排查应用层检查问题

本页面介绍了如何排查您在网络中设置应用层（第 7 层）检查时可能会遇到的常见问题。这些问题可能与安全配置文件、安全配置文件组、防火墙端点或防火墙政策有关。

一般问题排查步骤

如需排查与您网络中的第 7 层检查相关的常见配置错误，请完成以下部分中提及的任务。

启用防火墙政策规则日志记录

如需为防火墙政策中的第 7 层检查防火墙规则启用日志记录，请执行以下操作：

1. 在 Google Cloud 控制台中，转到防火墙政策页面。

   转到“防火墙政策”

2. 点击包含第 7 层检查防火墙规则的防火墙政策的名称。

3. 在优先级列中，点击您要为其启用日志的防火墙政策规则的优先级。

4. 点击修改。

5. 在日志列表中，选择开启。

6. 点击保存。

针对包含第 7 层检查防火墙规则的所有网络防火墙政策和分层防火墙政策，重复上述步骤。

验证防火墙政策规则配置

1. 确保包含第 7 层检查防火墙规则的防火墙政策与虚拟机 (VM) 工作负载所在的 Virtual Private Cloud (VPC) 网络相关联。如需了解详情，请参阅将政策与网络关联。
2. 验证防火墙端点是否与虚拟机工作负载所在的 VPC 网络相关联。
3. 检查规则强制执行顺序，以确保应用于流量的规则的顺序正确无误。如需了解详情，请参阅政策和规则评估顺序。
4. 检查网络和虚拟机实例级别的有效防火墙规则。确保网络流量命中第 7 层检查防火墙规则的防火墙政策规则。

允许或拒绝所有连接，但未拦截

如果您已为第 7 层检查防火墙规则配置所有组件，但流量未拦截和检查以发现任何威胁或恶意活动，则会遇到这种情况。

如需解决此问题，请按以下步骤操作：

1. 验证防火墙端点和要检查的虚拟机工作负载是否位于同一可用区。
2. 验证防火墙政策规则是否已启用日志记录。如需了解详情，请参阅本文档中的启用防火墙政策规则日志记录部分。

3. 在 Google Cloud 控制台中，转到防火墙政策页面。

   转到“防火墙政策”

4. 点击包含第 7 层检查规则的防火墙政策。

5. 在命中数列中，查看用于防火墙规则的唯一连接数。

6. 如果命中次数为零，则表示规则未应用于相应流量。如需验证设置是否正确，请参阅本文档的一般问题排查步骤部分。

7. 如果命中数不为零，请点击该计数以前往 Log Explorer 页面，然后按照以下步骤操作：

   1. 展开各个日志以查看 connection、disposition 和 remote location 的详细信息。
   2. 如果 disposition 未设置为 intercepted 和 fallback_action = ALLOW，请参阅本文档的一般问题排查步骤部分，验证设置是否正确。

入站流量防火墙政策规则不拦截传入流量

如果未将第 7 层检查防火墙规则应用于传入流量，则会遇到这种情况。当传入流量在命中第 7 层检查防火墙政策规则之前与其他防火墙规则匹配时，会发生这种情况。

如需解决此问题，请按以下步骤操作：

1. 验证是否已为使用第 7 层检查的防火墙政策规则启用日志记录。如需了解详情，请参阅本文档中的启用防火墙政策规则日志记录部分。
2. 确保包含第 7 层检查防火墙规则的防火墙政策与虚拟机 (VM) 工作负载所在的 VPC 网络相关联。如需了解详情，请参阅将政策与网络关联。
3. 验证防火墙端点是否与虚拟机工作负载所在的 VPC 网络相关联。
4. 如需验证是否已应用第 7 层检查防火墙规则，请根据您在规则中定义的来源和目的地运行 Connectivity Tests 测试。如需了解如何运行 Connectivity Tests 测试，请参阅创建和运行 Connectivity Tests 测试。
5. 检查规则应用于传入流量的顺序。如需更改此顺序，请参阅更改政策和规则评估顺序。

在部分或所有连接上未检测到威胁

如果您的流量已加密，或者未将威胁防护政策设置为检测相应威胁，则会遇到这种情况。

如果您的流量已加密，请确保您已在网络上启用传输层安全协议 (TLS) 检查。如需详细了解如何启用 TLS 检查，请参阅设置 TLS 检查。

如果已启用 TLS 检查，请区分 Cloud 新一代防火墙阻止威胁时从客户端看到的消息与错误消息。如需了解详情，请参阅错误消息。

确保威胁防范政策已设置为检测此威胁：

1. 查看安全配置文件，以确定为此威胁设置的替换操作是否符合预期。
2. 向安全配置文件添加替换操作，以确保捕获威胁。

入侵防御服务防火墙规则配置有误

如果没有有效的防火墙端点，或者端点未与虚拟机工作负载所在的 VPC 网络相关联，则会发生这种情况。作为默认后备操作，Cloud NGFW 允许流量，并向防火墙日志添加 apply_security_profile_fallback_action = ALLOW。如需查看防火墙日志，请参阅查看日志。

如需解决此问题，请按以下步骤操作：

1. 如需为网络中的第 7 层检查防火墙政策规则启用日志记录，请参阅本文档的启用防火墙政策规则日志记录部分。

2. 使用以下过滤条件创建基于日志的指标、基于日志的提醒或两者兼备。

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

过滤器会生成事件详情，帮助您了解日志匹配条件、通知速率限制、事件自动关闭时长、日志标签和日志严重程度以及摘要。

错误消息

本部分介绍了 TLS 信任不正确或 Cloud NGFW 阻止威胁时您收到的常见错误消息。如需了解如何设置 TLS 检查，请参阅设置 TLS 检查。

防火墙政策规则被屏蔽

在 SSH 会话期间，您从客户端收到类似于以下错误的错误消息。

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

如需解决此错误，请查看日志并对其进行验证。如需了解详情，请参阅使用防火墙规则日志记录。

信任配置有误

在 SSH 会话期间，您从客户端收到类似于以下错误的错误消息。

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

此错误表示信任配置有误问题。此问题可能是由配置错误或缺少证书颁发机构 (CA) 导致。如需解决此错误，请启用 Certificate Authority Service。

忽略端点政策

使用 Cloud Next Generation Firewall L7 检查政策时，系统仅会评估防火墙政策规则，而不会将流量镜像到 Cloud Intrusion Detection System 进行检查。

要解决此问题，您必须确保 Cloud NGFW L7 检查政策（包含 apply_security_profile_group 操作的规则）不适用于您需要使用 Cloud IDS 检查的数据包。

后续步骤

• 如需了解入侵防御服务的概念信息，请参阅入侵防御服务概览。
• 如需了解防火墙政策规则的概念信息，请参阅防火墙政策规则。
• 如需确定费用，请参阅 Cloud NGFW 价格。