Risolvere i problemi relativi all'ispezione a livello di applicazione

Questa pagina descrive come risolvere i problemi comuni che potresti riscontrare durante la configurazione dell'ispezione a livello di applicazione (livello 7) nella tua rete. Questi problemi potrebbero essere correlati a profili di sicurezza, gruppi di profili di sicurezza, endpoint firewall o norme firewall.

Procedure generiche di risoluzione dei problemi

Per risolvere i problemi relativi agli errori di configurazione comuni correlati all'ispezione del livello 7 nella tua rete, completa le attività menzionate nelle sezioni seguenti.

Abilita il logging delle regole del criterio firewall

Per abilitare la registrazione per le regole firewall di ispezione di livello 7 nelle tue norme firewall:

1. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

2. Fai clic sul nome della policy firewall che contiene regole firewall di ispezione di livello 7.

3. Nella colonna Priorità, fai clic sulla priorità della regola dei criteri firewall per cui vuoi attivare i log.

4. Fai clic su Modifica.

5. Per Log, seleziona On.

6. Fai clic su Salva.

Ripeti i passaggi precedenti per tutte le policy firewall di rete e le policy firewall gerarchiche che contengono regole firewall di ispezione di livello 7.

Verifica la configurazione delle regole dei criteri firewall

1. Assicurati che le policy firewall con le regole firewall di ispezione di livello 7 siano associate alla rete Virtual Private Cloud (VPC) in cui si trovano i carichi di lavoro delle macchine virtuali (VM). Per saperne di più, consulta Associare una policy alla rete.
2. Verifica che gli endpoint firewall siano associati alla rete VPC in cui risiedono i carichi di lavoro delle VM.
3. Controlla l'ordine di applicazione delle regole per assicurarti che le regole applicate al traffico siano nella sequenza corretta. Per saperne di più, consulta Ordine di valutazione di policy e regole.
4. Controlla le regole firewall effettive a livello di rete e istanza VM. Assicurati che le regole delle policy del firewall per le regole firewall di ispezione di livello 7 vengano applicate al traffico di rete.

Tutte le connessioni sono consentite o negate, ma non intercettate

Questo scenario si verifica quando hai configurato tutti i componenti per le regole firewall di ispezione di livello 7, ma il traffico non viene intercettato e ispezionato per rilevare eventuali minacce o attività dannose.

Per risolvere il problema, procedi nel seguente modo:

1. Verifica che l'endpoint firewall e i carichi di lavoro VM da ispezionare si trovino nella stessa zona.
2. Verifica che la registrazione sia abilitata per la regola del criterio firewall. Per saperne di più, consulta la sezione Attivare la registrazione delle regole dei criteri firewall di questo documento.

3. Nella console Google Cloud , vai alla pagina Policy firewall.

   Vai a Criteri firewall

4. Fai clic sulla policy del firewall che contiene la regola per l'ispezione di livello 7.

5. Nella colonna Numero di hit, visualizza il numero di connessioni uniche utilizzate per la regola firewall.

6. Se il conteggio hit è zero, la regola non viene applicata al traffico. Per verificare se la configurazione è corretta, consulta la sezione Procedura generica per la risoluzione dei problemi di questo documento.

7. Se il conteggio dei risultati non è zero, fai clic sul conteggio per andare alla pagina Esplora log e segui questi passaggi:

   1. Espandi i singoli log per visualizzare i dettagli di connection, disposition e remote location.
   2. Se disposition non è impostato su intercepted e fallback_action = ALLOW, consulta la sezione Passaggi generici per la risoluzione dei problemi di questo documento per verificare se la configurazione è corretta.

La regola del criterio firewall in entrata non intercetta il traffico in entrata

Questo scenario si verifica quando le regole del firewall di ispezione di livello 7 non vengono applicate al traffico in entrata. Si verifica quando il traffico in entrata corrisponde alle altre regole firewall prima di raggiungere le regole delle policy del firewall di ispezione di livello 7.

Per risolvere il problema, procedi nel seguente modo:

1. Verifica che il logging sia abilitato per la regola della policy del firewall con l'ispezione di livello 7. Per saperne di più, consulta la sezione Attivare la registrazione delle regole dei criteri firewall di questo documento.
2. Assicurati che la policy del firewall con la regola firewall di ispezione di livello 7 sia associata alla rete VPC in cui si trovano i carichi di lavoro delle VM. Per saperne di più, consulta Associare una policy alla rete.
3. Verifica che gli endpoint firewall siano associati alla rete VPC in cui risiedono i carichi di lavoro delle VM.
4. Per verificare che la regola firewall di ispezione di livello 7 sia applicata, esegui i test di connettività in base all'origine e alla destinazione che hai definito nella regola. Per scoprire come eseguire Connectivity Tests, vedi Crea ed esegui Connectivity Tests.
5. Controlla la sequenza in cui le regole vengono applicate al traffico in entrata. Per modificare questa sequenza, consulta Modificare l'ordine di valutazione di norme e regole.

Non viene rilevata alcuna minaccia su alcune o tutte le connessioni

Questo scenario potrebbe verificarsi quando il traffico è criptato o quando la norma di prevenzione delle minacce non è impostata per rilevare la minaccia.

Se il traffico è criptato, assicurati di aver attivato l'ispezione TLS (Transport Layer Security) sulla tua rete. Per scoprire di più su come abilitare l'ispezione TLS, consulta Configurare l'ispezione TLS.

Se l'ispezione TLS è abilitata, distingui tra i messaggi visualizzati dal client e i messaggi di errore quando Cloud Next Generation Firewall blocca una minaccia. Per ulteriori informazioni, vedi Messaggi di errore.

Assicurati che la policy di prevenzione delle minacce sia impostata per rilevare questa minaccia:

1. Esamina il tuo profilo di sicurezza per la prevenzione delle minacce per verificare che le azioni di override per questa minaccia siano impostate come previsto.
2. Aggiungi azioni di override in un profilo di sicurezza di prevenzione delle minacce per assicurarti che la minaccia venga acquisita.

Regole firewall del servizio di rilevamento e prevenzione delle intrusioni configurate in modo errato

Questo scenario si verifica quando non esiste un endpoint firewall valido o l'endpoint non è associato alla rete VPC in cui si trovano i carichi di lavoro VM. Come azione di riserva predefinita, Cloud NGFW consente il traffico e aggiunge apply_security_profile_fallback_action = ALLOW ai log firewall. Per visualizzare i log firewall, vedi Visualizza i log.

Per risolvere il problema, procedi nel seguente modo:

1. Per abilitare la registrazione per le regole delle policy firewall di ispezione di livello 7 nella tua rete, consulta la sezione Abilitare la registrazione delle regole delle policy firewall di questo documento.

2. Crea le metriche basate su log, gli avvisi basati su log o entrambi utilizzando i seguenti filtri.

     jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
     jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
   

Il filtro genera i dettagli dell'incidente, che ti aiutano a comprendere la condizione di corrispondenza dei log, il limite di frequenza delle notifiche, la durata della chiusura automatica dell'incidente, le etichette dei log e la gravità dei log con il riepilogo.

Il servizio di filtraggio degli URL non consente o nega il traffico come previsto

Potresti riscontrare questo scenario se configuri tutti i componenti per l'ispezione del livello 7 e il filtro URL, ma il traffico verso un URL non è consentito o negato come previsto.

Per risolvere il problema, procedi nel seguente modo:

1. Segui le istruzioni nella sezione Tutte le connessioni sono consentite o negate, ma non intercettate di questo documento per determinare se la regola firewall per l'ispezione di livello 7 viene applicata al traffico e se il traffico viene intercettato correttamente.

   Se la regola non viene applicata o il traffico non viene intercettato, rivedi la sezione Tutte le connessioni sono consentite o negate, ma non intercettate.

2. Se la regola viene applicata e il traffico viene intercettato, visualizza i log di filtro URL andando a Esplora log e inserendo la seguente query nel riquadro Query. Sostituisci PROJECT_ID con l'ID del tuo progetto.

     resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"
   

3. Espandi la voce di log e determina il valore del campo ruleIndex. Questo campo indica la priorità del filtro URL rispetto al quale l'endpoint firewall ha rilevato una corrispondenza.

4. Nella console Google Cloud , vai alla pagina Profili di sicurezza.

   Vai a Profili di sicurezza

5. Nella scheda Profili di sicurezza, fai clic sul profilo di sicurezza associato alla regola firewall per visualizzare i dettagli del profilo.

6. Verifica se l'URL consentito o negato è elencato in base alla priorità che hai ottenuto in precedenza, il che ti aiuta a determinare se l'endpoint firewall ha rilevato una corrispondenza con un filtro URL diverso con una priorità più alta. Pertanto, il tuo profilo di sicurezza potrebbe contenere più filtri URL che includono lo stesso URL.

Messaggi di errore

Questa sezione descrive i messaggi di errore comuni che vengono visualizzati quando l'attendibilità TLS non è corretta o Cloud NGFW blocca una minaccia. Per scoprire come configurare l'ispezione TLS, vedi Configura l'ispezione TLS.

Regola della policy firewall bloccata

Durante una sessione SSH, hai ricevuto un messaggio di errore simile al seguente da un client.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Per risolvere questo errore, visualizza il log e convalidalo. Per saperne di più, consulta Utilizza il logging delle regole firewall VPC.

Attendibilità configurata in modo errato

Durante una sessione SSH, hai ricevuto un messaggio di errore simile al seguente da un client.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Questo errore indica un problema di attendibilità configurato in modo errato. Questo problema è causato da una configurazione errata o dall'assenza di un'autorità di certificazione (CA). Per risolvere questo errore, attiva Certificate Authority Service.

Le policy degli endpoint vengono ignorate

Vengono valutate solo le regole delle policy del firewall e il traffico non viene sottoposto a mirroring a Cloud Intrusion Detection System per l'ispezione durante l'utilizzo delle policy di ispezione L7 di Cloud Next Generation Firewall.

Per risolvere il problema, devi assicurarti che le policy di ispezione L7 di Cloud NGFW (regole con l'azione apply_security_profile_group) non si applichino ai pacchetti che devi ispezionare con Cloud IDS.

Passaggi successivi

• Per informazioni concettuali sul servizio di rilevamento e prevenzione delle intrusioni, vedi Panoramica del servizio di rilevamento e prevenzione delle intrusioni.
• Per informazioni concettuali sulle regole delle policy firewall, consulta Componenti delle regole delle policy firewall.
• Per determinare i costi, consulta Prezzi di Cloud NGFW.