หลังจากที่ติดตั้ง NGAF (Firewall) อยู่ใน Environment แล้วพบว่า Traffic ไม่สามารถใช้งานได้นั้น เกิดขึ้นจากสาเหตุใด โดยจะมีหลักในการเข้าใจจุดของปัญหาคร่าว ๆ ดังนี้
0. ปัญหาเกิดจากที่ NGAF หรือที่อุปกรณ์อื่นมีการ Drop Traffic เช่น Network Switch, ผู้ให้บริการ ISP, IAG, Server ต้นทางหรือปลายทาง โดยสามารถทดสอบเบื้องต้นด้วย traceroute
1. ปัญหาจากการตั้งค่า Routing หรือไม่
2. ปัญหาจากการตั้งค่า Application Control หรือไม่
3. ปัญหาจากการถูก Network Security Policy Block หรือไม่
4. ปัญหาจากการตั้งค่า NAT ที่ไม่ถูกต้องหรือไม่
ขั้นตอนการ Troubleshooting ที่แนะนำมีดังนี้ (เพื่อให้เป็นการ Confirm ว่าเป็นปัญหาจาก Module ใดของ NGAF หรือไม่)
1. ไปที่ System > Troubleshooting > Troubleshooting > เลือก Precise Traffic Analysis และกรอกข้อมูลเพื่อ Filter Packet และทำ Analysis แบบ Real Time เช่น IP ต้นทาง/ปลายทาง, ต้องการ Bypass หรือไม่, แสดงผลTraffic ที่ Allow อยู่แล้วหรือไม่
- หากมี Log Denied แสดงว่ามีการ Block ด้วยบาง Module ของ Firewall โดยสามารถกด View เพื่อดู Detail ต่อไปได้
- ใน Detail จะแสดงผลว่าโดน Denied ด้วย Policy ชื่ออะไร และต้องแก้อย่างไร
- โดยจะมีภาพเพื่อแสดง Data Flow และหลักการ Process Packet ว่าติดในส่วนไหน
เช่น ตามภาพคือ Packet สามารถได้รับ Route ที่ถูกต้องได้ แต่ติดที่ Application Control Policy ที่ต้องถูกแก้ไข จึงไม่ได้ส่ง Traffic ไปที่ Outbound Traffic
หากติดที่แต่ละประเภทต้องตรวจสอบต่อที่ไหน
- หากติดที่ Access Control ให้ตรวจสอบที่ Policies > Access Control > Application Control
หรือตรวจสอบ Log ได้ที่ Monitor > Logs > Access Logs > Session Logs เพื่อประกอบ หากมีการตั้งค่า Log ไว้
- หากติดที่ Data Forwarding ให้ตรวจสอบที่ Policies > NAT หรือที่ Network > Routes (ดูต่อที่ข้อ 3 ด้านล่าง)
- หาก Traffic ได้ถูกส่งออกไปที่ Interface ขาออกเรียบร้อยจะมีการแสดงผลดังนี้
ดังนั้นในข้อที่ 1 จะทราบว่า Packet ที่มีปัญหาได้ติดอยู่ที่ Module ใด หรือได้ถูก Forward ไปที่อุปกรณ์อื่นผ่าน Interface ใด
- หากใช้งานเสร็จแล้วให้ปิด Troubleshooting ด้วย
2. กรณีที่ต้องการ Troubleshoot แบบไวๆ ด้วยการ Bypass ว่าติดที่ Firewall หรือไม่ สามารถทำได้ที่หัวข้อ
SOC > Whitelist เพื่อทำ Whitelist บน NGAF
- ให้ทำการใส่ IP/URL ของเครื่องต้นทางหรือเครื่องปลายทางที่ต้องการจะ Whitelist โดยระหว่างที่ Whitelist นั้น Module ต่างๆ เช่น Application Control, Network Security Policies จะถูก Bypass หาก Condition IP หรือ URL ตรงกับที่ Whitelist ไว้
- หลังจากที่ Whitelist แล้วใช้งานได้ ให้กลับไปทำข้อที่ 1 เพื่อหาว่าติดจาก Module ไหน
- ทั้งนี้หากปัญหาเกิดขึ้นที่ในส่วนของ Routing หรือ NAT การทำ Whitelist จะไม่สามารถช่วยBypassได้ จะต้องทำการตรวจสอบที่การตั้งค่า Routing หรือ NAT ต่อไป
- ถ้าใช้ Whitelist เพื่อทดสอบ ต้องอย่าลืมเอาออกจาก Whitelist เนื่องจากจะไม่มีการป้องกัน Security ให้กับ IP นั้นๆ เช่นทดสอบ Whitelist IP เครื่อง Server บางตัว
3. หากทำการ Whitelist แล้วพบว่าปัญหายังไม่ถูกแก้ไข จะมีความเป็นไปได้ 2 ทางคือ
1. ปัญหาอยู่ที่ Routing หรือ NAT
2. การ Block ไม่ได้เกิดจาก Firewall
Routing
- กรณีที่ต้องการจะตรวจสอบในส่วนของ Routing ว่าทำงานถูกต้องหรือไม่
สามารถไปที่ Network > Routes > Route Testing
- โดยให้กรอกข้อมูลตามสมควรเพื่อตรวจสอบว่า Firewall จะส่ง Packet ออกไปที่ Static Route, Policy Based Route, VPN Tunnel, Interface ที่ถูกต้องหรือไม่
- ในส่วนของ Routing บน NGAF จะเรียงด้วย Direct Route > Static Route > Policy Based Route > Default Route
ลำดับการทำงานของ NGAF Routing
- หากเป็น Network Secure (NSF) จะสามารถทำ Customize Routing Priority ได้ ว่าต้องการให้แบบไหนทำงานก่อนหลัง
การตั้งค่า Route Priority
NAT
- หากเป็นปัญหาที่การ NAT กรณีที่เป็นเครื่องภายในออก Internet ไม่ได้ ให้ตรวจสอบว่ามีเขียน Policy SNAT เพื่อให้ออกไปยัง WAN Interface แล้วหรือยัง
- หากเป็น Server ภายในที่ต้องการให้เข้าจากภายนอก ให้ตรวจสอบ DNAT หรือ BNAT ขาเข้า ว่ามีการเขียนให้ Translate ได้ครบถ้วนแล้วหรือไม่
ทำ Destination NAT (DNAT) บน NGAF
4. ตรวจสอบว่า IP ดังกล่าวอยู่ใน Global Blacklist หรือ Temporary Blacklist หรือไม่
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น