Risolvere i problemi relativi all'ispezione a livello di applicazione

In questa pagina viene descritto come risolvere i problemi più comuni che potresti riscontrare. durante l'impostazione dell'ispezione a livello di applicazione (livello 7) nella tua rete. Questi problemi potrebbero essere correlati profili di sicurezza, gruppi di profili di sicurezza, endpoint firewall o criteri firewall.

Procedure generiche di risoluzione dei problemi

Per risolvere gli errori di configurazione comuni relativi all'ispezione di livello 7 in rete, completa le attività menzionate nelle sezioni seguenti.

Abilita il logging delle regole dei criteri firewall

Per attivare il logging per le regole del firewall di ispezione di livello 7 nei tuoi criteri firewall:

  1. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  2. Fai clic sul nome del criterio firewall con firewall di ispezione di livello 7 le regole del caso.

  3. Nella colonna Priorità, fai clic sulla priorità della regola del criterio del firewall per la quale vuoi attivare i log.

  4. Fai clic su Modifica.

  5. In Log, seleziona On.

  6. Fai clic su Salva.

Ripeti i passaggi precedenti per tutti i criteri firewall di rete e i criteri firewall gerarchici che contengono regole firewall di ispezione a livello 7.

Verifica la configurazione delle regole dei criteri firewall

  1. Assicurati che i criteri firewall con le regole firewall di ispezione a livello 7 siano associati alla rete Virtual Private Cloud (VPC) in cui si trovano i carichi di lavoro delle macchine virtuali (VM). Per ulteriori informazioni, vedi Associa un criterio alla rete.
  2. Verifica che gli endpoint del firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro VM.
  3. Controlla l'ordine di applicazione delle regole per assicurarti che siano state applicate a che il traffico sia nella sequenza corretta. Per ulteriori informazioni, vedi Ordine di valutazione di criteri e regole.
  4. Verifica le regole firewall effettive a livello di rete e di istanza VM. Assicurati che le regole del criterio firewall per le regole del firewall di ispezione a livello 7 vengano attivate per il traffico di rete.

Tutte le connessioni sono consentite o negate, ma non intercettate

Questo scenario si verifica quando hai configurato tutti i componenti per le regole del firewall di ispezione a livello 7, ma il traffico non viene intercettato e ispezionato per rilevare eventuali minacce o attività dannose.

Per risolvere il problema, segui questi passaggi:

  1. Verifica che l'endpoint firewall e i carichi di lavoro VM da ispezionare siano in stato nella stessa zona.
  2. Verifica che il logging sia abilitato per la regola del criterio del firewall. Per ulteriori informazioni, consulta Abilitare il logging delle regole dei criteri firewall. di questo documento.

  3. Nella console Google Cloud, vai alla pagina Criteri firewall.

    Vai a Criteri firewall

  4. Fai clic sul criterio firewall contenente la regola per l'ispezione a livello 7.

  5. Nella colonna Numero di riscontri, visualizza il numero di connessioni univoche utilizzate per la regola firewall.

  6. Se il numero di hit è zero, la regola non viene applicata al traffico. Per verificare se la configurazione è corretta, consulta Sezione Procedura generica per la risoluzione dei problemi di questo documento.

  7. Se il conteggio hit non è pari a zero, fai clic sul conteggio per andare alla pagina Log Explorer e segui questi passaggi:

    1. Espandi i singoli log per visualizzare i dettagli di connection, disposition e remote location.
    2. Se disposition non è impostato su intercepted e il parametro fallback_action = ALLOW, dai un'occhiata alla Sezione Procedura generica per la risoluzione dei problemi di questo documento per verificare se la configurazione è corretta.

La regola del criterio firewall in entrata non intercetta il traffico in entrata

Questo scenario si verifica quando le regole firewall di ispezione di livello 7 non si applicano al traffico in entrata. Si verifica quando il traffico in entrata corrisponde alle altre regole firewall prima di raggiungere le regole del criterio firewall di ispezione di livello 7.

Per risolvere il problema, segui questi passaggi:

  1. Verifica che il logging sia abilitato per la regola del criterio del firewall con ispezione a livello 7. Per ulteriori informazioni, consulta Abilitare il logging delle regole dei criteri firewall. di questo documento.
  2. Assicurati che il criterio firewall con la regola firewall di ispezione a livello 7 sia associato alla rete VPC in cui si trovano i carichi di lavoro VM. Per saperne di più, consulta la sezione Associare un criterio alla rete.
  3. Verifica che gli endpoint del firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro VM.
  4. Per verificare che la regola firewall di ispezione di livello 7 sia applicata, esegui i test di connettività in base all'origine e alla destinazione che hai definito nella regola. Per apprendere su come eseguire Connectivity Tests, vedi Crea ed esegui Connectivity Tests.
  5. Controlla la sequenza in cui le regole vengono applicate al traffico in entrata. Per modificare questa sequenza, consulta Modificare l'ordine di valutazione delle norme e delle regole.

Non viene rilevata una minaccia su alcune o tutte le connessioni

Questo scenario potrebbe verificarsi quando il traffico è criptato o quando il criterio di prevenzione delle minacce non è impostato per rilevare la minaccia.

Se il traffico è criptato, assicurati di aver abilitato Ispezione TLS (Transport Layer Security) sulla rete. Per scoprire di più su come attivare l'ispezione TLS, consulta Configurare l'ispezione TLS.

Se l'ispezione TLS è attivata, distingui i messaggi visualizzati dal client rispetto ai messaggi di errore quando Cloud Next Generation Firewall blocca una minaccia. Per ulteriori informazioni, vedi Messaggi di errore.

Assicurati che il criterio di prevenzione delle minacce sia impostato in modo da rilevare questa minaccia:

  1. Controlla il tuo profilo di sicurezza per identificare che le azioni di override per questa minaccia siano impostate come previsto.
  2. Aggiungi azioni di override ai tuoi profili di sicurezza per assicurarti che la minaccia venga rilevata.

Regole firewall del servizio di prevenzione delle intrusioni configurate in modo errato

Questo scenario si verifica quando non è presente un endpoint firewall valido o se l'endpoint non è associato alla rete VPC in cui si trovano i carichi di lavoro VM. Come azione di riserva predefinita, Cloud NGFW consente il traffico aggiunge apply_security_profile_fallback_action = ALLOW ai log del firewall. Per visualizzare i log del firewall, consulta Visualizzare i log.

Per risolvere il problema, procedi nel seguente modo:

  1. Per attivare il logging per le regole del criterio firewall di ispezione di livello 7 nella tua rete, consulta la sezione Attivare il logging delle regole del criterio firewall di questo documento.

  2. Crea le metriche basate su log, avvisi basati su log o entrambi usando i seguenti filtri.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

Il filtro genera i dettagli dell'incidente, che ti aiutano a comprendere la condizione di corrispondenza dei log, il limite di frequenza delle notifiche, la durata della chiusura automatica degli incidenti, le etichette dei log e la gravità dei log con il riepilogo.

Messaggi di errore

Questa sezione descrive i messaggi di errore comuni che ricevi quando Trust TLS è improprio o Cloud NGFW blocca una minaccia. Per scoprire come configurare l'ispezione TLS, consulta Configurare l'ispezione TLS.

La regola del criterio firewall è bloccata

Hai ricevuto un messaggio di errore simile al seguente errore da un client durante una sessione SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Per risolvere questo errore, visualizza il log e convalidalo. Per ulteriori informazioni, vedi Usa il logging delle regole firewall.

Attendibilità configurata in modo errato

Hai ricevuto un messaggio di errore simile al seguente errore da un client durante una sessione SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Questo errore indica un problema di configurazione errata. Questo problema è causato a causa di una configurazione errata o dell'assenza di un certificato l'autorità competente (CA). Per risolvere questo errore, abilita Certificate Authority Service.

Passaggi successivi