פתרון בעיות בבדיקה של שכבת האפליקציה

בדף הזה מוסבר איך לפתור בעיות נפוצות שעלולות לקרות כשמגדירים בדיקה של שכבת האפליקציה (שכבה 7) ברשת. הבעיות האלה עשויות להיות קשורות לפרופילי אבטחה, לקבוצות של פרופילי אבטחה, לנקודות קצה של חומת אש או למדיניות של חומת אש.

שלבים כלליים לפתרון בעיות

כדי לפתור בעיות נפוצות בהגדרות שקשורות לבדיקה בשכבה 7 ברשת, צריך לבצע את המשימות שמפורטות בקטעים הבאים.

הפעלת רישום ביומן של כללי מדיניות חומת אש

כדי להפעיל את הרישום ביומן של כללי חומת האש לבדיקה בשכבה 7 במדיניות חומת האש, מבצעים את הפעולות הבאות:

  1. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

    לדף Firewall policies

  2. לוחצים על השם של מדיניות חומת האש שיש לה כללים של חומת אש לבדיקת שכבה 7.

  3. בעמודה Priority, לוחצים על העדיפות של כלל מדיניות חומת האש שרוצים להפעיל עבורו את היומנים.

  4. לוחצים על Edit.

  5. בקטע יומנים, בוחרים באפשרות מופעל.

  6. לוחצים על Save.

חוזרים על השלבים הקודמים לכל כללי המדיניות של חומת האש ברשת ולכל כללי המדיניות ההיררכיים של חומת האש שמכילים כללי חומת אש לבדיקה של Layer 7.

אימות ההגדרות של הכללים במדיניות חומת האש

  1. מוודאים שמדיניות חומת האש עם כללי חומת האש של בדיקת שכבה 7 משויכת לרשת הענן הווירטואלי הפרטי (VPC) שבה נמצאים עומסי העבודה של המכונה הווירטואלית (VM). מידע נוסף זמין במאמר בנושא שיוך מדיניות לרשת.
  2. מוודאים שנקודות הקצה של חומת האש משויכות לרשת ה-VPC שבה נמצאים עומסי העבודה של מכונת ה-VM.
  3. בודקים את סדר האכיפה של הכללים כדי לוודא שהכללים שחלים על התנועה מופיעים ברצף הנכון. מידע נוסף על סדר ההערכה של מדיניות וכללים
  4. בודקים את כללי חומת האש האפקטיביים ברמת הרשת וברמת המכונה הווירטואלית. מוודאים שכללי המדיניות של חומת האש לבדיקה של Layer 7 חלים על תעבורת הנתונים ברשת.

כל החיבורים מותרים או נדחים, אבל לא נחסמים

התרחיש הזה מתרחש כשמגדירים את כל הרכיבים לכללי חומת אש לבדיקה בשכבה 7, אבל התעבורה לא נחסמת ולא נבדקת לאיתור איומים או פעילות זדונית.

כדי לפתור את הבעיה, בצע את הצעדים הבאים:

  1. מוודאים שנקודת הקצה של חומת האש ועומסי העבודה של המכונה הווירטואלית שרוצים לבדוק נמצאים באותו אזור.
  2. מוודאים שהרישום ביומן מופעל עבור הכלל במדיניות חומת האש. מידע נוסף זמין בקטע הפעלת רישום ביומן של כללי מדיניות חומת האש במאמר הזה.

  3. נכנסים לדף Firewall policies במסוף Cloud de Confiance .

    לדף Firewall policies

  4. לוחצים על מדיניות חומת האש שמכילה את הכלל לבדיקה בשכבה 7.

  5. בעמודה מספר הפניות, אפשר לראות את מספר החיבורים הייחודיים שנעשה בהם שימוש בכלל חומת האש.

  6. אם מספר ההיטים הוא אפס, הכלל לא חל על התנועה. כדי לוודא שההגדרה נכונה, אפשר לעיין בקטע שלבים כלליים לפתרון בעיות במסמך הזה.

  7. אם מספר ההתאמות לאפס, לוחצים על המספר כדי לעבור לדף Log explorer ופועלים לפי השלבים הבאים:

    1. מרחיבים את היומנים כדי לראות את הפרטים connection, disposition ו-remote location.
    2. אם הערך של disposition לא מוגדר ל-intercepted ול-fallback_action = ALLOW, כדאי לעיין בקטע שלבים כלליים לפתרון בעיות במסמך הזה כדי לוודא שההגדרה נכונה.

כלל במדיניות חומת האש לתעבורת נתונים נכנסת לא מיירט תעבורה נכנסת

התרחיש הזה מתרחש כשכללי חומת האש של Layer 7 לא חלים על תעבורת הנתונים הנכנסת. הבעיה מתרחשת כשתעבורת הנתונים הנכנסת תואמת לכללי חומת אש אחרים לפני שהיא מגיעה לכללי מדיניות חומת האש לבדיקה ב-Layer 7.

כדי לפתור את הבעיה, בצע את הצעדים הבאים:

  1. מוודאים שהרישום ביומן מופעל עבור הכלל במדיניות חומת האש עם בדיקה בשכבה 7. מידע נוסף זמין בקטע הפעלת רישום ביומן של כללי מדיניות חומת האש במסמך הזה.
  2. מוודאים שמדיניות חומת האש עם כלל חומת האש לבדיקה בשכבה 7 משויכת לרשת ה-VPC שבה נמצאים עומסי העבודה של המכונה הווירטואלית. מידע נוסף זמין במאמר בנושא שיוך מדיניות לרשת.
  3. מוודאים שנקודות הקצה של חומת האש משויכות לרשת ה-VPC שבה נמצאים עומסי העבודה של מכונת ה-VM.
  4. כדי לוודא שכלל חומת האש של בדיקת Layer 7 מוחל, מריצים את בדיקות הקישוריות על סמך המקור והיעד שהגדרתם בכלל. במאמר יצירה והרצה של בדיקות קישוריות מוסבר איך להריץ בדיקות קישוריות.
  5. בודקים את הרצף שבו הכללים מוחלים על התנועה הנכנסת. כדי לשנות את הרצף הזה, אפשר לעיין במאמר שינוי סדר ההערכה של מדיניות וכללים.

לא זוהה איום בחלק מהחיבורים או בכולם

יכול להיות שתיתקלו בתרחיש הזה אם התנועה שלכם מוצפנת, או אם מדיניות מניעת האיומים לא מוגדרת לזיהוי האיום.

אם התנועה מוצפנת, צריך לוודא שהפעלתם בדיקה של Transport Layer Security‏ (TLS) ברשת. מידע נוסף על הפעלת בדיקת TLS זמין במאמר בנושא הגדרת בדיקת TLS.

אם בדיקת TLS מופעלת, צריך להבחין בין הודעות שמוצגות מהלקוח לבין הודעות שגיאה כש-Cloud Next Generation Firewall חוסם איום. מידע נוסף זמין במאמר בנושא הודעות שגיאה.

מוודאים שמדיניות מניעת האיומים מוגדרת לזיהוי האיום הזה:

  1. כדאי לבדוק את פרופיל האבטחה למניעת איומים כדי לוודא שפעולות הביטול של האיום הזה מוגדרות כמו שצריך.
  2. מוסיפים פעולות עקיפה בפרופיל אבטחה למניעת איומים כדי לוודא שהאיום יזוהה.

כללים לחומת אש של שירות לגילוי ולמניעת פריצות שהוגדרו בצורה לא נכונה

התרחיש הזה קורה כשאין נקודת קצה תקפה של חומת אש או כשנקודת הקצה לא משויכת לרשת ה-VPC שבה נמצאים עומסי העבודה של המכונה הווירטואלית. כפעולת ברירת מחדל, Cloud NGFW מאפשר את התנועה ומוסיף apply_security_profile_fallback_action = ALLOW ליומני חומת האש. כדי לראות את היומנים של חומת האש, אפשר לעיין במאמר בנושא הצגת יומנים.

כדי לפתור את הבעיה, בצע את הצעדים הבאים:

  1. כדי להפעיל את הרישום ביומן של כללי מדיניות חומת האש לבדיקה בשכבה 7 ברשת, צריך לעיין בקטע הפעלת רישום ביומן של כללי מדיניות חומת האש במסמך הזה.

  2. יוצרים מדדים מבוססי-יומן, התראות מבוססות-יומן או את שניהם באמצעות המסננים הבאים.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

המסנן יוצר פרטי אירוע, שעוזרים להבין את תנאי ההתאמה של היומן, מגבלת קצב ההתראות, משך הסגירה האוטומטית של האירוע, תוויות היומן וחומרת היומן עם הסיכום.

שירות סינון כתובות URL לא מאפשר או חוסם תנועה כמו שצריך

יכול להיות שתיתקלו בתרחיש הזה אם תגדירו את כל הרכיבים לבדיקה בשכבה 7 ולסינון כתובות URL, אבל התנועה לכתובת URL לא תאושר או תידחה כמו שציפיתם.

כדי לפתור את הבעיה, בצע את הצעדים הבאים:

  1. כדי לקבוע אם כלל חומת האש לבדיקה בשכבה 7 חל על התנועה, ואם התנועה נחסמת בהצלחה, פועלים לפי ההוראות שבקטע כל החיבורים מותרים או נדחים, אבל לא נחסמים במסמך הזה.

    אם הכלל לא חל או שהתנועה לא נחסמת, כדאי לעיין שוב בקטע כל החיבורים מותרים או נדחים, אבל לא נחסמים.

  2. אם הכלל מוחל והתנועה נחסמת, אפשר לראות את היומנים של סינון כתובות ה-URL בLogs Explorer. לשם כך, מזינים את השאילתה הבאה בחלונית Query. מחליפים את PROJECT_ID במזהה הפרויקט.

      resource.type="networksecurity.googleapis.com/FirewallEndpoint" logName="projects/PROJECT_ID/logs/networksecurity.googleapis.com%2Ffirewall_url_filter"

  3. מרחיבים את הרשומה ביומן וקובעים את הערך של השדה ruleIndex. בשדה הזה מצוינת העדיפות של מסנן כתובות ה-URL שנקודת הקצה של חומת האש זיהתה התאמה אליו.

  4. נכנסים לדף Security profiles במסוף Cloud de Confiance .

    מעבר לפרופילי אבטחה

  5. בכרטיסייה פרופילי אבטחה, לוחצים על פרופיל האבטחה שמשויך לכלל חומת האש כדי להציג את פרטי הפרופיל.

  6. בודקים אם כתובת ה-URL שאושרה או נדחתה מופיעה לצד העדיפות שקיבלתם קודם. כך תוכלו לקבוע אם נקודת הקצה של חומת האש זיהתה התאמה למסנן אחר של כתובות URL עם עדיפות גבוהה יותר. לכן, יכול להיות שפרופיל האבטחה יכיל כמה מסנני כתובות URL שכוללים את אותה כתובת URL.

הודעות שגיאה

בקטע הזה מפורטות הודעות השגיאה הנפוצות שמוצגות כשמהימנות ה-TLS לא תקינה או כש-Cloud NGFW חוסם איום. מידע על הגדרת בדיקת TLS זמין במאמר בנושא הגדרת בדיקת TLS.

מדיניות חומת אש חסומה

קיבלתם הודעת שגיאה דומה לשגיאה הבאה מלקוח במהלך סשן SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

כדי לפתור את השגיאה הזו, צריך לעיין ביומן ולאמת אותו. מידע נוסף זמין במאמר בנושא שימוש ברישום ביומן של כללים של חומת אש ב-VPC.

הגדרת אמון שגויה

קיבלתם הודעת שגיאה דומה לשגיאה הבאה מלקוח במהלך סשן SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

השגיאה הזו מעידה על בעיה בהגדרת אמון. הבעיה הזו נגרמת בגלל הגדרה שגויה או בגלל היעדר רשות אישורים (CA). כדי לפתור את השגיאה, צריך להפעיל את שירות רשות האישורים.

המערכת מתעלמת ממדיניות של נקודות קצה

כשמשתמשים במדיניות הבדיקה Cloud Next Generation Firewall L7, רק כללי מדיניות חומת האש נבדקים ותעבורת הנתונים לא משוכפלת להמערכת לגילוי חדירות (IDS) של Google Cloud לצורך בדיקה.

כדי לפתור את הבעיה, צריך לוודא שהכללים של מדיניות הבדיקה Cloud NGFW L7 (כללים עם הפעולה apply_security_profile_group) לא מופעלים על החבילות שאתם רוצים לבדוק באמצעות Cloud IDS.

המאמרים הבאים