排解應用程式層檢查問題

本頁說明如何排解在網路中設定應用程式層 (第 7 層) 檢查時，可能遇到的常見問題。這些問題可能與安全性設定檔、安全性設定檔群組、防火牆端點或防火牆政策有關。

一般疑難排解步驟

如要排解網路中第 7 層檢查的常見設定錯誤，請完成下列各節所述工作。

啟用防火牆政策規則記錄

如要在防火牆政策中啟用第 7 層檢查防火牆規則的記錄功能，請按照下列步驟操作：

1. 在 Google Cloud 控制台中，前往「Firewall policies」(防火牆政策) 頁面。

   前往「防火牆政策」頁面

2. 按一下含有第 7 層檢查防火牆規則的防火牆政策名稱。

3. 在「優先順序」欄中，按一下要啟用記錄的防火牆政策規則優先順序。

4. 按一下 [編輯]。

5. 針對「記錄」，選取「開啟」。

6. 按一下 [儲存]。

針對所有包含第 7 層檢查防火牆規則的網路防火牆政策和階層式防火牆政策，重複上述步驟。

確認防火牆政策規則設定

1. 請確認第 7 層檢查防火牆規則的防火牆政策，已與虛擬機器 (VM) 工作負載所在的虛擬私有雲 (VPC) 網路建立關聯。詳情請參閱「將政策與網路建立關聯」。
2. 確認防火牆端點已與虛擬私人雲端網路建立關聯，而虛擬機器工作負載就位於該網路中。
3. 檢查規則強制執行順序，確保套用至流量的規則順序正確。詳情請參閱政策和規則評估順序。
4. 檢查網路和 VM 執行個體層級的有效防火牆規則。確認網路流量是否符合第 7 層檢查防火牆規則的防火牆政策規則。

允許或拒絕所有連線，但不會攔截

如果您已設定第 7 層檢查防火牆規則的所有元件，但系統未攔截及檢查流量是否有任何威脅或惡意活動，就會發生這種情況。

如要解決這個問題，請按照下列步驟操作：

1. 確認防火牆端點和待檢查的 VM 工作負載位於相同區域。
2. 確認防火牆政策規則已啟用記錄功能。 詳情請參閱本文的「啟用防火牆政策規則記錄」一節。

3. 在 Google Cloud 控制台中，前往「Firewall policies」(防火牆政策) 頁面。

   前往「防火牆政策」頁面

4. 按一下包含第 7 層檢查規則的防火牆政策。

5. 在「命中次數」欄中，查看防火牆規則使用的不重複連線數。

6. 如果命中次數為零，系統就不會將規則套用至流量。 如要確認設定是否正確，請參閱本文件的「一般疑難排解步驟」一節。

7. 如果命中次數不是零，請按一下該次數前往「記錄探索器」頁面，然後按照下列步驟操作：

   1. 展開個別記錄，即可查看 connection、disposition 和 remote location 詳細資料。
   2. 如果 disposition 未設為 intercepted 和 fallback_action = ALLOW，請參閱本文的「一般疑難排解步驟」一節，確認設定是否正確。

輸入防火牆政策規則不會攔截傳入流量

如果第 7 層檢查防火牆規則未套用至連入流量，就會發生這種情況。如果傳入流量在觸及第 7 層檢查防火牆政策規則前，符合其他防火牆規則，就會發生這種情況。

如要解決這個問題，請按照下列步驟操作：

1. 確認已啟用防火牆政策規則的記錄功能，並採用第 7 層檢查。詳情請參閱本文的「啟用防火牆政策規則記錄」一節。
2. 確認含有第 7 層檢查防火牆規則的防火牆政策，已與虛擬機器工作負載所在的虛擬私有雲網路建立關聯。詳情請參閱「將政策與網路建立關聯」。
3. 確認防火牆端點已與虛擬私人雲端網路建立關聯，而虛擬機器工作負載就位於該網路中。
4. 如要確認第 7 層檢查防火牆規則是否已套用，請根據您在規則中定義的來源和目的地執行連線測試。如要瞭解如何執行連線測試，請參閱「建立及執行連線測試」。
5. 檢查規則套用至連入流量的順序。 如要變更這個順序，請參閱「變更政策和規則評估順序」。

部分或所有連線未偵測到威脅

如果流量經過加密，或是威脅防護政策未設定為偵測威脅，就可能發生這種情況。

如果流量經過加密，請務必在網路上啟用傳輸層安全標準 (TLS) 檢查功能。如要進一步瞭解如何啟用 TLS 檢查功能，請參閱「設定 TLS 檢查」。

如果啟用 TLS 檢查，請區分用戶端看到的訊息，以及 Cloud Next Generation Firewall 封鎖威脅時顯示的錯誤訊息。詳情請參閱「錯誤訊息」。

確認威脅防護政策已設為偵測這項威脅：

1. 查看安全性設定檔，確認這項威脅的覆寫動作已如預期設定。
2. 在安全設定檔中新增覆寫動作，確保系統能偵測到威脅。

入侵偵測與防範服務防火牆規則設定有誤

如果沒有有效的防火牆端點，或端點未與 VM 工作負載所在的 VPC 網路建立關聯，就會發生這種情況。根據預設，Cloud NGFW 會允許流量，並在防火牆記錄中加入 apply_security_profile_fallback_action = ALLOW。如要查看防火牆記錄，請參閱「查看記錄」。

如要解決這個問題，請按照下列步驟操作：

1. 如要在網路中啟用第 7 層檢查防火牆政策規則的記錄功能，請參閱本文的「啟用防火牆政策規則記錄功能」一節。

2. 使用下列篩選器建立記錄指標、記錄快訊或兩者。

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

篩選器會產生事件詳細資料，協助您瞭解記錄檔相符條件、通知速率限制、事件自動關閉時間長度、記錄檔標籤和記錄檔嚴重程度，並提供摘要。

錯誤訊息

本節說明 TLS 信任機制不當或 Cloud NGFW 封鎖威脅時，您會收到的常見錯誤訊息。如要瞭解如何設定 TLS 檢查功能，請參閱「設定 TLS 檢查功能」。

防火牆政策規則遭到封鎖

在 SSH 工作階段期間，您從用戶端收到類似下列內容的錯誤訊息。

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

如要解決這項錯誤，請查看並驗證記錄檔。詳情請參閱使用防火牆規則記錄。

信任設定有誤

在 SSH 工作階段期間，您從用戶端收到類似下列內容的錯誤訊息。

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

這項錯誤表示信任設定有誤。這個問題可能是因為設定不正確，或是缺少憑證授權單位 (CA) 所致。如要解決這項錯誤，請啟用憑證授權單位服務。

系統會忽略端點政策

使用 Cloud Next Generation Firewall 第 7 層檢查政策時，系統只會評估防火牆政策規則，不會將流量鏡像到 Cloud Intrusion Detection System 進行檢查。

如要解決這個問題，請務必確保 Cloud NGFW L7 檢查政策 (含 apply_security_profile_group 動作的規則) 不會套用至您需要使用 Cloud IDS 檢查的封包。

後續步驟

• 如需入侵偵測和預防服務的概念資訊，請參閱入侵偵測和預防服務總覽。
• 如要瞭解防火牆政策規則的概念資訊，請參閱防火牆政策規則。
• 如要瞭解費用，請參閱 Cloud NGFW 定價。