本頁說明如何排解在網路中設定應用程式層 (第 7 層) 檢查時,可能遇到的常見問題。這些問題可能與安全性設定檔、安全性設定檔群組、防火牆端點或防火牆政策有關。
一般疑難排解步驟
如要排解網路中第 7 層檢查的常見設定錯誤,請完成下列各節所述的工作。
啟用防火牆政策規則記錄
如要在防火牆政策中啟用第 7 層檢查防火牆規則的記錄功能,請按照下列步驟操作:
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
按一下含有第 7 層檢查防火牆規則的防火牆政策名稱。
在「優先順序」欄中,按一下要啟用記錄的防火牆政策規則優先順序。
按一下 [編輯]。
將「記錄」設為「開啟」。
按一下 [儲存]。
針對所有包含第 7 層檢查防火牆規則的網路防火牆政策和階層式防火牆政策,重複上述步驟。
確認防火牆政策規則設定
- 請確認第 7 層檢查防火牆規則的防火牆政策,與虛擬機器 (VM) 工作負載所在的虛擬私有雲 (VPC) 網路相關聯。詳情請參閱「將政策與網路建立關聯」。
- 確認防火牆端點與 VM 工作負載所在的虛擬私有雲網路建立關聯。
- 檢查規則強制執行順序,確保套用至流量的規則順序正確。詳情請參閱「政策和規則評估順序」。
- 檢查網路和 VM 執行個體層級的有效防火牆規則。請確認網路流量是否符合第 7 層檢查防火牆規則的防火牆政策規則。
允許或拒絕所有連線,但不攔截
如果您已設定第 7 層檢查防火牆規則的所有元件,但系統未攔截及檢查流量,以找出任何威脅或惡意活動,就會發生這種情況。
如要解決這個問題,請按照下列步驟操作:
- 確認防火牆端點和要檢查的 VM 工作負載位於相同區域。
- 確認防火牆政策規則已啟用記錄功能。 詳情請參閱本文的「啟用防火牆政策規則記錄」一節。
前往 Google Cloud 控制台的「Firewall policies」(防火牆政策) 頁面。
按一下包含第 7 層檢查規則的防火牆政策。
在「命中次數」欄中,查看防火牆規則使用的不重複連線數。
如果命中次數為零,系統就不會將規則套用至流量。 如要確認設定是否正確,請參閱本文的「一般疑難排解步驟」一節。
如果命中次數不是零,請按一下該次數前往「記錄探索器」頁面,然後按照下列步驟操作:
- 展開個別記錄,即可查看
connection、disposition和remote location詳細資料。 - 如果
disposition未設為intercepted且fallback_action = ALLOW,請參閱本文的「一般疑難排解步驟」一節,確認設定是否正確。
- 展開個別記錄,即可查看
輸入防火牆政策規則不會攔截輸入流量
如果第 7 層檢查防火牆規則未套用至連入流量,就會發生這種情況。如果傳入流量在觸及第 7 層檢查防火牆政策規則前,符合其他防火牆規則,就會發生這種情況。
如要解決這個問題,請按照下列步驟操作:
- 確認已啟用採用第 7 層檢查的防火牆政策規則記錄功能。詳情請參閱本文的「啟用防火牆政策規則記錄」一節。
- 請確認採用第 7 層檢查防火牆規則的防火牆政策,已與虛擬機器工作負載所在的虛擬私有雲網路建立關聯。詳情請參閱「將政策與網路建立關聯」。
- 確認防火牆端點與 VM 工作負載所在的虛擬私有雲網路建立關聯。
- 如要確認第 7 層檢查防火牆規則是否已套用,請根據您在規則中定義的來源和目的地執行連線測試。如要瞭解如何執行 Connectivity Tests,請參閱「建立及執行 Connectivity Tests」。
- 檢查規則套用至連入流量的順序。 如要變更這個順序,請參閱「變更政策和規則的評估順序」。
部分或所有連線未偵測到威脅
如果流量經過加密,或威脅防護政策未設定為偵測威脅,就可能發生這種情況。
如果流量已加密,請務必在網路上啟用傳輸層安全標準 (TLS) 檢查功能。如要進一步瞭解如何啟用 TLS 檢查功能,請參閱「設定 TLS 檢查」。
如果啟用 TLS 檢查,請區分從用戶端看到的訊息,以及 Cloud Next Generation Firewall 封鎖威脅時顯示的錯誤訊息。詳情請參閱「錯誤訊息」。
確認威脅防護政策已設為偵測這項威脅:
- 查看威脅防範安全設定檔,確認這項威脅的覆寫動作已設為預期值。
- 在威脅防護安全設定檔中新增覆寫動作,確保系統能偵測到威脅。
入侵偵測與防範服務防火牆規則設定有誤
如果沒有有效的防火牆端點,或端點未與 VM 工作負載所在的 VPC 網路建立關聯,就會發生這種情況。根據預設,Cloud NGFW 會允許流量通過,並在防火牆記錄中加入 apply_security_profile_fallback_action = ALLOW。如要查看防火牆記錄,請參閱「查看記錄」。
如要解決這個問題,請按照下列步驟操作:
如要在網路中啟用第 7 層檢查防火牆政策規則的記錄功能,請參閱本文的「啟用防火牆政策規則記錄功能」一節。
-
jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP" jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"
篩選器會產生事件詳細資料,協助您瞭解記錄檔比對條件、通知速率限制、事件自動關閉時間長度、記錄檔標籤和記錄檔嚴重程度,並提供摘要。
網址篩選服務無法如預期允許或拒絕流量
如果您設定第 7 層檢查和網址篩選的所有元件,但系統未如預期允許或拒絕網址流量,就可能會遇到這種情況。
如要解決這個問題,請按照下列步驟操作:
請按照本文件「所有連線都會允許或拒絕,但不會遭到攔截」一節的說明,判斷第 7 層檢查的防火牆規則是否套用至流量,以及流量是否成功遭到攔截。
如果規則未套用或流量未遭攔截,請重新查看「允許或拒絕所有連線,但不攔截」一節。
如果系統套用規則並攔截流量,請前往「記錄檔探索工具」,在「查詢」窗格中輸入下列查詢,即可查看網址篩選記錄。將
PROJECT_ID替換為專案 ID。resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"
展開記錄項目,並判斷
ruleIndex欄位的值。這個欄位會指出防火牆端點偵測到相符項目時,網址篩選器的優先順序。前往 Google Cloud 控制台的「Security profiles」(安全性設定檔) 頁面。
在「Security profiles」(安全性設定檔) 分頁中,按一下與防火牆規則相關聯的安全性設定檔,即可查看設定檔詳細資料。
確認允許或拒絕的網址是否列在您先前取得的優先順序中,這有助於判斷防火牆端點是否偵測到優先順序較高的其他網址篩選器相符項目。因此,安全性設定檔可能包含多個含有相同網址的網址篩選條件。
錯誤訊息
本節說明 TLS 信任不當或 Cloud NGFW 封鎖威脅時,您會收到的常見錯誤訊息。如要瞭解如何設定 TLS 檢查功能,請參閱「設定 TLS 檢查功能」。
防火牆政策規則遭到封鎖
在 SSH 工作階段期間,您從用戶端收到類似下列錯誤的錯誤訊息。
curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104
如要解決這項錯誤,請查看並驗證記錄檔。詳情請參閱「使用虛擬私有雲防火牆規則記錄」。
信任設定有誤
在 SSH 工作階段期間,您從用戶端收到類似下列錯誤的錯誤訊息。
curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection
這個錯誤表示信任設定有誤。這個問題可能是因為設定不正確,或是缺少憑證授權單位 (CA) 所致。如要解決這項錯誤,請啟用憑證授權單位服務。
系統會忽略端點政策
使用 Cloud Next Generation Firewall L7 檢查政策時,系統只會評估防火牆政策規則,不會將流量鏡像至 Cloud 入侵偵測系統進行檢查。
如要解決這個問題,請確保需透過 Cloud IDS 檢查的封包未套用 Cloud NGFW L7 檢查政策 (採用 apply_security_profile_group 動作的規則)。
後續步驟
- 如要瞭解入侵偵測與防範服務的概念資訊,請參閱入侵偵測與防範服務總覽。
- 如要瞭解防火牆政策規則的概念資訊,請參閱「防火牆政策規則組成部分」。
- 如要瞭解費用,請參閱「Cloud NGFW 定價」。