Risolvere i problemi relativi all'ispezione a livello di applicazione

Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare durante la configurazione dell'ispezione a livello di applicazione (livello 7) nella tua rete. Questi problemi potrebbero essere correlati a profili di sicurezza, gruppi di profili di sicurezza, endpoint firewall o criteri firewall.

Procedure generiche di risoluzione dei problemi

Per risolvere gli errori di configurazione più comuni relativi all'ispezione di livello 7 nella tua rete, completa le attività menzionate nelle sezioni seguenti.

Abilita il logging delle regole dei criteri firewall

Per abilitare il logging per le regole firewall di ispezione di livello 7 nei tuoi criteri firewall:

1. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

2. Fai clic sul nome del criterio firewall che ha regole firewall di ispezione di livello 7.

3. Nella colonna Priorità, fai clic sulla priorità della regola del criterio firewall per cui vuoi abilitare i log.

4. Fai clic su Modifica.

5. Per Log, seleziona On.

6. Fai clic su Salva.

Ripeti i passaggi precedenti per tutti i criteri firewall di rete e i criteri firewall gerarchici che contengono le regole firewall di ispezione di livello 7.

Verifica la configurazione delle regole dei criteri firewall

1. Assicurati che i criteri firewall con le regole firewall di ispezione di livello 7 siano associati alla rete Virtual Private Cloud (VPC) in cui si trovano i carichi di lavoro delle macchine virtuali (VM). Per maggiori informazioni, consulta Associare un criterio alla rete.
2. Verifica che gli endpoint firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro delle VM.
3. Controlla l'ordine di applicazione delle regole per assicurarti che le regole applicate al traffico siano nella sequenza corretta. Per maggiori informazioni, consulta Ordine di valutazione di criteri e regole.
4. Verifica le regole firewall efficaci a livello di rete e di istanza VM. Assicurati che le regole dei criteri firewall per le regole firewall di ispezione di livello 7 abbiano successo per il traffico di rete.

Tutte le connessioni sono consentite o negate, ma non intercettate

Questo scenario si verifica quando hai configurato tutti i componenti per le regole firewall di ispezione di livello 7, ma il traffico non viene intercettato e controllato per rilevare eventuali minacce o attività dannose.

Per risolvere il problema:

1. Verifica che l'endpoint firewall e i carichi di lavoro delle VM da ispezionare si trovino nella stessa zona.
2. Verifica che il logging sia abilitato per la regola del criterio firewall. Per maggiori informazioni, consulta la sezione Abilitare il logging delle regole dei criteri firewall di questo documento.

3. Nella console Google Cloud, vai alla pagina Criteri firewall.

   Vai a Criteri firewall

4. Fai clic sul criterio firewall che contiene la regola per l'ispezione di livello 7.

5. Nella colonna Conteggio hit, visualizza il numero di connessioni univoche utilizzate per la regola firewall.

6. Se il numero di hit è pari a zero, la regola non viene applicata al traffico. Per verificare che la configurazione sia corretta, consulta la sezione Passaggi generici per la risoluzione dei problemi di questo documento.

7. Se il numero di hit è diverso da zero, fai clic sul conteggio per andare alla pagina Esplora log e segui questi passaggi:

   1. Espandi i singoli log per visualizzare i dettagli di connection, disposition e remote location.
   2. Se disposition non è impostato su intercepted e fallback_action = ALLOW, consulta la sezione Passaggi generici per la risoluzione dei problemi di questo documento per verificare se la configurazione è corretta.

La regola del criterio firewall in entrata non intercetta il traffico in entrata

Questo scenario si verifica quando le regole firewall di ispezione di livello 7 non vengono applicate al traffico in entrata. Ciò si verifica quando il traffico in entrata corrisponde alle altre regole firewall prima di raggiungere le regole del criterio firewall di ispezione di livello 7.

Per risolvere il problema:

1. Verifica che il logging sia abilitato per la regola del criterio firewall con l'ispezione di livello 7. Per maggiori informazioni, consulta la sezione Abilitare il logging delle regole dei criteri firewall di questo documento.
2. Assicurati che il criterio firewall con la regola firewall di ispezione di livello 7 sia associato alla rete VPC in cui si trovano i carichi di lavoro delle VM. Per maggiori informazioni, consulta Associare un criterio alla rete.
3. Verifica che gli endpoint firewall siano associati alla rete VPC in cui si trovano i carichi di lavoro delle VM.
4. Per verificare che la regola firewall di ispezione di livello 7 venga applicata, esegui i test di connettività basati sull'origine e sulla destinazione definite nella regola. Per scoprire come eseguire Connectivity Tests, consulta Creare ed eseguire Connectivity Tests.
5. Verifica la sequenza in cui le regole vengono applicate al traffico in entrata. Per modificare questa sequenza, consulta Modifica dell'ordine di valutazione di criteri e regole.

Una minaccia non viene rilevata su alcune o tutte le connessioni

Questo scenario potrebbe verificarsi quando il traffico è criptato o il criterio di prevenzione delle minacce non è impostato per rilevare la minaccia.

Se il traffico è criptato, assicurati di aver abilitato l'ispezione TLS (Transport Layer Security) sulla tua rete. Per scoprire di più su come abilitare l'ispezione TLS, consulta Configurare l'ispezione TLS.

Se l'ispezione TLS è abilitata, fai distinzione tra i messaggi visualizzati dal client e i messaggi di errore quando Cloud Next Generation Firewall blocca una minaccia. Per ulteriori informazioni, vedi Messaggi di errore.

Assicurati che i criteri di prevenzione delle minacce siano impostati per rilevare questa minaccia:

1. Esamina il tuo profilo di sicurezza per identificare che le azioni di override per questa minaccia sono impostate come previsto.
2. Aggiungi azioni di override ai tuoi profili di sicurezza per assicurarti che la minaccia venga catturata.

Regole firewall del servizio di prevenzione delle intrusioni configurate in modo errato

Questo scenario si verifica quando non esiste un endpoint firewall valido o l'endpoint non è associato alla rete VPC in cui si trovano i carichi di lavoro delle VM. Come azione di riserva predefinita, Cloud NGFW consente il traffico e aggiunge apply_security_profile_fallback_action = ALLOW ai log del firewall. Per visualizzare i log del firewall, consulta Visualizzare i log.

Per risolvere il problema:

1. Per abilitare il logging per le regole dei criteri firewall di ispezione di livello 7 nella tua rete, consulta la sezione Abilita il logging delle regole dei criteri firewall di questo documento.

2. Crea le metriche basate su log, gli avvisi basati su log o entrambi utilizzando i seguenti filtri.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Il filtro genera dettagli sull'incidente, che ti aiutano a comprendere la condizione di corrispondenza dei log, il limite di frequenza di notifica, la durata della chiusura automatica degli incidenti, le etichette dei log e la gravità dei log con il riepilogo.

Messaggi di errore

Questa sezione descrive i messaggi di errore comuni che ricevi quando il trust TLS non è corretto o Cloud NGFW blocca una minaccia. Per informazioni su come configurare l'ispezione TLS, consulta Configurare l'ispezione TLS.

La regola del criterio firewall è bloccata

Durante una sessione SSH, hai ricevuto un messaggio di errore simile al seguente da un client.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Per risolvere questo errore, visualizza il log e convalidalo. Per maggiori informazioni, consulta Utilizzare il logging delle regole firewall.

Trust configurato in modo errato

Durante una sessione SSH, hai ricevuto un messaggio di errore simile al seguente da un client.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Questo errore indica un problema di attendibilità configurato in modo errato. Questo problema è causato da una configurazione errata o dall'assenza di un'autorità di certificazione (CA). Per risolvere questo errore, abilita Certificate Authority Service.

Passaggi successivi

• Per informazioni concettuali sul servizio di prevenzione delle intrusioni, consulta la panoramica del servizio di prevenzione delle intrusioni.
• Per informazioni concettuali sulle regole dei criteri firewall, consulta Regole dei criteri firewall.
• Per determinare i costi, consulta i prezzi di Cloud NGFW.