Resolva problemas de inspeção da camada de aplicação

Esta página descreve como resolver problemas comuns que pode encontrar ao configurar a inspeção da camada de aplicação (camada 7) na sua rede. Estes problemas podem estar relacionados com: perfis de segurança, grupos de perfis de segurança, endpoints de firewall ou políticas de firewall.

Passos de resolução de problemas genéricos

Para resolver problemas de erros de configuração comuns relacionados com a inspeção da camada 7 na sua rede, conclua as tarefas mencionadas nas secções seguintes.

Ative o registo de regras de políticas de firewall

Para ativar o registo das regras de firewall de inspeção da camada 7 nas suas políticas de firewall, faça o seguinte:

1. Na Google Cloud consola, aceda à página Políticas de firewall.

   Aceder a Políticas de firewall

2. Clique no nome da política de firewall que tem regras de firewall de inspeção da camada 7.

3. Na coluna Prioridade, clique na prioridade da regra da política de firewall para a qual quer ativar os registos.

4. Clique em Edit.

5. Para Registos, selecione Ativar.

6. Clique em Guardar.

Repita os passos anteriores para todas as políticas de firewall de rede e políticas de firewall hierárquicas que contenham regras de firewall de inspeção da camada 7.

Valide a configuração das regras da política de firewall

1. Certifique-se de que as políticas de firewall com as regras de firewall de inspeção da camada 7 estão associadas à rede da nuvem privada virtual (VPC) onde se encontram as cargas de trabalho da máquina virtual (VM). Para mais informações, consulte o artigo Associe uma política à rede.
2. Verifique se os pontos finais da firewall estão associados à rede VPC onde residem as suas cargas de trabalho de VM.
3. Verifique a ordem de aplicação das regras para se certificar de que as regras aplicadas ao tráfego estão na sequência correta. Para mais informações, consulte o artigo Ordem de avaliação de políticas e regras.
4. Verifique as regras de firewall eficazes ao nível da rede e da instância de VM. Certifique-se de que as regras da política de firewall para regras de firewall de inspeção da camada 7 estão a ser acedidas para o tráfego de rede.

Todas as ligações são permitidas ou recusadas, mas não intercetadas

Este cenário ocorre quando configurou todos os componentes para as regras da firewall de inspeção da camada 7, mas o tráfego não é intercetado nem inspecionado quanto a ameaças ou atividade maliciosa.

Para resolver este problema, siga estes passos:

1. Verifique se o ponto final da firewall e as cargas de trabalho da VM a inspecionar estão na mesma zona.
2. Verifique se o registo está ativado para a regra da política de firewall. Para mais informações, consulte a secção Ative o registo de regras da política de firewall deste documento.

3. Na Google Cloud consola, aceda à página Políticas de firewall.

   Aceder a Políticas de firewall

4. Clique na política de firewall que contém a regra para inspeção da camada 7.

5. Na coluna Contagem de resultados, veja o número de ligações únicas usadas para a regra de firewall.

6. Se a contagem de resultados for zero, a regra não é aplicada ao tráfego. Para verificar se a configuração está correta, consulte a secção Passos gerais de resolução de problemas deste documento.

7. Se a contagem de resultados não for zero, clique na contagem para aceder à página Explorador de registos e siga estes passos:

   1. Expanda os registos individuais para ver os detalhes de connection, disposition e remote location.
   2. Se o disposition não estiver definido como intercepted e o fallback_action = ALLOW, consulte a secção Passos de resolução de problemas genéricos deste documento para verificar se a configuração está correta.

A regra de política de firewall de entrada não interceta o tráfego de entrada

Este cenário ocorre quando as regras da firewall de inspeção da camada 7 não são aplicadas ao tráfego recebido. Isto acontece quando o tráfego de entrada corresponde às outras regras de firewall antes de atingir as regras de política de firewall de inspeção da camada 7.

Para resolver este problema, siga estes passos:

1. Verifique se o registo está ativado para a regra de política de firewall com inspeção da camada 7. Para mais informações, consulte a secção Ative o registo de regras da política de firewall deste documento.
2. Certifique-se de que a política de firewall com a regra de firewall de inspeção da camada 7 está associada à rede VPC onde se encontram as suas cargas de trabalho de VM. Para mais informações, consulte o artigo Associe uma política à rede.
3. Verifique se os pontos finais da firewall estão associados à rede VPC onde residem as suas cargas de trabalho de VM.
4. Para verificar se a regra de firewall de inspeção da camada 7 está aplicada, execute os testes de conetividade com base na origem e no destino que definiu na regra. Para saber como executar testes de conetividade, consulte o artigo Crie e execute testes de conetividade.
5. Verifique a sequência em que as regras são aplicadas ao tráfego recebido. Para alterar esta sequência, consulte o artigo Altere a ordem de avaliação das políticas e regras.

Não é detetada nenhuma ameaça em algumas ou em todas as ligações

Este cenário pode ser encontrado quando o seu tráfego está encriptado ou a política de prevenção de ameaças não está definida para detetar a ameaça.

Se o seu tráfego estiver encriptado, certifique-se de que ativou a inspeção de Transport Layer Security (TLS) na sua rede. Para saber como ativar a inspeção TLS, consulte o artigo Configure a inspeção TLS.

Se a inspeção TLS estiver ativada, distinga as mensagens vistas do cliente das mensagens de erro quando a firewall de nova geração da nuvem bloqueia uma ameaça. Para mais informações, consulte a secção Mensagens de erro.

Certifique-se de que a política de prevenção de ameaças está definida para detetar esta ameaça:

1. Reveja o seu perfil de segurança de prevenção de ameaças para identificar se as ações de substituição para esta ameaça estão definidas conforme esperado.
2. Adicione ações de substituição num perfil de segurança de prevenção de ameaças para garantir que a ameaça é capturada.

Regras de firewall do serviço de prevenção e deteção de intrusões configuradas incorretamente

Este cenário ocorre quando não existe um ponto final da firewall válido ou o ponto final não está associado à rede VPC onde se encontram as suas cargas de trabalho de VM. Como ação de alternativa predefinida, a NGFW na nuvem permite o tráfego e adiciona apply_security_profile_fallback_action = ALLOW aos registos da firewall. Para ver os registos da firewall, consulte o artigo Ver registos.

Para resolver este problema, siga estes passos:

1. Para ativar o registo para as regras de política de firewall de inspeção da camada 7 na sua rede, consulte a secção Ative o registo de regras de política de firewall deste documento.

2. Crie as métricas baseadas em registos, os alertas baseados em registos ou ambos através dos seguintes filtros.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

O filtro gera detalhes de incidentes, o que ajuda a compreender a condição de correspondência do registo, o limite de taxa de notificação, a duração do encerramento automático de incidentes, as etiquetas de registo e a gravidade do registo com o resumo.

Mensagens de erro

Esta secção descreve as mensagens de erro comuns que recebe quando a confiança TLS é inadequada ou o Cloud NGFW bloqueia uma ameaça. Para saber como configurar a inspeção TLS, consulte o artigo Configure a inspeção TLS.

A regra de política de firewall está bloqueada

Recebeu uma mensagem de erro semelhante à seguinte mensagem de erro de um cliente durante uma sessão SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Para resolver este erro, veja o registo e valide-o. Para mais informações, consulte o artigo Usar o registo de regras da firewall.

Configuração incorreta da confiança

Recebeu uma mensagem de erro semelhante à seguinte mensagem de erro de um cliente durante uma sessão SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Este erro indica um problema de confiança configurado incorretamente. Este problema deve-se a uma configuração incorreta ou à ausência de uma autoridade de certificação (AC). Para resolver este erro, ative o serviço de autoridade de certificação.

As políticas de pontos finais são ignoradas

Apenas as regras da política de firewall estão a ser avaliadas e o tráfego não é espelhado para o Sistema de deteção de intrusos do Cloud para inspeção durante a utilização de políticas de inspeção da camada 7 da firewall de nova geração do Google Cloud.

Para resolver este problema, tem de garantir que as suas políticas de inspeção da camada 7 do NGFW da nuvem (regras com a ação apply_security_profile_group) não se aplicam a pacotes que tem de inspecionar com o Cloud IDS.

O que se segue?

• Para informações conceptuais sobre o serviço de deteção e prevenção de intrusões, consulte o artigo Vista geral do serviço de deteção e prevenção de intrusões.
• Para informações conceptuais sobre as regras de política de firewall, consulte o artigo Regras de política de firewall.
• Para determinar os custos, consulte os preços do Cloud NGFW.