互联网服务可达性故障排查

概述

通过互联网访问基于云的应用程序是站点或用户促进的商业流量的大部分。 如果通过互联网到达的重要服务无法访问，这可能对业务性能产生重大影响。 此手册旨在协助解决类似情况。

症状

• 网站不加载
  • 这可能以几种方式表现，通常在尝试访问站点时浏览器请求将超时。
• 防火墙规则不匹配
• 证书错误
  • 在尝试通过HTTPS浏览到站点或应用程序时出现证书错误
• 阻止页面
  • 尝试访问站点或应用程序时，会出现一个显示流量被阻止的引导页。

可能原因

• 互联网防火墙规则阻止流量
• 服务可达性，包括地理封锁IP
• 与TLS检查不兼容
• TLS错误
• 未满足TLSI前提条件 - 即证书安装
• 误分类URL
• 误报安全引擎结果
• RBI服务故障

初步评估

通过在CMA中选择相应的预设，查看互联网防火墙、IPS和反恶意软件事件。 设置过滤器以缩小有趣的流量，并检查流量是否被防火墙或IPS/AM引擎阻止。 规则字段将显示与流量匹配的相应规则。

确保通过以下初步评估步骤查看适当的故障排除部分：

• 如果您能找到与到达该应用程序尝试相关的FW事件，请转到故障排除网站不加载使用事件
• 如果测试流量似乎没有生成事件，请转到故障排除网站不加载 - 无事件
• 如果IPS或反恶意软件事件显示任何这些引擎正在阻止访问内部服务器，或者复制显示与IPS或反恶意软件相关的引导页面，请转到解决误报IPS/反恶意软件阻止
• 如果与公司互联网策略相关的引导页面被报告或复制，请访问故障排除错误的阻止页面
• 如果应用程序报告不受信任的证书，请导航到 所有流量的故障排除不受信任证书
• 如果在尝试访问互联网应用程序时引导页面报告TLS错误，请参见故障排除证书错误
• 对于特定于中国的网站呈现问题，请转到故障排除中国境内呈现问题

故障排除问题

管理员可能遇到的故障排除步骤如下所示。 这些步骤旨在识别所面临问题的可能原因。 解决步骤将在手册的稍后部分突出显示。

检查审计追踪日志

检查审计追踪中可能影响内部资源访问的任何已修改日志。 这包括互联网防火墙规则、AM/IPS设置和TLS检查。

使用事件对网站不加载进行故障排除

在事件中查找相关流量

使用CMA中的主页>事件页面，管理员可以快速获得账户内站点的连接事件历史记录。 可以通过选择“互联网防火墙”预设，或者过滤事件类型“安全性”和子类型“互联网防火墙”来将事件过滤为相关事件。 您还可以使用“来源站点”字段过滤相关站点名称。

对于无法加载的失败应用程序或站点，尝试过滤相关流量。 为此，您可以在搜索中进一步添加过滤字段。 例如，您可能想根据“域名”或“目标IP”进行过滤。 或者您可能想根据“源IP”或任何“操作”为“阻止”的流量进行过滤。 

一旦您确认了与正在排查的流量相关的事件，我们可以继续分析此处看到的信息。

分析事件字段

事件字段将提供有关单个流量的许多信息，帮助管理员确保给定流量的CMA策略和配置正确，或者识别流量中的不匹配或问题。

可以指出应用程序不可达原因的字段如下：

• 操作
  如果流量被阻止，这表明流量正在基于安全 > 互联网防火墙配置的安全策略进行拦截。 阻止此流量的规则也将在事件中列为字段。
  
  如果此防火墙规则不是您期望的流量所在的规则，请访问解决流量匹配错误规则部分。 
  
  如果操作显示“RBI”，请查看故障排除RBI流
   
• PoP 名称/公开来源 IP
  了解流量以何种形式到达互联网应用程序可能很重要。 特别是关于源IP。 这些字段帮助管理员确定数据包以何种源IP和区域离开PoP，并受到网络规则库中出口配置的影响。
  
  
  确保应用程序不会将Cato IP列入黑名单或进行地理阻止。 如果出站 PoP 或源 IP 不符合您基于网络规则的期望，请遵循规则不匹配故障排除流程来解决该网络规则的问题。
   
• TLS 检查
  TLS 检查字段识别所询问的流是否已通过TLSI 数据检查拦截。 值为 1 表示流量已被检查。
  
  某些应用程序在被检查时效果不佳，特别是那些使用证书固定等安全技术的。 对于因 TLS 检查拦截而受到影响的流量，请查看解决因 TLSI 失败的应用程序。
   
• TCP 加速
  TCP 加速是一种优化 TCP 流量的方法，因为它遍历 Cato 云。 关于 TCP 加速功能及其如何影响互联网应用流量的说明，请参阅这里。
   

网站不加载故障排除 - 无事件

如果找不到匹配的流量事件，以及在安全性 > 互联网防火墙中所有相关规则均设置为阻止或监控，那么可能流量未到达登记的阶段。 这可能是由于配置错误或流量前的协议（如DNS）不成功。

故障排除的第一步是确认这一问题特定于通过Cato的流量。 可以通过将主机直接连接到互联网或分别对套接字站点和 SDP 用户利用套接字旁路或分流隧道来绕过 Cato。 如果在绕过Cato的情况下网站仍然无法加载，那么这不是Cato的问题，应该与ISP或应用程序提供商解决。 如果在绕过Cato时问题未出现，则继续此故障排除流程。

DNS 解析故障排除

如果流量未达到可生成事件的阶段，一个可能的原因是未能完成DNS阻止客户端发起对互联网应用的流量。

对于该应用程序失败的主机，请测试该应用程序的主机名的DNS解析以确定DNS是否成功返回响应。

对于DNS失败的实例：

如果您的 DNS 服务器为外部互联网 DNS 服务器，请考虑按照Cato DNS 最佳实践更改 DNS 服务器。

如果使用的 DNS 服务器是 Cato 推荐的服务器（10.254.254.1 和 8.8.8.8），请确保这些 DNS 流量未被在事件中找到相关流量中描述的故障排除流程阻止。

如果使用的是私有DNS服务器，确保DNS请求到达这些服务器并验证响应是否符合预期。

检查套接字站点的绕过配置

在套接字站点上绕过的流量不会出现在事件页面中，也不会受到 Cato 流量优化或安全引擎的影响。 这可能导致可达性问题，特别是在需要使用特定已知IP地址起源流量到互联网应用的情况下。

确保相关流量在不必要的情况下不包含在绕过规则中：

检查SDP客户端的分流策略

对于SDP客户端，超出分流策略范围的流量不会出现在事件页面中，并且不会受到Cato的流量优化或安全引擎的影响。 这可能导致可达性问题，特别是在需要使用特定已知IP地址起源流量到互联网应用的情况下。

确保相关流量在不必要的情况下不在分流策略规则范围内：

检查SDP客户端的置信等级配置

远程互联网安全信任等级可能会在 Cato 认证过期时影响 SDP 用户的互联网流量。 已过期令牌的用户会话的故障转移行为可能导致互联网流量没有路由到Cato。 这可能导致可达性问题，特别是在需要使用特定已知IP地址起源流量到互联网应用的情况下。

对于会话已过期的用户，确保用户即使在低置信度下也能访问互联网，或者确保他们更新其认证。

互联网防火墙规则不匹配故障排除

在配置防火墙规则时，可能会出现流量与错误规则进行评估的情况。 本节涵盖所有可能的不匹配场景，以及如何解决此问题。

验证自定义应用程序

如果预期的相关流量应匹配自定义应用程序且在FW事件中找到的应用程序字段不匹配，请确认自定义应用程序配置正确。 请记住，当存在重叠的自定义应用程序时，Cato仅将流量识别为其中之一自定义应用程序。 

为防止此问题，请查看解决重叠自定义应用程序部分。

验证内置的应用程序/服务

如果预期的相关流量应匹配内置的应用程序或服务，而流量却匹配了错误的防火墙规则，请检查以下内容：

• 在“错误”匹配防火墙规则中配置了哪些应用程序或服务。
• 这些应用程序/服务是否列在FW事件中的相关应用程序字段中。

应用程序/服务识别是一个多步骤过程，首先要识别协议，然后是所有可能匹配的包含在相关应用程序字段中的应用程序。 在流量中识别出的任何“相关应用程序”应用程序，无论最终应用程序（应用程序字段）决策如何，都将匹配一个防火墙规则。

在下面的示例中，YouTube流量匹配规则#3而不是规则#4。 这是因为规则 #3 包括TCP服务（包括在相关应用程序中），即使最终应用程序（应用程序字段）是YouTube。

要解决这种预期行为，请参阅防火墙规则排序。 内置应用程序不匹配也可以通过将相关的应用程序域名添加到防火墙规则中来解决，如CMA事件中所示，或报告不匹配给支持。

验证域名

如果防火墙规则包含域或FQDN对象，请检查FW事件中的域名字段是什么。 防火墙规则中的域/FQDN对象必须与该字段相同。

请记住，FQDN是完全匹配的完整域名。 例如，完全限定域名 (FQDN) example.com 仅匹配 example.com.

另一方面，域名是一个顶级（TLD）或二级域名（SLD），匹配所有子域。 例如，域example.com匹配www.example.com和host.example.com。

可能会有Cato无法从HTTP、TLS或DNS流量中确定正确域名的情况。 要解决这些类型的问题，请参阅解决域名问题。

故障排除证书错误

在遇到互联网应用程序可达性问题时，证书错误是另一种常见症状。 与TLS相关的阻断页面很常见，并帮助管理员确定应用程序可达性失败的原因。

如果阻止页面建议如上所述的TLS错误，则相关流可以在事件中找到。 过滤器子类型是TLS可以用来放大与TLS错误相关的特定事件。 

在此，可以识别由于TLS错误而被阻止的任何流的阻止原因。 

如果显示以下错误，尽管网站的证书有效，并且在Cato之外可访问该网站，请提出与Cato支持相关的个案。

 故障排除所有流量的无信任证书

如果特定用户或主机的所有互联网目标流量都收到隐私或信任错误，并且启用了该问题流量的TLSI，很可能是缺少TLSI所需的证书未在设备上。 

检查是否使用了自定义证书

在调查如何确保流量可以成功被TLSI拦截而不破坏流量时，首先需要确定是否使用了自定义证书。 查看通过浏览器呈现的证书，我们可以识别出是Cato的默认证书，还是自定义证书作为证书颁发机构。

在上面的截图中，我们可以看到注入证书的CA不是标准的Cato证书。 我们可以通过安全性>证书管理在Cato上检查我们的自定义证书，以识别这是否与我们配置的活跃证书匹配：

这可以帮助管理员识别需要分发给终端客户的证书。

检查是否安装了相关证书

一旦我们确定了需要安装在主机上的证书以便这些流量起作用，我们可以遵循此指南来确保这些证书安装在设备上。

 

故障排除错误阻止页面

在遇到阻止页面时，重要的是从阻止页面确定发生的阻止类型以及故障排除应如何推进。

上面的阻断页面表明这个阻断是由互联网防火墙生成的。 如果阻止该流的规则设置为事件跟踪，则该流将在事件页面中显示，并可进一步分析：

• 如果该规则错误激活，并且您希望该流匹配另一条规则，请查看故障排除互联网防火墙规则不匹配部分。
• 如果该规则是基于网址类别激活的，并且您认为此类别错误地应用于此网址，请查看解决网址错误分类部分。
• 如果匹配相关事件的操作是“RBI”，导航到故障排除RBI流。

故障排除RBI流

如果某个网址触发了违反预期的RBI规则，确保该网址被正确分类，如在解决网址错误分类中。

如果用户在浏览某个URL时遇到问题，可以使用Admin RBI实用程序为该URL生成测试RBI模拟会话 。 输入有效的HTTP或HTTPS URL，然后跟随生成的链接在RBI会话中查看站点。 该实用程序直接将此流量发送到RBI服务，而不通过Cato云。 这可以帮助确定用户的问题是否与RBI服务本身有关，或是由于其他问题如账户配置或Cato基础设施连接性所导致。 例如，连接到Cato的用户无法浏览到为RBI配置的未分类网站，但管理员可以使用该实用程序访问该站点。 这可能表明RBI服务正常运行，问题与PoP和服务之间的连接性有关。

从实用程序运行RBI会话后，您可以将结果报告给支持以帮助他们解决问题。

使用Admin RBI实用程序故障排除：

1. 从导航面板中，选择安全性> RBI。
2. 在Admin RBI utilit下，输入有效的HTTP或HTTPS URL。 例如：https://maps.google.com
3. 点击生成。 已为RBI会话创建一个URL。
4. 点击URL旁边的链接。 RBI会话在您的默认浏览器中打开。

排除中国区域渲染问题

针对这个特定的使用案例，请查看我们关于该主题的相关KB，中国|网页有渲染问题。

解决发现的问题

解决自定义应用程序重叠问题

确保自定义应用程序包括正确的IP地址、域名、端口和协议。 没有关于选择哪个自定义应用程序进行识别的逻辑，因此自定义应用程序必须独特定义以避免与其他自定义应用程序重叠。 有关详细信息，请参阅处理自定义应用程序。

防火墙规则顺序

请记住，防火墙规则是根据其顺序进行评估的，因此定义更具体的规则优先于更一般的规则非常重要。 例如，定义自定义应用程序、内置应用程序、域名、FQDN或自定义服务的防火墙规则应置于包含类别、自定义类别或服务的防火墙规则之上。

在下面的截图中，规则 #1 包含一个自定义服务，其中包括 twitter.com 的 IP 范围，并位于包含应用类别的规则 #2 之上。 规则 #1 比规则 #2 更具体，更适合发送到 twitter.com 的流量。这还将禁用 TCP 加速，并解决任何离线云或替代 WAN 路由问题，因为规则 #1 是一个简单规则。

解决域名问题

防火墙规则基于域名/完全限定域名 (FQDN) 的匹配问题可以通过以下方式解决：

• 对于像 HTTP/S 这样的协议，Cato 可以使用以下来源确定目的地域名：

  • 超文本传输协议主机名标头 （当启用 TLS 检查时）

  • SNI 字段在 TLS 握手期间

  • DNS 解析，域名从 DNS 查询和响应中获取

• 重要的是确保在防火墙规则中指定的域名在所有这些来源中保持一致。 注意，在防火墙事件中仅显示最佳匹配域名（从上到下评估）为域名。 

• 对于其他协议，例如 SSH 或 SMB，它们不发送明文域名，Cato 完全依赖于 DNS 拦截来将流量与域名或完全限定域名 (FQDN) 关联。 当使用私有 DNS 时，这一点尤为重要，因为我们需要确保 DNS 查询/响应通过 Cato。 请参阅 DNS 和您的 Cato 账户的最佳实践。
• DNS over HTTPS (DoH) 和 DNS over TLS 不支持域名/应用程序匹配，因此必须在防火墙规则中阻止它们，以强制将 DNS 查询移动到 UDP/53。

解决因 TLSI 导致的应用失败问题

对于被错误检查的 TLS 流量，请确保已正确配置已订购的 TLSI 规则库，考虑到流的应用匹配和规则的顺序特性，如这里所述。

如果流是有意检查，且导致互联网应用程序中断，请考虑为相关应用程序配置绕过规则。

解决 URL 分类错误问题

要重新分类域名，请查看我们的文档 识别域名的类别。

解决误报 IPS/反恶意软件阻止

通过在 CMA 中选择IPS 和反恶意软件预设来查看 IPS/反恶意软件事件。 设置过滤器以缩小有趣的流量，并检查流量是否被 IPS 或 AM 引擎阻止。 

如果有趣的流量被 IPS/AM 阻止，可以将范围为互联网的允许列表添加到 IPS 和反恶意软件设置。

向 Cato 支持提交案例

提交一个 支持工单，附上上述故障排除步骤的结果。 请在工单中包括以下信息：

• 所遇问题的详细信息及对用户的总体影响。
• 相关防火墙事件和防火墙规则配置。
• 重现问题并运行支持自助服务。 包括由工具生成的工单号码。