Memecahkan masalah pemeriksaan lapisan aplikasi

Halaman ini menjelaskan cara memecahkan masalah umum yang mungkin Anda alami saat menyiapkan inspeksi lapisan aplikasi (Lapisan 7) di jaringan Anda. Masalah ini mungkin terkait dengan profil keamanan, grup profil keamanan, endpoint firewall, atau kebijakan firewall.

Langkah-langkah pemecahan masalah umum

Untuk memecahkan masalah error konfigurasi umum terkait inspeksi Layer 7 di jaringan Anda, selesaikan tugas yang disebutkan di bagian berikut.

Mengaktifkan logging aturan kebijakan firewall

Untuk mengaktifkan logging untuk aturan firewall inspeksi Layer 7 di kebijakan firewall Anda, lakukan hal berikut:

  1. Di konsol Trusted Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  2. Klik nama kebijakan firewall yang memiliki aturan firewall inspeksi Layer 7.

  3. Di kolom Priority, klik prioritas aturan kebijakan firewall yang ingin Anda aktifkan lognya.

  4. Klik Edit.

  5. Untuk Logs, pilih On.

  6. Klik Simpan.

Ulangi langkah-langkah sebelumnya untuk semua kebijakan firewall jaringan dan kebijakan firewall hierarkis yang berisi aturan firewall inspeksi Layer 7.

Verifikasi konfigurasi aturan kebijakan firewall Anda

  1. Pastikan kebijakan firewall dengan aturan firewall inspeksi Layer 7 dikaitkan dengan jaringan Virtual Private Cloud (VPC) tempat workload virtual machine (VM) Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
  2. Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat workload VM Anda berada.
  3. Periksa urutan penerapan aturan untuk memastikan bahwa aturan yang diterapkan ke traffic berada dalam urutan yang benar. Untuk mengetahui informasi selengkapnya, lihat Urutan evaluasi kebijakan dan aturan.
  4. Periksa aturan firewall efektif di tingkat jaringan dan instance VM. Pastikan aturan kebijakan firewall untuk aturan firewall inspeksi Layer 7 dipicu untuk traffic jaringan.

Semua koneksi diizinkan atau ditolak, tetapi tidak dicegat

Skenario ini terjadi saat Anda telah mengonfigurasi semua komponen untuk aturan firewall inspeksi Layer 7, tetapi traffic tidak dicegat dan diperiksa untuk mendeteksi ancaman atau aktivitas berbahaya.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan endpoint firewall dan beban kerja VM yang akan diperiksa berada di zona yang sama.
  2. Pastikan logging diaktifkan untuk aturan kebijakan firewall. Untuk mengetahui informasi selengkapnya, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.

  3. Di konsol Trusted Cloud , buka halaman Firewall policies.

    Buka Kebijakan firewall

  4. Klik kebijakan firewall yang berisi aturan untuk inspeksi Layer 7.

  5. Di kolom Jumlah hit, lihat jumlah koneksi unik yang digunakan untuk aturan firewall.

  6. Jika jumlah hit nol, aturan tidak diterapkan ke traffic. Untuk memverifikasi apakah penyiapan sudah benar, lihat bagian Langkah-langkah pemecahan masalah umum dalam dokumen ini.

  7. Jika jumlah hit bukan nol, klik jumlah tersebut untuk membuka halaman Log explorer dan ikuti langkah-langkah berikut:

    1. Luaskan setiap log untuk melihat detail connection, disposition, dan remote location.
    2. Jika disposition tidak disetel ke intercepted dan fallback_action = ALLOW, lihat bagian Langkah-langkah pemecahan masalah umum dalam dokumen ini untuk memverifikasi apakah penyiapan sudah benar.

Aturan kebijakan firewall masuk tidak mencegat traffic masuk

Skenario ini terjadi saat aturan firewall inspeksi Layer 7 tidak diterapkan ke traffic masuk. Hal ini terjadi saat traffic masuk cocok dengan aturan firewall lainnya sebelum mencapai aturan kebijakan firewall pemeriksaan Layer 7.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Pastikan logging diaktifkan untuk aturan kebijakan firewall dengan inspeksi Layer 7. Untuk mengetahui informasi selengkapnya, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.
  2. Pastikan kebijakan firewall dengan aturan firewall inspeksi Layer 7 dikaitkan dengan jaringan VPC tempat workload VM Anda berada. Untuk mengetahui informasi selengkapnya, lihat Mengaitkan kebijakan dengan jaringan.
  3. Pastikan endpoint firewall dikaitkan dengan jaringan VPC tempat workload VM Anda berada.
  4. Untuk memverifikasi bahwa aturan firewall inspeksi Layer 7 diterapkan, jalankan uji konektivitas berdasarkan sumber dan tujuan yang Anda tentukan dalam aturan. Untuk mempelajari cara menjalankan Uji Konektivitas, lihat Membuat dan menjalankan Uji Konektivitas.
  5. Periksa urutan penerapan aturan ke traffic masuk. Untuk mengubah urutan ini, lihat Mengubah urutan evaluasi kebijakan dan aturan.

Ancaman tidak terdeteksi di beberapa atau semua koneksi

Skenario ini mungkin terjadi saat traffic Anda dienkripsi, atau kebijakan pencegahan ancaman tidak disetel untuk mendeteksi ancaman.

Jika traffic Anda dienkripsi, pastikan Anda telah mengaktifkan pemeriksaan Transport Layer Security (TLS) di jaringan Anda. Untuk mempelajari lebih lanjut cara mengaktifkan pemeriksaan TLS, lihat Menyiapkan pemeriksaan TLS.

Jika inspeksi TLS diaktifkan, bedakan antara pesan yang terlihat dari klien dan pesan error saat Cloud Next Generation Firewall memblokir ancaman. Untuk mengetahui informasi selengkapnya, lihat Pesan error.

Pastikan kebijakan pencegahan ancaman disetel untuk mendeteksi ancaman ini:

  1. Tinjau profil keamanan Anda untuk memastikan bahwa tindakan penggantian untuk ancaman ini ditetapkan seperti yang diharapkan.
  2. Tambahkan tindakan penggantian ke profil keamanan Anda untuk memastikan bahwa ancaman tersebut terdeteksi.

Aturan firewall layanan deteksi dan pencegahan intrusi yang salah dikonfigurasi

Skenario ini terjadi jika tidak ada endpoint firewall yang valid atau endpoint tidak dikaitkan dengan jaringan VPC tempat workload VM Anda berada. Sebagai tindakan penggantian default, Cloud NGFW mengizinkan traffic dan menambahkan apply_security_profile_fallback_action = ALLOW ke log firewall. Untuk melihat log firewall, lihat Melihat log.

Untuk menyelesaikan masalah ini, ikuti langkah berikut:

  1. Untuk mengaktifkan logging untuk aturan kebijakan firewall inspeksi Layer 7 di jaringan Anda, lihat bagian Mengaktifkan logging aturan kebijakan firewall dalam dokumen ini.

  2. Buat metrik berbasis log, pemberitahuan berbasis log, atau keduanya dengan menggunakan filter berikut.

      jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
  jsonPayload.rule_details.apply_security_profile_fallback_action="ALLOW"

Filter ini menghasilkan detail insiden, yang membantu Anda memahami kondisi kecocokan log, batas frekuensi notifikasi, durasi penutupan otomatis insiden, label log, dan tingkat keparahan log dengan ringkasan.

Pesan error

Bagian ini menjelaskan pesan error umum yang Anda dapatkan saat kepercayaan TLS tidak tepat atau Cloud NGFW memblokir ancaman. Untuk mempelajari cara menyiapkan pemeriksaan TLS, lihat Menyiapkan pemeriksaan TLS.

Aturan kebijakan firewall diblokir

Anda menerima pesan error yang mirip dengan error berikut dari klien selama sesi SSH.

      curl: (56) OpenSSL SSL_read: Connection reset by peer, errno 104

Untuk mengatasi error ini, lihat log dan validasi log tersebut. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Logging Aturan Firewall.

Kepercayaan yang salah dikonfigurasi

Anda menerima pesan error yang mirip dengan error berikut dari klien selama sesi SSH.

      curl: (35) OpenSSL SSL_connect: Connection reset by peer in connection

Error ini menunjukkan masalah kepercayaan yang salah dikonfigurasi. Masalah ini disebabkan oleh konfigurasi yang salah atau tidak adanya otoritas sertifikat (CA). Untuk mengatasi error ini, aktifkan Certificate Authority Service.

Kebijakan endpoint diabaikan

Hanya aturan kebijakan firewall yang dievaluasi dan traffic tidak diduplikasi ke Cloud Intrusion Detection System untuk diperiksa saat menggunakan kebijakan inspeksi L7 Cloud Next Generation Firewall.

Untuk mengatasi hal ini, Anda harus memastikan bahwa kebijakan inspeksi L7 Cloud NGFW (aturan dengan tindakan apply_security_profile_group) tidak berlaku untuk paket yang perlu Anda periksa dengan Cloud IDS.

Langkah berikutnya