排查应用层检查问题

本页面介绍如何排查在网络中设置应用层（第 7 层）检查时可能会遇到的常见问题。这些问题可能与安全配置文件、安全配置文件组、防火墙端点或防火墙政策有关。

常规问题排查步骤

如需排查与网络中的第 7 层检查相关的常见配置错误，请完成以下部分中提到的任务。

启用防火墙政策规则日志记录

如需为防火墙政策中的第 7 层检查防火墙规则启用日志记录，请执行以下操作：

1. 在 Google Cloud 控制台中，转到防火墙页面。

   转到“防火墙政策”

2. 点击包含第 7 层检查防火墙规则的防火墙政策的名称。

3. 在优先级列中，点击要为其启用日志的防火墙政策规则的优先级。

4. 点击修改。

5. 在日志列表中，选择开启。

6. 点击保存。

对包含第 7 层检查防火墙规则的所有网络防火墙政策和分层防火墙政策重复上述步骤。

验证防火墙政策规则配置

1. 确保具有第 7 层检查防火墙规则的防火墙政策与虚拟机 (VM) 工作负载所在的 Virtual Private Cloud (VPC) 网络相关联。如需了解详情，请参阅将政策与网络关联。
2. 验证防火墙端点是否与虚拟机工作负载所在的 VPC 网络相关联。
3. 检查规则强制执行顺序，以确保应用于流量的规则具有正确的顺序。如需了解详情，请参阅政策和规则评估顺序。
4. 检查网络和虚拟机实例级层的有效防火墙规则。确保网络流量符合第 7 层检查防火墙规则的防火墙政策规则。

允许或拒绝所有连接，但不会拦截

当您为第 7 层检查防火墙规则配置所有组件，但流量不会被拦截和检查是否存在任何威胁或恶意活动时，会遇到此场景。

如需解决此问题，请按以下步骤操作：

1. 验证防火墙端点和要检查的虚拟机工作负载是否位于同一可用区。
2. 验证是否为防火墙政策规则启用了日志记录。 如需了解详情，请参阅本文档的启用防火墙政策规则日志记录部分。

3. 在 Google Cloud 控制台中，转到防火墙页面。

   转到“防火墙政策”

4. 点击包含第 7 层检查的规则的防火墙政策。

5. 在命中数列中，查看用于防火墙规则的唯一连接数。

6. 如果命中数为零，则该规则不会应用于流量。 如需验证设置是否正确，请参阅本文档的通用问题排查步骤部分。

7. 如果命中数不为零，请点击该计数以转到日志浏览器页面，然后按照以下步骤操作：

   1. 展开各个日志以查看 connection、disposition 和 remote location 详细信息。
   2. 如果 disposition 未设置为 intercepted 和 fallback_action = ALLOW，请查看本文档的通用问题排查步骤部分以验证设置正确。

入站防火墙政策规则不拦截传入流量

当第 7 层检查防火墙规则未应用于传入流量时，会遇到此场景。如果传入流量在到达第 7 层检查防火墙政策规则之前与其他防火墙规则匹配，则会发生这种情况。

如需解决此问题，请按以下步骤操作：

1. 使用第 7 层检查验证防火墙政策规则是否已启用日志记录。如需了解详情，请参阅本文档的启用防火墙政策规则日志记录部分。
2. 确保具有第 7 层检查防火墙规则的防火墙政策与虚拟机工作负载所在的 VPC 网络相关联。如需了解详情，请参阅将政策与网络关联。
3. 验证防火墙端点是否与虚拟机工作负载所在的 VPC 网络相关联。
4. 如需验证第 7 层检查防火墙规则是否已应用，请根据您在规则中定义的来源和目的地运行连接测试。如需了解如何运行 Connectivity Tests，请参阅创建和运行 Connectivity Tests。
5. 检查规则应用于传入流量的顺序。如需更改此顺序，请参阅更改政策和规则评估顺序。

未在部分或全部连接上检测到威胁

当您的流量被加密，或者威胁防范政策未设置为检测威胁时，可能会遇到此场景。

如果您的流量已加密，请确保您已在网络上启用传输层安全协议 (TLS) 检查。如需详细了解如何启用 TLS 检查，请参阅设置 TLS 检查。

如果启用了 TLS 检查，请区分当 Cloud Next Generation Firewall 阻止威胁时从客户端看到的消息与错误消息。如需了解详情，请参阅错误消息。

请确保将威胁防护政策设置为检测此威胁：

1. 查看您的安全配置文件，以确定此威胁的替换操作已按预期设置。
2. 向您的安全配置文件添加替换操作，以确保捕获威胁。

入侵防御服务防火墙规则配置错误

当没有有效的防火墙端点或者端点未与虚拟机工作负载所在的 VPC 网络关联时，会发生这种情况。作为默认后备操作，Cloud NGFW 会允许该流量，并将 apply_security_profile_fallback_action = ALLOW 添加到防火墙日志。如需查看防火墙日志，请参阅查看日志。

如需解决此问题，请按以下步骤操作：

1. 如需为网络中的第 7 层检查防火墙政策规则启用日志记录，请参阅本文档的启用防火墙政策规则日志记录部分。

2. 使用以下过滤条件创建基于日志的指标和/或基于日志的提醒。

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

过滤条件会生成突发事件详细信息，从而帮助您通过摘要了解日志匹配条件、通知速率限制、突发事件自动关闭时长、日志标签和日志严重程度。

错误消息

本部分介绍当 TLS 信任不正确或 Cloud NGFW 阻止威胁时您收到的常见错误消息。如需了解如何设置 TLS 检查，请参阅设置 TLS 检查。

防火墙政策规则已被屏蔽

在 SSH 会话期间，您从客户端收到类似于以下错误的错误消息。

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

如需解决此错误，请查看日志并进行验证。如需了解详情，请参阅使用防火墙规则日志记录。

信任配置错误

在 SSH 会话期间，您从客户端收到类似于以下错误的错误消息。

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

此错误表示信任问题配置错误。此问题是由配置不正确或缺少证书授权机构 (CA) 引起的。如需解决此错误，请启用 Certificate Authority Service。

后续步骤

• 如需了解入侵防御服务的概念性信息，请参阅入侵防御服务概览。
• 如需了解防火墙政策规则的概念信息，请参阅防火墙政策规则。
• 如需确定费用，请参阅 Cloud NGFW 价格。