Fehlerbehebung bei der Prüfung auf Anwendungsebene

Auf dieser Seite wird beschrieben, wie Sie häufige Probleme beim Einrichten der Prüfung auf Anwendungsebene (Ebene 7) in Ihrem Netzwerk beheben können. Diese Probleme können mit Sicherheitsprofilen, Sicherheitsprofilgruppen, Firewall-Endpunkten oder Firewallrichtlinien verbunden sein.

Allgemeine Schritte zur Fehlerbehebung

Führen Sie die in den folgenden Abschnitten erwähnten Aufgaben aus, um häufige Konfigurationsfehler im Zusammenhang mit der Layer 7-Prüfung in Ihrem Netzwerk zu beheben.

Logging von Firewallrichtlinien-Regeln aktivieren

So aktivieren Sie das Logging für die Firewallregeln der Layer-7-Prüfung in Ihren Firewallrichtlinien:

1. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

2. Klicken Sie auf den Namen einer Firewallrichtlinie, die Firewallregeln für die Layer-7-Inspektion enthält.

3. Klicken Sie in der Spalte Priorität auf die Priorität der Firewallrichtlinienregel, für die Sie das Logging aktivieren möchten.

4. Klicken Sie auf Bearbeiten.

5. Wählen Sie für Logs Ein aus.

6. Klicken Sie auf Speichern.

Wiederholen Sie die vorherigen Schritte für alle Netzwerkfirewall-Richtlinien und hierarchischen Firewall-Richtlinien, die Firewallregeln für die Layer-7-Prüfung enthalten.

Konfiguration der Firewallrichtlinienregeln prüfen

1. Achten Sie darauf, dass die Firewall-Richtlinien mit den Layer 7-Firewallregeln dem VPC-Netzwerk (Virtual Private Cloud) zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
2. Prüfen Sie, ob die Firewall-Endpunkte dem VPC-Netzwerk zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden.
3. Prüfen Sie die Reihenfolge der Regeldurchsetzung, um sicherzustellen, dass die auf den Traffic angewendeten Regeln in der richtigen Reihenfolge sind. Weitere Informationen finden Sie unter Reihenfolge der Richtlinien- und Regelauswertung.
4. Prüfen Sie die gültigen Firewallregeln auf Netzwerk- und VM-Instanzebene. Prüfen Sie, ob die Firewallrichtlinienregeln für Firewallregeln der Layer‑7-Prüfung für den Netzwerk-Traffic angewendet werden.

Alle Verbindungen werden zugelassen oder abgelehnt, aber nicht abgefangen

Dieses Szenario tritt auf, wenn Sie alle Komponenten für die Firewallregeln für die Layer-7-Prüfung konfiguriert haben, der Traffic jedoch nicht abgefangen und auf Bedrohungen oder schädliche Aktivitäten untersucht wird.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Prüfen Sie, ob sich der Firewall-Endpunkt und die zu prüfenden VM-Arbeitslasten in derselben Zone befinden.
2. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.

3. Rufen Sie in der Google Cloud Console die Seite Firewallrichtlinien auf.

   Zu den Firewall-Richtlinien

4. Klicken Sie auf die Firewallrichtlinie, die die Regel für die Layer‑7-Prüfung enthält.

5. In der Spalte Trefferzahl sehen Sie die Anzahl der einmaligen Verbindungen, die für die Firewallregel verwendet wurden.

6. Wenn die Anzahl der Treffer null ist, wird die Regel nicht auf den Traffic angewendet. Im Abschnitt Allgemeine Schritte zur Fehlerbehebung in diesem Dokument erfahren Sie, wie Sie prüfen, ob die Einrichtung korrekt ist.

7. Wenn die Trefferzahl nicht null ist, klicken Sie auf die Anzahl, um die Seite Log Explorer aufzurufen. Führen Sie dann die folgenden Schritte aus:

   1. Maximieren Sie einzelne Protokolle, um Details zu connection, disposition und remote location aufzurufen.
   2. Wenn die disposition nicht auf intercepted und fallback_action = ALLOW festgelegt ist, lesen Sie den Abschnitt Allgemeine Schritte zur Fehlerbehebung in diesem Dokument, um zu prüfen, ob die Einrichtung korrekt ist.

Firewall-Richtlinienregeln für eingehenden Traffic fangen eingehenden Traffic nicht ab

Dieses Szenario tritt auf, wenn die Firewallregeln der Layer-7-Prüfung nicht auf den eingehenden Traffic angewendet werden. Dies tritt zu, wenn der eingehende Traffic den anderen Firewallregeln entspricht, bevor er die Firewallrichtlinienregeln der Layer-7-Prüfung erreicht.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Prüfen Sie, ob das Logging für die Firewallrichtlinienregel der Layer-7-Prüfung aktiviert ist. Weitere Informationen finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.
2. Achten Sie darauf, dass die Firewallrichtlinie mit der Layer-7-Firewallregel der Prüfung dem VPC-Netzwerk zugeordnet ist, in dem sich Ihre VM-Arbeitslasten befinden. Weitere Informationen finden Sie unter Richtlinie mit dem Netzwerk verknüpfen.
3. Prüfen Sie, ob die Firewall-Endpunkte dem VPC-Netzwerk zugeordnet sind, in dem sich Ihre VM-Arbeitslasten befinden.
4. Um zu prüfen, ob die Firewallregel für die Layer-7-Prüfung angewendet wird, führen Sie Konnektivitätstests anhand der in der Regel definierten Quelle und des Ziels aus. Informationen zum Ausführen von Konnektivitätstests finden Sie unter Konnektivitätstests erstellen und ausführen.
5. Prüfen Sie die Reihenfolge, in der die Regeln auf den eingehenden Traffic angewendet werden. Informationen zum Ändern dieser Reihenfolge finden Sie unter Richtlinien- und Regelauswertungsreihenfolge ändern.

Bei einigen oder allen Verbindungen wird keine Bedrohung erkannt

Dieses Szenario kann auftreten, wenn Ihr Traffic verschlüsselt ist oder die Richtlinie zur Bedrohungsabwehr nicht so konfiguriert ist, dass die Bedrohung erkannt wird.

Wenn Ihr Traffic verschlüsselt ist, muss die TLS-Prüfung (Transport Layer Security) für Ihr Netzwerk aktiviert sein. Weitere Informationen zum Aktivieren der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Wenn die TLS-Prüfung aktiviert ist, wird zwischen vom Client angezeigten Meldungen und Fehlermeldungen unterschieden, wenn Cloud Next Generation Firewall eine Bedrohung blockiert. Weitere Informationen finden Sie unter Fehlermeldungen.

Prüfen Sie, ob die Richtlinie zur Bedrohungsabwehr so konfiguriert ist, dass diese Bedrohung erkannt wird:

1. Prüfen Sie Ihr Sicherheitsprofil für die Bedrohungsprävention, um festzustellen, ob die Überschreibungsaktionen für diese Bedrohung wie erwartet festgelegt sind.
2. Fügen Sie einem Sicherheitsprofil zur Vermeidung von Bedrohungen Überschreibungsaktionen hinzu, damit die Bedrohung sicher erfasst wird.

Falsch konfigurierte Firewallregeln des Diensts zur Einbruchserkennung und ‑vermeidung

Dieses Szenario tritt auf, wenn kein gültiger Firewall-Endpunkt vorhanden ist oder der Endpunkt nicht dem VPC-Netzwerk zugeordnet ist, in dem sich Ihre VM-Arbeitslasten befinden. Als standardmäßige Fallback-Aktion lässt Cloud NGFW den Traffic zu und fügt den Firewall-Logs apply_security_profile_fallback_action = ALLOW hinzu. Informationen zum Anzeigen von Firewall-Logs finden Sie unter Logs ansehen.

Führen Sie die folgenden Schritte aus, um das Problem zu beheben:

1. Informationen zum Aktivieren des Loggings für die Firewallrichtlinienregeln der Layer-7-Prüfung in Ihrem Netzwerk finden Sie im Abschnitt Logging von Firewallrichtlinienregeln aktivieren in diesem Dokument.

2. Sie können die logbasierten Messwerte und/oder logbasierten Benachrichtigungen mit den folgenden Filtern erstellen.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Der Filter generiert Vorfalldetails, die dabei helfen, Log-Übereinstimmungsbedingungen, das Limit der Benachrichtigungsrate, die Dauer für das automatische Schließen von Vorfällen, Loglabels und den Logschweregrad über die Zusammenfassung zu verstehen.

Fehlermeldungen

In diesem Abschnitt werden die häufigen Fehlermeldungen beschrieben, die Sie erhalten, wenn das TLS-Vertrauen nicht richtig ist oder Cloud NGFW eine Bedrohung blockiert. Informationen zum Einrichten der TLS-Prüfung finden Sie unter TLS-Prüfung einrichten.

Firewallrichtlinien-Regel ist blockiert

Sie haben während einer SSH-Sitzung von einem Client eine Fehlermeldung erhalten, die so ähnlich wie die folgende aussieht.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Sehen Sie sich das Log an und prüfen Sie es, um diesen Fehler zu beheben. Weitere Informationen finden Sie unter Logging von Firewallregeln verwenden.

Falsch konfigurierte Vertrauensstellung

Sie haben während einer SSH-Sitzung von einem Client eine Fehlermeldung erhalten, die so ähnlich wie die folgende aussieht.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Dieser Fehler weist auf ein falsch konfiguriertes Vertrauensproblem hin. Dieses Problem wird entweder durch eine falsche Konfiguration oder das Fehlen einer Zertifizierungsstelle (Certificate Authority, CA) verursacht. Aktivieren Sie den Certificate Authority Service, um diesen Fehler zu beheben.

Endpunktrichtlinien werden ignoriert

Es werden nur Firewallrichtlinienregeln ausgewertet und der Traffic wird nicht zur Prüfung an das Cloud Intrusion Detection System gespiegelt, wenn Sie Prüfungsrichtlinien für L7-Cloud-Firewalls der nächsten Generation verwenden.

Um dieses Problem zu beheben, müssen Sie dafür sorgen, dass Ihre Cloud NGFW-L7-Prüfungsrichtlinien (Regeln mit der Aktion apply_security_profile_group) nicht auf Pakete angewendet werden, die Sie mit Cloud IDS prüfen müssen.

Nächste Schritte

• Konzeptionelle Informationen zum Dienst zur Einbruchserkennung und ‑vermeidung finden Sie unter Dienst zur Einbruchserkennung und ‑vermeidung.
• Konzeptionelle Informationen zu Firewallrichtlinienregeln finden Sie unter Firewallrichtlinien-Regeln.
• Informationen zum Ermitteln der Kosten finden Sie unter Cloud NGFW – Preise.