인터넷 서비스 도달 가능성 문제 해결

개요

인터넷을 통한 클라우드 기반 애플리케이션 접근은 사이트 또는 사용자가 용이하게 하는 비즈니스 트래픽의 큰 부분을 차지합니다. 인터넷을 통해 도달하는 중요한 서비스에 접근 불가능할 경우, 이는 비즈니스 성과에 중대한 영향을 미칠 수 있습니다. 이 플레이북은 이러한 상황에서 도움을 주기 위해 마련되었습니다.

증상

  • 웹사이트 로드되지 않음
    • 이것은 여러 방식으로 나타날 수 있으며, 일반적으로 사이트에 접근하려고 할 때 브라우저 요청이 시간 초과됩니다.
  • 방화벽 규칙 불일치
  • 인증서 오류
    • HTTPS를 통해 사이트나 애플리케이션을 탐색하려고 할 때 인증서 오류가 나타납니다
  • 차단 페이지
    • 사이트나 애플리케이션에 접근하려고 할 때, 트래픽이 차단되었음을 알리는 안내 페이지가 나타납니다.

가능한 원인들

  • 인터넷 방화벽 규칙이 트래픽을 차단함
  • 서비스 도달 가능성, 지리적 차단 IP 포함
  • TLS 검사와의 불일치
  • TLS 오류
  • TLSI 사전 요구 사항 미충족 - 예: 인증서 설치
  • 잘못 카테고리화된 URL
  • 오탐 보안 엔진 결과
  • RBI 서비스 장애

초기 평가

참고

참고: 인터넷 방화벽 규칙(문제 해결을 위한 임시 생성 포함)이 이벤트 추적 활성화됨으로 구성되어 있는지 확인하십시오.

CMA에서 해당 프리셋을 선택하여 인터넷 방화벽, IPS, 안티멀웨어 이벤트를 검토합니다. 필터를 설정하여 관심 있는 트래픽을 축소하고 흐름이 방화벽이나 IPS/AM 엔진에 의해 차단되었는지 확인합니다. 규칙 필드는 해당 트래픽과 일치하는 규칙을 보여줍니다.

다음 초기 평가 단계를 따름으로써 적절한 문제 해결 섹션을 검토해야 합니다:

문제 해결

관리자가 직면할 수 있는 증상 문제 해결 단계는 아래에 나와 있습니다. 이 단계는 직면한 문제의 가능한 원인을 식별하는 데 목적이 있습니다. 해결 단계는 플레이북의 후반부에서 강조될 것입니다.

감사 추적 로그 확인

감사 추적에서 내부 리소스에 대한 접근에 영향을 미쳤을 수 있는 수정된 로그를 확인하십시오. 여기에는 인터넷 방화벽 규칙, AM/IPS 설정 및 TLS 검사가 포함됩니다.

이벤트를 사용하여 웹사이트 로딩 문제 해결

이벤트에서 관련 플로우 찾기

CMA의 홈페이지 > 이벤트 페이지를 사용하면 관리자가 계정 내 사이트의 연결 이벤트 기록을 빠르게 얻을 수 있습니다. 이벤트는 '인터넷 방화벽' 프리셋을 선택하거나 이벤트 유형 '보안' 및 하위 유형 '인터넷 방화벽'을 필터링하여 관련 이벤트로 필터링할 수 있습니다. '출발지 사이트' 필드를 사용하여 문제의 사이트 이름으로 추가 필터링할 수 있습니다.

 

로딩되지 않는 실패한 애플리케이션이나 사이트의 경우 문제의 플로우로 필터링해보십시오. 이를 위해 검색에 추가 필터 필드를 추가할 수 있습니다. 예를 들어 '도메인'이나 '목적지 IP'를 기반으로 필터링할 수 있습니다. 또는 '소스 IP'나 '작업'이 차단된 모든 플로우를 기준으로 필터링할 수 있습니다. 

 

트러블슈팅 중인 플로우에 대해 관련 있는 이벤트를 확인한 후, 여기서 보이는 정보를 계속 분석할 수 있습니다.

 

이벤트 필드 분석

이벤트 필드는 개별 플로우에 대한 많은 정보를 제공하고 관리자가 주어진 플로우에 대한 CMA 정책 및 구성이 올바른지 확인하거나 플로우 내의 불일치 또는 문제를 식별하는 데 도움을 줍니다.

애플리케이션 도달 불가의 원인을 나타낼 수 있는 필드는 다음과 같습니다:

  • 작업
    플로우가 차단된 경우, 이는 보안 > 인터넷 방화벽에서 구성한 보안 정책에 따라 플로우가 가로채어졌음을 나타냅니다. 이 트래픽을 차단한 규칙도 이벤트에 필드로 나열됩니다.

    이 방화벽 규칙이 예상하지 못한 트래픽에 적용되었다면, 플로우가 잘못된 규칙과 일치하는 문제 해결 섹션을 방문하십시오. 

    작업이 'RBI'로 표시된다면, RBI 플로우 문제 해결을 참조하십시오
     
  • PoP 이름/ 공개 소스 IP
    트래픽이 인터넷 기반 애플리케이션에 도달하는 형태를 아는 것이 중요할 수 있습니다. 특히 소스 IP와 관련하여 그렇습니다. 이 필드는 관리자가 패킷이 PoP에서 어떤 출처 IP 및 지역을 통해 나가는지 확인하는 데 도움이 되며, 네트워크 규칙 기반 내의 송신 구성의 영향을 받습니다.
    Monosnap Cato|Liam-lab - Events 🔊 2024-03-01 09-26-37.png

    애플리케이션이 Cato IP를 블랙리스트에 올리거나 지오블록하지 않는지를 확인하십시오. 네트워크 규칙에 따라 출처 PoP 또는 소스 IP가 기대와 맞지 않는다면, 해당 네트워크 규칙의 규칙 불일치 문제 해결 플로우를 따르십시오.
     
  • TLS 검사
    TLS 검사 필드는 문제의 플로우가 TLSI를 통한 데이터 검사를 위해 가로채어졌는지 여부를 식별합니다. 값이 1이면 플로우가 검사되었음을 나타냅니다.

    일부 애플리케이션은 검사되었을 때 제대로 작동하지 않으며, 특히 인증서 고정과 같은 보안 기술을 사용하는 경우 그러합니다. TLS 검사 가로채기로 인해 영향을 받는 것으로 보이는 플로우의 경우 TLSI로 인한 애플리케이션 실패 해결을 확인하십시오.
     
  • TCP 가속
    TCP 가속은 Cato 클라우드를 통한 TCP 트래픽을 최적화하는 방법입니다. TCP 가속화 기능이 작동하는 방식과 인터넷 애플리케이션에 대한 트래픽에 미칠 수 있는 영향은 서명자 인증서 지문 코드 40자를 입력하세요.에 설명되어 있습니다.
     

 

웹사이트 로드되지 않음 문제 해결 - 이벤트 없음

보안 > 인터넷 방화벽의 모든 관련 규칙이 차단 또는 모니터링으로 설정되어 있고 플로우의 이벤트를 찾을 수 없는 경우, 해당 플로우는 등록 단계에 도달하지 않은 것이 가능성이 높습니다. 이는 구성 오류 또는 DNS와 같은 플로우의 이전 프로토콜의 성공 여부 문제 때문일 수 있습니다.

문제 해결의 첫 번째 단계는 이 문제가 Cato를 통과하는 트래픽에 특정되었는지 확인하는 것입니다. 이는 호스트를 인터넷 연결에 직접 연결하거나 소켓 사이트와 SDP 사용자 각각에 대해 소켓 우회 또는 분할 터널을 사용하여 Cato를 우회함으로써 수행할 수 있습니다. Cato를 우회할 때 웹사이트가 여전히 로드되지 않으면 이는 Cato 문제가 아니며 ISP나 애플리케이션 제공업체와 상의해야 합니다. Cato를 우회할 때 문제가 발생하지 않으면 이 문제 해결 흐름을 계속 진행하십시오.

 

DNS 해상도 문제 해결

이벤트를 생성할 수 있는 단계에 플로우가 도달하지 않는 경우, DNS 완료 불가능이 클라이언트에서 인터넷 애플리케이션으로의 플로우 시작을 방해하여 발생할 가능성이 높습니다.

이 애플리케이션이 실패하는 호스트의 경우 DNS가 성공적으로 응답을 반환하는지 확인하기 위해 해당 애플리케이션의 호스트명에 대한 DNS 해상도를 테스트하십시오.

DNS가 실패하는 경우:

DNS 서버가 외부 인터넷 기반 DNS 서버인 경우 Cato의 DNS 모범 사례에 따라 DNS 서버를 변경하는 것을 고려하십시오.

사용 중인 DNS 서버가 Cato에서 권장하는 서버(10.254.254.1 및 8.8.8.8)인 경우 이벤트에서 관련 플로우 찾기.에 설명된 문제 해결 흐름을 사용하여 해당 DNS 플로우가 차단되지 않도록 하십시오

사설 DNS 서버를 사용하는 경우 DNS 요청이 해당 서버에 도달하는지 확인하고 응답이 예상과 일치하는지 확인하십시오.

 

소켓 사이트의 우회 설정 확인

소켓 사이트에서 우회된 플로우는 이벤트 페이지에 나타나지 않으며 Cato의 트래픽 최적화나 보안 엔진의 영향을 받지 않습니다. 이는 특히 특정한 IP 주소 출처가 트래픽을 인터넷 애플리케이션으로 보내야 하는 경우에 연결 문제를 야기할 수 있습니다.

불필요한 경우 해당 플로우가 우회 규칙에 포함되지 않았는지 확인하십시오:

 

SDP 클라이언트에 대한 분할 터널 확인

SDP 클라이언트에 대한 분할 터널 정책 범위의 플로우는 이벤트 페이지에 나타나지 않으며 Cato의 트래픽 최적화나 보안 엔진의 영향을 받지 않습니다. 이는 특히 특정한 IP 주소 출처가 트래픽을 인터넷 애플리케이션으로 보내야 하는 경우에 연결 문제를 야기할 수 있습니다.

불필요한 경우 해당 흐름이 분할 터널 정책 규칙 범위에 포함되지 않았는지 확인하십시오:

SDP 클라이언트의 신뢰 수준 구성 확인

원격 인터넷 보안 신뢰 수준은 경우에 따라 Cato 인증이 만료된 경우 SDP 사용자에게 인터넷 트래픽에 영향을 줄 수 있습니다. 만료된 토큰을 가진 사용자 세션의 페일오버 동작은 인터넷 트래픽이 Cato로 라우팅되지 않도록 할 수 있습니다. 이는 특히 특정한 알려진 IP 주소가 인터넷 애플리케이션을 향해 트래픽을 소스해야 하는 경우에 도달성 문제를 초래할 수 있습니다.

만료된 세션을 가진 사용자에게는, 사용자가 낮은 신뢰 수준에서도 인터넷에 접근할 수 있도록 하거나, 인증을 갱신하도록 하십시오.

 

인터넷 방화벽 규칙 불일치 문제 해결

방화벽 규칙을 구성할 때, 트래픽이 잘못된 규칙을 기준으로 평가되는 가능성이 있을 수 있습니다. 이 섹션은 모든 가능한 불일치 시나리오와 문제를 해결하는 방법을 다룹니다.

사용자 정의 애플리케이션 확인

관련 트래픽이 사용자 정의 애플리케이션과 일치하고 FW 이벤트에서 찾은 애플리케이션 필드가 일치하지 않는 경우, 사용자 정의 앱이 올바르게 구성되었는지 확인하십시오. 중복된 사용자 정의 앱이 있는 경우, Cato는 오직 하나의 사용자 정의 앱으로 트래픽을 식별합니다. 

이 문제를 방지하려면 중복된 사용자 정의 애플리케이션 해결 섹션을 참조하세요.

내장 애플리케이션/서비스 확인

관련 트래픽이 내장 애플리케이션 또는 서비스와 일치하고 트래픽이 잘못된 방화벽 규칙과 일치하는 경우, 다음을 확인하세요:

  • 잘못된 일치 방화벽 규칙에 어떤 애플리케이션 혹은 서비스가 구성되어 있는지.
  • 이러한 애플리케이션/서비스가 FW 이벤트의 관련 앱 필드에 나열되어 있는지 여부.

앱/서비스 식별은 프로토콜 식별로 시작하여, 관련 앱 필드에 포함된 모든 일치 가능한 애플리케이션을 포함하는 다단계 과정입니다. 흐름에서 식별된 '관련 앱' 애플리케이션은 최종 앱(애플리케이션 필드) 결정과 관계없이 방화벽 규칙과 일치합니다.

아래 예시에서, YouTube 트래픽은 규칙 3 대신 규칙 4에 일치합니다. 이는 규칙 3이 관련 앱에 포함된 TCP 서비스를 포함하기 때문이며, 최종 애플리케이션은 YouTube입니다.

이 예상 동작을 해결하려면, 방화벽 규칙 순서를 참조하세요. 내장 애플리케이션 불일치는 CMA 이벤트에 표시된 것처럼 관련 애플리케이션 도메인 이름을 방화벽 규칙에 추가하거나, 지원팀에 불일치를 보고 하여 해결할 수 있습니다.

도메인 이름 확인

방화벽 규칙에 도메인 또는 FQDN 객체가 포함되어 있는 경우, FW 이벤트의 도메인 이름 필드가 무엇인지 확인하세요. 방화벽 규칙의 도메인/FQDN 객체는 이 필드와 동일해야 합니다.

항상 염두에 두어야 할 것은 정규화된 도메인 이름(FQDN)은 완전히 일치하는 도메인입니다. 예를 들어, 정규화된 도메인 이름(FQDN) example.comexample.com.만 일치합니다.

반면에, 도메인은 모든 서브도메인과 일치하는 최상위(TLD) 또는 2차(SLD) 도메인입니다. 예를 들어, 도메인 example.com은 www.example.comhost.example.com과 일치합니다.

Cato가 HTTP, TLS, 또는 DNS 흐름에서 올바른 도메인 이름을 결정할 수 없는 경우도 있을 수 있습니다. 이러한 유형의 문제를 해결하려면 도메인 이름 문제 해결을 참조하십시오.

인증서 오류 문제 해결

인증서 오류는 인터넷 애플리케이션 도달성 문제와 함께 발생할 수 있는 또 다른 일반적인 증상입니다. TLS 관련 스플래시 페이지는 일반적이며 관리자들이 애플리케이션 접근 실패의 원인을 파악하는 데 도움을 줍니다.

위의 경우와 같이 차단 페이지가 TLS 오류를 제안하는 경우,관련 흐름을 이벤트에서 찾을 수 있습니다. 필터 하위 유형은 TLS 오류와 관련된 특정 이벤트를 확대하여 파악하는 데 사용할 수 있습니다. 



여기에서 TLS 오류로 인해 차단된 흐름에 대한 차단 이유를 식별할 수 있습니다. 

 

다음 오류가 표시되고,웹사이트의 인증서가 유효하며 카토 외부에서도 사이트에 접근할 수 있는 경우,카토 지원에 케이스를 요청하십시오.

 모든 트래픽에 대한 신뢰할 수 없는 인증서 문제 해결

특정 사용자나 호스트의 모든 인터넷 트래픽이 개인정보 보호 또는 신뢰 오류를 받고 있으며,트래픽에 대해 TLSI가 활성화된 경우,TLSI가 작동하는 데 필요한 인증서가 장치에 없을 가능성이 큽니다. 

사용자 정의 인증서가 사용 중인지 확인

TLSI에서 흐름을 중단하지 않고 트래픽을 성공적으로 가로채는 방법을 조사할 때,먼저 사용자 정의 인증서가 사용되고 있는지 확인해야 합니다. 브라우저를 통해 제공된 인증서를 보면 카토의 기본 인증서나 사용자 정의 인증서가 인증 기관 역할을 하고 있는지 식별할 수 있습니다.

위의 스크린샷에서 우리는 주입된 인증서의 CA가 표준 카토 인증서가 아님을 확인할 수 있습니다. 보안 > 인증서 관리를 통해 카토에서 사용자 정의 인증서를 확인하여 이것이 설정된 활성 인증서와 일치하는지 식별할 수 있습니다:

이것은 관리자가 어떤 인증서를 최종 클라이언트에게 배포해야 하는지를 식별하는 데 도움을 줍니다.

 

관련 인증서가 설치되었는지 확인

이 흐름들이 작동하기 위해 호스트에 설치해야 하는 인증서를 식별하면,이 가이드를 따라 해당 인증서가 장치에 설치되었는지 확인할 수 있습니다.

 

 

잘못된 차단 페이지 문제 해결

차단 페이지가 나타나면,차단 유형과 문제 해결이 어떻게 진행되어야 하는지를 차단 페이지에서 확인하는 것이 중요합니다.

위 스플래시 페이지는 이 차단이 인터넷 방화벽에 의해 생성되었음을 나타냅니다. 이 흐름을 차단한 규칙이 이벤트 추적으로 설정된 경우,이 흐름은 이벤트 페이지에 표시되며,더욱 자세히 분석할 수 있습니다:

 

RBI 흐름 문제 해결

URL이 기대와 달리 RBI 규칙을 트리거하는 경우,URL 잘못된 분류 해결에서처럼 URL이 올바르게 분류되고 있는지 확인하십시오.

사용자가 특정 URL을 탐색할 때 문제가 발생하는 경우,Admin RBI 유틸리티를 사용하여 URL에 대한 테스트 RBI 에뮬레이션 세션을 생성할 수 있습니다. 유효한 HTTP 또는 HTTPS URL을 입력한 다음 결과 링크를 따라 RBI 세션에서 사이트를 봅니다. 이 유틸리티는 이 트래픽을 카토 클라우드를 거치지 않고 직접 RBI 서비스에 보냅니다. 이는 사용자의 문제가 RBI 서비스 자체와 관련이 있는지, 계정 구성 또는 Cato 인프라 연결성과 같은 다른 문제로 인한 것인지를 파악하는 데 도움을 줍니다. 예를 들어, Cato에 연결된 사용자는 RBI에 대해 구성된 미분류 웹사이트를 탐색할 수 없지만, 관리자는 유틸리티를 사용하여 사이트에 접근할 수 있습니다. 이는 RBI 서비스가 제대로 작동하고 있으며 문제는 PoP와 서비스 간의 연결성과 관련이 있음을 나타낼 수 있습니다.

유틸리티에서 RBI 세션을 실행한 후, 결과를 지원 팀에 보고하여 문제 해결에 도움을 줄 수 있습니다.


관리자 RBI 유틸리티를 사용하여 문제 해결:

  1. 네비게이션 패널에서 보안 > RBI를 선택합니다.
  2. 관리자 RBI 유틸리티 아래에 올바른 HTTP 또는 HTTPS URL을 입력합니다. 예시: https://maps.google.com
  3. 생성하기를 클릭합니다. RBI 세션을 위한 URL이 생성됩니다.
  4. URL 옆의 링크를 클릭하세요. RBI 세션이 기본 브라우저에서 열립니다.

 

중국 내 렌더링 문제 해결

이 특정 사용 사례에 대한 자세한 내용은 이 주제에 대한 관련 KB, 중국 | 웹페이지 렌더링 문제를 참조하세요.

 

발견된 문제 해결

중복 사용자 정의 애플리케이션 해결

사용자 정의 애플리케이션에 올바른 IP 주소, 도메인, 포트 및 프로토콜이 포함되어 있는지 확인하세요. 특정 사용자 정의 애플리케이션을 선택하는 데 논리가 없으므로 사용자 정의 애플리케이션은 다른 사용자 정의 애플리케이션과 중첩되지 않도록 고유하게 정의되어야 합니다. 자세한 내용은 사용자 정의 애플리케이션 작업을 참조하세요.

방화벽 규칙 순서

방화벽 규칙은 순서에 따라 평가되므로, 더 구체적인 규칙을 더 일반적인 규칙 위에 정의하는 것이 중요합니다. 예를 들어, 사용자 정의 애플리케이션, 내장 애플리케이션, 도메인, 정규화된 도메인 이름(FQDN) 또는 사용자 정의 서비스 정의 방화벽 규칙은 카테고리, 사용자 정의 카테고리 또는 서비스 포함 방화벽 규칙 위에 배치되어야 합니다.

아래 스크린샷에서 규칙 # 1은 twitter.com의 IP 범위를 포함하는 사용자 정의 서비스를 포함하며, 애플리케이션 카테고리를 포함하는 규칙 # 2 위에 있습니다. 규칙 # 1은 규칙 # 2보다 구체적이며 twitter.com으로 향하는 트래픽에 더욱 적합합니다. 이로 인해 TCP 가속이 비활성화되며, 규칙 # 1이 단순한 규칙이기 때문에 클라우드 외부 또는 대체 WAN 라우팅 문제도 해결됩니다.

도메인 이름 문제 해결

도메인/정규화된 도메인 이름(FQDN)에 기반한 방화벽 규칙 매칭 문제는 다음과 같이 해결할 수 있습니다:

  • HTTP/S와 같은 프로토콜의 경우, Cato는 다음 소스를 사용하여 목적지 도메인을 결정할 수 있습니다:

    • HTTP 호스트명 헤더 (TLS 검사가 활성화된 경우)

    • TLS 핸드셰이크 동안 SNI 필드

    • 도메인 이름은 DNS 쿼리와 응답에서 학습되는 곳에서 DNS 해석을 수행합니다.

  • 방화벽 규칙에 지정된 도메인이 이러한 모든 출처에서 일관성이 있는지 확인하는 것이 중요합니다. 방화벽 이벤트에서는 도메인 이름으로 표시되는 최상의 일치 도메인 이름만 (상위에서 하위로 평가됨) 표시됩니다. 

  • SSH 또는 SMB와 같은 기타 프로토콜에 대한 경우, 도메인을 일반 텍스트로 보내지 않으므로 Cato는 도메인이나 정규화된 도메인 이름(FQDN)과 트래픽을 연결하기 위해 DNS 인터셉션에만 의존합니다. 사설 DNS를 사용할 때는 특히 중요한데, DNS 쿼리와 응답이 Cato를 통해 전송되는지 확인해야 합니다. DNS 및 Cato 계정을 위한 모범 사례를 참조하세요.
  • URL/애플리케이션 매칭에 대해 DNS over HTTPS(DoH)와 DNS over TLS는 지원되지 않으며, 이에 DNS 쿼리를 UDP/53으로 이동시키기 위해 방화벽 규칙에서 이를 차단해야 합니다.

TLSI로 인해 애플리케이션이 실패하는 문제 해결

잘못 검사된 TLS 검사 흐름의 경우, 흐름의 애플리케이션 매치와 규칙의 순서 특성을 고려하여 올바르게 구성된 순서화된 TLSI 규칙 기반이 설정되어 있는지 확인하세요, 여기에서 설명된 대로.

의도적으로 검사를 받는 흐름에서 인터넷 애플리케이션이 중단된다면 해당 애플리케이션에 대해 우회 규칙을 설정하는 것을 고려하세요.

 

URL 잘못된 분류 문제 해결

도메인의 카테고리를 재분류하려면 당사의 문서인 도메인의 카테고리 식별하기를 참조하십시오.

 

IPS/안티멀웨어의 오탐 차단 해결

IPS안티멀웨어 프리셋을 CMA에서 선택하여 IPS/안티멀웨어 이벤트를 검토합니다. 필터를 설정하여 관심 있는 트래픽을 좁히고 IPS 또는 악성 탐지 엔진이 흐름을 차단했는지 확인합니다. 

관심 있는 트래픽이 IPS/AM에 의해 차단되는 경우, 인터넷 범위의 허용 목록을 IPS 및 안티멀웨어 설정에 추가할 수 있습니다.

 

 

카토 지원에 케이스 제기

위의 문제 해결 단계 결과와 함께 지원 티켓을 제출합니다. 티켓에 다음 정보를 포함해 주세요:

  • 경험한 문제의 세부 사항과 사용자에 대한 전체 영향.
  • 관련 방화벽 이벤트 및 방화벽 규칙 구성.
  • 문제를 재현하고 지원 자가 서비스를 실행하십시오. 도구에 의해 생성된 티켓 번호를 포함합니다.
  •  

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개