Устранение неполадок доступности интернет-службы

Обзор

Доступ к облачным приложениям через Интернет составляет значительную часть делового трафика, который сайт или пользователь облегчает. Если важные услуги, доступ к которым осуществляется через Интернет, становятся недоступными, это может существенно повлиять на производительность бизнеса. Этот справочник предназначен для оказания помощи в таких сценариях.

Симптомы

• Веб-сайт не загружается
  • Это может проявляться несколькими способами, но обычно запросы браузера истекают, пытаясь получить доступ к сайту.
• Несоответствие правил брандмауэра
• Ошибка сертификата
  • Ошибка сертификата возникает при попытке перейти к сайту или приложению через HTTPS
• Страница блокировки
  • При попытке доступа к сайту или приложению появляется заставка, указывающая, что трафик заблокирован.

Возможные причины

• Правило межсетевого экрана Интернета заблокировало трафик
• Доступность услуги, включая IP-адреса с геоблокировкой
• Несовместимость с инспекцией TLS
• Ошибка TLS
• Не выполнены предварительные требования TLSI - например, установка сертификата
• Неправильно классифицированный URL
• Ложноположительные результаты работы безопасности
• Ошибка службы RBI

Первичная оценка

Просмотрите события межсетевого экрана Интернета, IPS и антивирусной защиты, выбрав соответствующий пресет в CMA. Установите фильтры, чтобы сузить интересующий трафик, и проверьте был ли поток заблокирован брандмауэром или механизмами IPS/AM. Поле правило покажет соответствующее правило, которое соответствует трафику.

Обязательно просмотрите соответствующий раздел устранения неполадок, следуя этим шагам первоначальной оценки:

• Если вы можете найти события События, относящиеся к попыткам достичь Приложение, перейдите в Устранение неполадок, связанных с незагрузкой веб-сайтов с использованием событий
• Если события для тестируемого потока не генерировались, перейдите в Устранение неполадок, связанных с незагрузкой веб-сайтов - без событий
• Если события IPS или Антивирусная защита показывают, что Любой из этих Движки блокирует Доступ к Внутренний Сервер, или репликация показывает заставки, связанные с IPS или Антивирусная защита, перейдите в Решение проблем с ложноположительной блокировкой IPS/Антивирусная защита
• Если сообщается о всплывающей странице, связанной с корпоративной Политика, или она воспроизводится, посетите Устранение неполадок с ошибочной страницей блокировки
• Если приложение сообщает о недоверенном сертификате, перейдите к  Устранение неполадок недоверенного сертификата для всего трафика
• Если при попытке доступа к базовому интернет-приложению сообщаются об ошибках TLS на всплывающих страницах, см. Устранение неполадок ошибок сертификата
• Для проблем с рендерингом веб-сайтов, специфичных для Китай, обратитесь в Устранение проблем с рендерингом в Китай

Устранение неполадок

Ниже приведены шаги для устранения неполадок, с которыми может столкнуться администратор. Эти шаги направлены на выявление возможных причин возникших проблем. Шаги по разрешению будут выделены позже в справочнике.

Проверка журналов аудита

Проверьте Журнал аудита на наличие измененных логов, которые могли повлиять на доступ к внутренним ресурсам. Это включает в себя правила межсетевого экрана Интернета, настройки AM/IPS и инспекцию TLS.

Устранение неполадок, связанных с незагрузкой веб-сайта, с использованием событий

Поиск соответствующих потоков в событиях

Используя страницу Домашняя > События в CMA, Администратор может быстро получить историю событий Подключение для сайтов в Учетная запись События можно отфильтровать до соответствующих, выбрав пресет "Межсетевой экран для Интернета", или же, фильтруя по типу События "Безопасность" и Подтипу "Межсетевой экран для Интернета". Вы также можете отфильтровать по названию сайта в соответствующем поле 'Исходный сайт'.

Для отказа в работе приложения или сайта, который не загружается, попробуйте отфильтровать указанный поток. Для этого можно добавить дополнительные фильтры в поиск. Например, можно фильтровать по 'Домену' или 'IP-адрес назначения'. Или вы можете применить фильтры по 'IP-адрес источника' или любому потоку, в котором 'Действие' было Заблокировано. 

После того как вы идентифицировали события, которые имеют отношение к анализируемому потоку, можем продолжить анализировать эту информацию.

Анализ Полей Событий

Поля событий предоставят много информации по индивидуальным потокам и помогут администратору удостовериться, что политика и конфигурация CMA для данного потока верны, либо выявить несоответствия или проблемы в потоке.

Поля, которые могут указать на причины недоступности приложения, следующие:

• Действие
  Если поток был заблокирован, это указывает на то, что поток перехвачен на основании политик безопасности, настроенных в Безопасность > Межсетевой экран Интернета. Правило, заблокировавшее этот трафик, также будет указано в событии как поле.
  
  Если это правило межсетевого экрана не соответствует ожидаемому, посетите раздел Решение проблемы Несоответствия Правила Потока. 
  
  Если действие отображается как 'RBI', посмотрите Решение проблем потоков RBI
   
• Имя PoP/ Общедоступный IP-адрес источника
  Важно знать, в какой форме трафик достигает интернет-приложения. Особенно в отношении IP-адреса источника. Эти поля помогают администратору определить, какой IP-адрес источника и регион покидают PoP, и на них влияет конфигурация правил в базе сетевых правил.
  
  
  Убедитесь, что приложение не заносит Cato IP в черный список или блокирует геолокацию. Если исходящий PoP или IP-адрес источника не соответствуют вашим ожиданиям на основе сетевых правил, следуйте поточному решению проблем с несоответствием правила для данного сетевого правила.
   
• Инспекция TLS
  Поле инспекции TLS определяет, был ли поток перехвачен для инспекции данных через TLSI. Значение 1 указывает, что поток был проверен.
  
  Некоторые приложения плохо справляются с проверкой, особенно те, которые используют такие методы безопасности, как закрепление сертификатов. Для потоков, которые кажутся затронутыми из-за перехвата инспекции TLS, посмотрите решение Приложения Ошибкутся из-за TLSI.
   
• Ускорение TCP
  Ускорение TCP — это метод оптимизации трафика TCP при его прохождении через облако CATO. Способы работы функции ускорения TCP и как она может влиять на трафик интернет-приложений описаны здесь.
   

Поиск и устранение проблем Не загрузка Сайта - Нет событий

Если для потока не было найдено событий, и все соответствующие правила в Безопасность > Межсетевой экран Интернета настроены на блокировку или мониторинг, вероятно, поток не достигает той стадии, на которой он будет зарегистрирован. Это может быть из-за ошибки конфигурации либо проблем с успешностью протокола, предшествующего потоку, например DNS.

Первым шагом для устранения проблем является подтверждение, что эта проблема специфична для трафика, проходящего через Кейто. Это можно сделать, исключив Кейто, подключив хост напрямую к интернету или используя Socket Bypass или Split tunnel для сокет сайтов и пользователей SDP соответственно. Если веб-сайт все еще не загружается при исключении Кейто, это не является проблемой Кейто и должно быть решено с ISP или поставщиками приложения. Если проблема не возникает при обходе Cato, продолжайте этот процесс устранения неполадок.

Устранение неполадок разрешения DNS

Если поток не достигает стадии, на которой может быть сгенерировано событие, вероятной причиной является то, что невозможность завершить DNS мешает инициированию потока к интернет-приложению с клиента.

Для хоста, для которого это приложение не работает, протестируйте разрешение DNS для имени хоста соответствующего приложения, чтобы определить, успешно ли DNS возвращает ответ.

Для случаев, когда DNS не работает:

Если ваши DNS-серверы являются внешними интернет-серверами DNS, подумайте о смене DNS-серверов согласно рекомендациям Cato по DNS.

Если используемые DNS-серверы являются рекомендованными серверами Cato (10.254.254.1 и 8.8.8.8), убедитесь, что эти потоки DNS не блокируются, используя процесс устранения неполадок, описанный в поиске соответствующих потоков в Событиях

Если используются частные DNS-серверы, убедитесь, что DNS-запросы доходят до этих серверов и убедитесь, что ответ соответствует ожиданиям.

Проверьте конфигурацию обхода для сайтов Socket

Потоки, которые обходятся на сайтах сокетов, не будут отображаться на странице События и не подлежат оптимизации трафика или безопасности Cato. Это может привести к проблемам доступности, особенно в случаях, когда специфические известные IP-адреса должны быть источником трафика к интернет-приложению.

Убедитесь, что соответствующий поток не включен в правило обхода, если это не необходимо:

Проверьте политику Раздельного Туннеля для Клиентов SDP

Потоки, которые находятся в пределах политики Раздельного Туннеля для клиентов SDP, не будут отображаться на странице События и не подлежат оптимизации трафика или безопасности Cato. Это может привести к проблемам доступности, особенно в случаях, когда специфические известные IP-адреса должны быть источником трафика к интернет-приложению.

Убедитесь, что соответствующий поток не находится в сфере действия правила политики Раздельного Туннеля, если это не необходимо:

Проверьте конфигурацию уровня доверия для Клиентов SDP

Уровни доверия удаленной безопасности Интернета могут влиять на трафик в Интернет для пользователей SDP в случаях, когда срок действия аутентификации в Cato истек. Поведение при переключении для пользовательских сессий с истекшим токеном может привести к тому, что трафик в Интернет не будет маршрутизироваться через Cato. Это может привести к проблемам доступности, особенно в случаях, когда специфические известные IP-адреса должны быть источником трафика к интернет-приложению.

Для пользователя с истекшей сессией обеспечьте доступ к Интернету даже при низком уровне доверия, либо убедитесь, что они обновляют свою аутентификацию.

Устранение неполадок несоответствия правил Межсетевого экрана Интернета

При конфигурировании правила межсетевого экрана может произойти так, что трафик оценивается по неверному правилу. Этот раздел охватывает все возможные сценарии несоответствия и как устранить эту проблему.

Подтверждение пользовательского приложения

Если предполагается, что интересующий трафик должен соответствовать пользовательскому приложению и поле Приложение, найденное в событии FW, этому не соответствует, подтвердите, правильно ли настроено пользовательское приложение. Помните, что при наличии перекрывающихся пользовательских приложений Cato только идентифицирует трафик как одно из пользовательских приложений. 

Чтобы предотвратить возникновение этой проблемы, пожалуйста, ознакомьтесь с разделом Решение перекрывающихся пользовательских приложений.

Проверка встроенного приложения/услуги

Если ожидается, что интересующий трафик должен соответствовать встроенному приложению или услуге, а трафик соответствует неверному правилу межсетевого экрана, проверьте следующее:

• Какие приложения или услуги настроены в 'неправильном' правиле межсетевого экрана.
• Где-либо из этих приложений/услуг указаны в поле Связанные приложения события FW.

Идентификация приложения/услуги - это многоэтапный процесс, который начинается с идентификации протокола, а затем всех возможных соответствующих приложений, включенных в поле Связанные приложения. Любое "связанное приложение", идентифицированное в потоке, независимо от окончательного решения о приложении (поле Приложение), будет соответствовать правилу межсетевого экрана.

В приведенном ниже примере трафик YouTube соответствует правилу #3 вместо правила #4. Это потому, что в правило #3 включена услуга TCP (включенная в Связанные приложения), даже если окончательное приложение (поле Приложение) - это YouTube.

Чтобы устранить это ожидаемое поведение, см. Порядок правил брандмауэра. Несоответствие встроенного приложения также может быть решено путем добавления соответствующего доменного имени приложения в правило брандмауэра, как показано в Событии, либо сообщением о несоответствии в Поддержку.

Проверка имени домена

Если правило брандмауэра содержит объект Домен или Полное доменное имя (FQDN), проверьте, что указывается в поле Имя домена в событии FW. Объект Домен/Полное доменное имя (FQDN) в правиле брандмауэра должен совпадать с этим полем.

Учтите, что Полное доменное имя (FQDN) - это точное совпадение с полным доменным именем. Например, Полное доменное имя (FQDN) example.com соответствует только example.com.

С другой стороны, Домен — это домен верхнего уровня (TLD) или второго уровня (SLD), который соответствует всем поддоменам. Например, Домен example.com соответствует www.example.com и host.example.com.

Могут быть случаи, когда Cato не может определить правильное Имя домена из потоков HTTP, TLS или DNS. Чтобы решить эти проблемы, см. Решение проблем с именами доменов

Устранение неисправностей сертификата

Ошибки сертификата - это еще один распространенный симптом при проблемах с достижимостью интернет-приложений. Страницы блокировки, связанные с TLS, являются обычными и помогают администраторам определить причину сбоя в достижимости приложения.

Если страница блокировки предполагает ошибку TLS, как указано выше, соответствующий поток можно найти в событиях. Подтип фильтра - TLS может использоваться для увеличения масштаба на конкретные события, связанные с ошибками TLS. 

Здесь можно определить Причину блокировки для любого потока, который был заблокирован из-за ошибки TLS. 

Если отображается следующая ошибка, несмотря на то, что сертификат сайта действителен и сайт доступен вне Cato, вы можете поднять проблему с Поддержкой Cato.

 Устранение неисправностей недоверенного сертификата для всего трафика

Если весь интернет-трафик для определенных пользователей или хостов получает ошибки конфиденциальности или доверия, а TLSI включен для этого трафика, вероятно, что сертификат, необходимый для работы TLSI, отсутствует на устройстве. 

Проверяем, задействован ли Пользовательский сертификат

При изучении того, как обеспечить успешную перехват трафика для TLSI без нарушения потоков, сначала необходимо определить, используется ли какой-либо Пользовательский сертификат. Просматривая сертификат, представленный через браузер, мы можем определить, является ли Като стандартный сертификат или пользовательский используется в качестве органа сертификации.

На приведенном выше снимке экрана мы видим, что Центр сертификации для внедренного сертификата - не стандартный сертификат Cato. Мы можем проверить наши пользовательские сертификаты в Cato через Безопасность > Управление сертификатами TLS-инспекции, чтобы определить, соответствует ли это нашему настроенному активному сертификату:

Это помогает администратору определить, какой сертификат требует распространения на конечные устройства.

Проверьте, установлены ли соответствующие сертификаты

Как только мы определили, какой сертификат необходимо установить на хостах, чтобы эти потоки функционировали, мы можем следовать этому руководству, чтобы удостовериться, что эти сертификаты установлены на устройствах.

 

Устранение неисправностей неверной страницы блокировки

При предъявлении страницы блокировки важно определить тип блокировки, который произошел, и как должен продвигаться процесс устранения неисправностей.

Указанная выше страница блокировки указывает на то, что этот блок был сгенерирован межсетевым экраном Интернета. Если правило, заблокировавшее этот поток, настроено на Отслеживание Событий, этот поток будет отображаться на странице событий и может быть подвергнут более глубокому анализу:

• Если это правило было активировано ошибочно, и вы ожидали, что этот поток будет соответствовать другому правилу, просмотрите раздел Устранение несоответствия правила межсетевого экрана для Интернета.
• Если это правило было активировано на основе Категории URL, и вы считаете, что эта категория была применена к этому URL по ошибке, просмотрите раздел Решение ошибочных категорий URL.
• Если действие, соответствующее соответствующему событию, - это 'RBI', перейдите в раздел Устранение проблем с потоками RBI

Устранение проблем с потоками RBI

Если URL активирует правило RBI вразрез с ожиданиями, убедитесь, что URL правильно классифицируется, как в разделе решения ошибочных категорий URL.

Если у пользователя возникает проблема с просмотром определенного URL, вы можете сгенерировать тестовую сессию эмуляции RBI для URL с помощью Администратор утилиты RBI. Введите действительный HTTP или HTTPS URL, затем следуйте по полученной ссылке, чтобы просмотреть сайт в сессии RBI. Утилита отправляет этот трафик напрямую в сервис RBI без прохождения через облако Cato. Это может помочь определить, связана ли проблема пользователя с самим сервисом RBI или вызвана другими проблемами, такими как настройка учетной записи или подключение к инфраструктуре Cato. Например, пользователь, подключенный к Cato, не может просматривать без категории веб-сайт, настроенный для RBI, но администратор может получить доступ к сайту, используя утилиту. Это может указывать на то, что сервис РБИ работает правильно, а проблема связана с подключением между точкой присутствия PoP и сервисом.

После выполнения сессии RBI с утилиты, вы можете отправить результаты в Поддержку для помощи в решении проблемы.

Для устранения неполадок с Утилитой Администратора RBI:

1. В панели навигации выберите Безопасность > RBI.
2. В разделе Утилита Admin RBI введите действительный HTTP или HTTPS URL. Например: https://maps.google.com
3. Нажмите на Сгенерировать. Для сессии RBI создан URL.
4. Кликните на ссылку рядом с URL. Сессия RBI откроется в вашем браузере по умолчанию.

Устранение проблем с рендерингом в Китае

Для данной ситуации, пожалуйста, ознакомьтесь с нашей соответствующей KB по данной теме, Китай | веб-страница с проблемами рендеринга

Решение обнаруженных проблем

Решение проблем с перекрытием пользовательских приложений

Убедитесь, что пользовательское приложение включает правильные IP-адреса, Домен, Порт и Протокол. Не существует логики в выборе пользовательского приложения для идентификации, поэтому пользовательское приложение должно быть уникально определено, чтобы избежать перекрытия с другим пользовательским приложением. Чтобы получить дополнительную информацию, см. Работа с пользовательскими приложениями

Порядок правил брандмауэра

Помните, что правила брандмауэра оцениваются в зависимости от их порядка, поэтому важно определить более специфические правила до более общих правил. Например, правила межсетевого экрана, которые определяют пользовательское приложение, встроенное приложение, домен, полное доменное имя (FQDN) или пользовательский сервис должны быть расположены выше правил, содержащих категории, пользовательские категории или услуги.

На скриншоте ниже, правило №1 содержит пользовательский сервис, который включает диапазоны IP для twitter.com и размещен выше, чем правило №2, которое содержит категории приложений. Правило №1 более специфично, чем правило №2, и будет лучше соответствовать трафику, предназначенному для twitter.com. Это также отключит ускорение TCP и решит любые проблемы маршрутизации Вне Облака или альтернативного WAN, поскольку правило №1 является простым правилом.

Решение проблем с именами доменов

Проблемы соответствия правил межсетевого экрана, основанные на Доменной/полном доменном имени (FQDN), могут быть решены следующим образом:

• Для протоколов, таких как HTTP/S, CATO может определить домен назначения, используя следующие источники:

  • HTTP Имя хоста заголовок (когда инспекция TLS включена)

  • SNI поле во время рукопожатия TLS

  • Разрешение DNS, где имя домена определяется из DNS-запросов и ответов

• Важно обеспечить, чтобы домен, указанный в Правиле брандмауэра, был согласован во всех этих источниках. Обратите внимание, что только наиболее соответствующее имя домена (оцененное сверху вниз) отображается как Имя домена в событиях Файервола. 

• Для других протоколов, таких как SSH или SMB, которые не отправляют домен в виде обычного текста, CATO полагается исключительно на перехват DNS, чтобы связать трафик с доменом или Полным доменным именем (FQDN). Это особенно критично при использовании частного DNS, так как нам нужно убедиться, что DNS-запросы/ответы проходят через Cato. См. Лучшие практики для DNS и вашей учетной записи Cato.
• DoH (DNS over HTTPS) и DNS over TLS не поддерживаются для соответствия Имени домена/Приложения, поэтому они должны быть заблокированы в правилах файервола, чтобы принудительно перевести DNS-запросы на UDP/53.

Решение проблем с отказом приложений из-за TLSI

Для потока с инспекцией TLS, которые ошибочно инспектируются, убедитесь, что упорядоченная база правил TLSI правильно настроена, учитывая соответствие потоку приложений и упорядоченную природу правил, как описано здесь.

Если поток инспектируется намеренно, и это вызывает сбой интернет-приложения, рассмотрите возможность настройки правила обхода для соответствующего приложения.

Решение проблем с неправильной категоризацией URL

Для повторной категоризации доменов, пожалуйста, ознакомьтесь с нашей документацией по Идентификация категории для домена.

Решение проблемы ложного срабатывания блокировки IPS/Антивирус

Просматривайте события IPS/Антивирус, выбрав предустановки IPS и Антивирус в CMS. Установите фильтры, чтобы сузить интересующий трафик, и проверьте, был ли поток заблокирован движками IPS или AM. 

Если интересующий трафик блокируется IPS/AM, вы можете добавить разрешенные списки с областью действия Интернет в настройки IPS и Антивирус.

Создание случаев в поддержку Cato

Отправьте тикет в поддержку с результатами вышеперечисленных шагов по устранению неполадок. Пожалуйста, включите следующую информацию в тикет:

• Подробности о возникшей проблеме и общее воздействие на пользователей.
• Связанные события Брандмауэра и конфигурация Правила брандмауэра.
• Воспроизведите проблему и выполните самообслуживание поддержки. Включите номер тикета, сгенерированный инструментом.