애플리케이션 계층 검사 문제 해결

이 페이지에서는 네트워크에서 애플리케이션 레이어(레이어 7) 검사를 설정할 때 발생할 수 있는 일반적인 문제 해결 방법에 대해 설명합니다. 보안 프로필, 보안 프로필 그룹, 방화벽 엔드포인트, 방화벽 정책과 같은 문제가 있을 수 있습니다.

일반적인 문제 해결 단계

네트워크의 레이어 7 검사와 관련된 일반적인 구성 오류를 해결하려면 다음 섹션에 설명된 태스크를 완료합니다.

방화벽 정책 규칙 로깅 사용 설정

방화벽 정책에서 레이어 7 검사 방화벽 규칙에 로깅을 사용 설정하려면 다음을 수행하세요.

1. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

   방화벽 정책으로 이동

2. 레이어 7 검사 방화벽 규칙이 있는 방화벽 정책의 이름을 클릭합니다.

3. 우선순위 열에서 로그를 사용 설정하려는 방화벽 정책 규칙의 우선순위를 클릭합니다.

4. 수정을 클릭합니다.

5. 로그에서 사용을 선택합니다.

6. 저장을 클릭합니다.

레이어 7 검사 방화벽 규칙이 포함된 모든 네트워크 방화벽 정책과 계층식 방화벽 정책에 대해 이전 단계를 반복합니다.

방화벽 정책 규칙 구성 확인

1. 레이어 7 검사 방화벽 규칙이 포함된 방화벽 정책이 가상 머신(VM) 워크로드가 있는 가상 프라이빗 클라우드(VPC) 네트워크와 연결되어 있는지 확인합니다. 자세한 내용은 정책을 네트워크와 연결을 참조하세요.
2. 방화벽 엔드포인트가 VM 워크로드가 있는 VPC 네트워크와 연결되어 있는지 확인합니다.
3. 규칙 적용 순서를 확인하여 트래픽에 적용된 규칙이 올바른 순서로 되어 있는지 확인하세요. 자세한 내용은 정책 및 규칙 평가 순서를 참조하세요.
4. 네트워크 및 VM 인스턴스 수준에서 유효한 방화벽 규칙을 확인합니다. 레이어 7 검사 방화벽 규칙에 대한 방화벽 정책 규칙이 네트워크 트래픽에 적용되는지 확인합니다.

모든 연결이 허용되거나 거부되지만 가로채기를 당하지는 않음

이 시나리오는 레이어 7 검사 방화벽 규칙의 모든 구성요소를 구성했지만 트래픽을 가로채 위협이나 악의적 활동에 대해 검사하지 않은 경우에 발생합니다.

이 문제를 해결하려면 다음 단계를 따르세요.

1. 검사할 방화벽 엔드포인트와 VM 워크로드가 동일한 영역에 있는지 확인합니다.
2. 방화벽 정책 규칙에 대해 로깅이 사용 설정되어 있는지 확인합니다. 자세한 내용은 이 문서의 방화벽 정책 규칙 로깅 사용 설정 섹션을 참조하세요.

3. Google Cloud 콘솔에서 방화벽 정책 페이지로 이동합니다.

   방화벽 정책으로 이동

4. 레이어 7 검사 규칙이 포함된 방화벽 정책을 클릭합니다.

5. 적중 횟수 열에서 방화벽 규칙에 사용된 고유한 연결 수를 봅니다.

6. 적중 횟수가 0이면 규칙이 트래픽에 적용되지 않은 것입니다. 설정이 올바른지 확인하려면 이 문서의 일반 문제 해결 단계 섹션을 참고하세요.

7. 적중 횟수가 0이 아니면 해당 횟수를 클릭하여 로그 탐색기 페이지로 이동하고 다음 단계를 수행합니다.

   1. 개별 로그를 펼쳐 connection, disposition, remote location 세부정보를 확인합니다.
   2. disposition이 intercepted 및 fallback_action = ALLOW로 설정되지 않은 경우 이 문서의 일반 문제 해결 단계 섹션을 참조하여 설정이 올바른지 확인합니다.

인그레스 방화벽 정책 규칙이 수신 트래픽을 가로채지 않음

이 시나리오는 레이어 7 검사 방화벽 규칙이 수신 트래픽에 적용되지 않을 때 발생합니다. 수신 트래픽이 레이어 7 검사 방화벽 정책 규칙을 적용하기 전 다른 방화벽 규칙과 일치할 때 발생합니다.

이 문제를 해결하려면 다음 단계를 따르세요.

1. 레이어 7 검사를 사용하는 방화벽 정책 규칙에 대해 로깅이 사용 설정되어 있는지 확인합니다. 자세한 내용은 이 문서의 방화벽 정책 규칙 로깅 사용 설정 섹션을 참고하세요.
2. 레이어 7 검사 방화벽 규칙이 포함된 방화벽 정책이 VM 워크로드가 있는 VPC 네트워크와 연결되어 있는지 확인합니다. 자세한 내용은 정책을 네트워크와 연결을 참조하세요.
3. 방화벽 엔드포인트가 VM 워크로드가 있는 VPC 네트워크와 연결되어 있는지 확인합니다.
4. 레이어 7 검사 방화벽 규칙이 적용되었는지 확인하려면 규칙에 정의한 소스와 대상을 기반으로 연결 테스트를 실행합니다. 연결 테스트를 실행하는 방법을 알아보려면 연결 테스트 만들기 및 실행을 참고하세요.
5. 규칙이 수신 트래픽에 적용되는 순서를 확인합니다. 이 순서를 변경하려면 정책 및 규칙 평가 순서 변경을 참조하세요.

일부 또는 모든 연결에서 위협이 감지되지 않음

이 시나리오는 트래픽이 암호화되었거나 위협 방지 정책이 위협을 감지하도록 설정되어 있지 않은 경우에 발생할 수 있습니다.

트래픽이 암호화되어 있는 경우 네트워크에서 전송 계층 보안(TLS) 검사를 사용 설정했는지 확인합니다. TLS 검사를 사용 설정하는 방법에 대한 자세한 내용은 TLS 검사 설정을 참조하세요.

TLS 검사가 사용 설정된 경우 Cloud Next Generation Firewall이 위협을 차단할 때 클라이언트에 표시되는 메시지와 오류 메시지를 구분합니다. 자세한 내용은 오류 메시지를 참조하세요.

위협 방지 정책이 이 위협을 감지하도록 설정되어 있는지 확인합니다.

1. 보안 프로필을 검토하여 이 위협에 대한 재정의 작업이 예상대로 설정되어 있는지 확인합니다.
2. 보안 프로필에 재정의 작업을 추가하여 위협을 캡처할 수 있게 합니다.

잘못 구성된 침입 방지 서비스 방화벽 규칙

이 시나리오는 유효한 방화벽 엔드포인트가 없거나 엔드포인트가 VM 워크로드가 있는 VPC 네트워크와 연결되어 있지 않은 경우에 발생합니다. 기본 대체 작업으로 Cloud NGFW는 트래픽을 허용하고 방화벽 로그에 apply_security_profile_fallback_action = ALLOW를 추가합니다. 방화벽 로그를 보려면 로그 보기를 참조하세요.

이 문제를 해결하려면 다음 단계를 따르세요.

1. 네트워크에서 레이어 7 검사 방화벽 정책 규칙에 대한 로깅을 사용 설정하려면 이 문서의 방화벽 정책 규칙 로깅 사용 설정 섹션을 참고하세요.

2. 다음 필터를 사용하여 로그 기반 측정항목, 로그 기반 알림, 또는 둘 다 만듭니다.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

이 필터는 로그 일치 조건, 알림 비율 제한, 이슈 자동 종료 기간, 로그 라벨, 로그 심각도를 요약과 함께 파악하는 데 도움이 되는 이슈 세부정보를 생성합니다.

오류 메시지

이 섹션에서는 TLS 신뢰가 부적절하거나 Cloud NGFW에서 위협을 차단할 때 표시되는 일반적인 오류 메시지에 대해 설명합니다. TLS 검사를 설정하는 방법을 알아보려면 TLS 검사 설정을 참조하세요.

방화벽 정책 규칙이 차단됨

SSH 세션 중에 클라이언트에서 다음 오류와 유사한 오류 메시지를 받았습니다.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

이 오류를 해결하려면 로그를 보고 검증합니다. 자세한 내용은 방화벽 규칙 로깅 사용을 참조하세요.

잘못 구성된 신뢰

SSH 세션 중에 클라이언트에서 다음 오류와 유사한 오류 메시지를 받았습니다.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

이 오류는 잘못 구성된 신뢰 문제를 나타냅니다. 이 문제는 잘못된 구성 또는 인증 기관(CA)의 부재로 인해 발생합니다. 이 오류를 해결하려면 Certificate Authority Service를 사용 설정하세요.

다음 단계

• 침입 방지 서비스에 대한 개념 정보는 침입 방지 서비스 개요를 참조하세요.
• 방화벽 정책 규칙에 대한 개념 정보는 방화벽 정책 규칙을 참조하세요.
• 비용을 확인하려면 Cloud NGFW 가격 책정을 참조하세요.