rilevata.

Regole del firewall del servizio di prevenzione delle intrusioni configurate in modo errato

Questo scenario si verifica quando non è presente un endpoint firewall valido o se l'endpoint non è associato alla rete VPC in cui si trovano i carichi di lavoro VM. Come azione di riserva predefinita, Cloud NGFW consente il traffico e aggiunge apply_security_profile_fallback_action = ALLOW ai log del firewall. Per visualizzare i log del firewall, consulta Visualizzare i log.

Per risolvere il problema, segui questi passaggi:

1. Per attivare il logging per le regole del criterio firewall di ispezione di livello 7 nella tua rete, consulta la sezione Attivare il logging delle regole del criterio firewall di questo documento.

2. Crea le metriche basate su log, gli avvisi basati su log o entrambi utilizzando i seguenti filtri.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Il filtro genera i dettagli dell'incidente, che ti aiutano a comprendere la condizione di corrispondenza dei log, il limite di frequenza delle notifiche, la durata della chiusura automatica degli incidenti, le etichette dei log e la gravità dei log con il riepilogo.

Messaggi di errore

Questa sezione descrive i messaggi di errore comuni visualizzati quando la convalida TLS non è corretta o Cloud NGFW blocca una minaccia. Per scoprire come configurare l'ispezione TLS, consulta Configurare l'ispezione TLS.

La regola del criterio firewall è bloccata

Hai ricevuto un messaggio di errore simile al seguente da un client durante una sessione SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Per risolvere questo errore, visualizza il log e convalidalo. Per ulteriori informazioni, consulta Utilizzare il logging delle regole firewall.

Attendibilità configurata in modo errato

Hai ricevuto un messaggio di errore simile al seguente da un client durante una sessione SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Questo errore indica un problema di attendibilità configurato in modo errato. Questo problema è causato da una configurazione errata o dall'assenza di un'autorità di certificazione (CA). Per risolvere questo errore, abilita il servizio dell'autorità di certificazione.

I criteri relativi agli endpoint vengono ignorati

Vengono valutate solo le regole delle policy del firewall e il traffico non viene sottoposto a mirroring in Cloud Intrusion Detection System per l'ispezione durante l'utilizzo delle policy di ispezione L7 di Cloud Next Generation Firewall.

Per risolvere il problema, devi assicurarti che i criteri di ispezione L7 di Cloud NGFW (regole con l'azione apply_security_profile_group) non si applichino ai pacchetti che devi ispezionare con Cloud IDS.

Passaggi successivi

• Per informazioni concettuali sul servizio di prevenzione delle intrusioni, consulta Panoramica del servizio di prevenzione delle intrusioni.
• Per informazioni concettuali sulle regole dei criteri firewall, consulta Regole dei criteri firewall.
• Per determinare i costi, consulta la sezione Prezzi di Cloud NGFW.