Behebung von Integrationsproblemen mit der Web Application Firewall - AWS Transfer Family
Beheben Sie Fehler beim Blockieren von legitimem Datenverkehr durch WAFBeheben Sie Probleme bei der WAF-Integration mit benutzerdefinierten Identitätsanbietern

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Behebung von Integrationsproblemen mit der Web Application Firewall

In diesem Abschnitt werden mögliche Lösungen für Probleme im Zusammenhang mit der Integration AWS WAF mit Transfer Family beschrieben.

Beheben Sie Fehler beim Blockieren von legitimem Datenverkehr durch WAF

Beschreibung

Nach der Konfiguration AWS WAF mit Ihrem Transfer Family Family-Endpunkt können legitime Benutzer keine Verbindung herstellen oder es kommt zu zeitweiligen Verbindungsausfällen. Möglicherweise werden in Ihren Protokollen Antworten vom Typ HTTP 403 (Verboten) angezeigt.

Ursache

Ihre AWS WAF Regeln sind möglicherweise zu restriktiv oder falsch konfiguriert, was zu Fehlalarmen führt, die legitimen Datenverkehr blockieren. Zu den häufigsten Ursachen gehören:

  • IP-basierte Regeln, die versehentlich Unternehmensnetzwerke blockieren oder VPNs

  • Ratenbasierte Regeln mit Schwellenwerten, die für Ihre normalen Datenverkehrsmuster zu niedrig sind

  • Verwaltete Regelgruppen, die für Ihren Anwendungsfall zu aggressiv sind

Lösung

So beheben Sie Probleme mit falsch positiven Ergebnissen:

  1. Aktivieren AWS WAF Sie die Protokollierung, um festzustellen, welche Regeln die Blöcke auslösen. Anweisungen finden Sie unter AWS WAF Web-ACL-Verkehr protokollieren.

  2. Überprüfen Sie Ihre Protokolle, um Muster in den blockierten Anfragen zu identifizieren.

  3. Passen Sie Ihre Regeln an, indem Sie:

    • Hinzufügen von IP-Adressen oder Bereichen zu einer Zulassungsliste

    • Erhöhung der Ratenlimits für ratenbasierte Regeln

    • Einstellung bestimmter Regeln auf den Zählmodus statt auf den Blockmodus, um sie zu überwachen, ohne zu blockieren

    • Erstellen von Ausnahmen für bestimmte Regeln mithilfe von Regelgruppenausschlüssen

  4. Testen Sie die aktualisierte Konfiguration mit einer repräsentativen Stichprobe legitimen Datenverkehrs, bevor Sie sie vollständig bereitstellen.

Beheben Sie Probleme bei der WAF-Integration mit benutzerdefinierten Identitätsanbietern

Beschreibung

Nach der Konfiguration AWS WAF mit Ihrem Transfer Family Family-Server, der einen benutzerdefinierten Identitätsanbieter verwendet, schlägt die Authentifizierung fehl oder es treten bei Benutzern zeitweise Authentifizierungsprobleme auf.

Ursache

Wenn Sie einen benutzerdefinierten Identitätsanbieter mit API Gateway verwenden, können AWS WAF Regeln die API-Aufrufe zwischen Transfer Family und Ihrem Identitätsanbieter stören. Dies kann passieren, weil AWS WAF der API-Verkehr auf der Grundlage seiner Regelsätze überprüft und möglicherweise blockiert wird.

Lösung

So lösen Sie Probleme mit AWS WAF und benutzerdefinierten Identitätsanbietern:

  • Stellen Sie sicher, dass Ihre AWS WAF Konfiguration Ausnahmen für die API Gateway Gateway-Endpunkte enthält, die von Ihrem benutzerdefinierten Identitätsanbieter verwendet werden.

  • Fügen Sie den Service Principal von Transfer Family (transfer.amazonaws.com) zu einer Zulassungsliste in Ihren Regeln hinzu. AWS WAF

  • Wenn Sie verwaltete Regelgruppen verwenden, überprüfen Sie diese auf Regeln, die sich auf API-Authentifizierungsabläufe auswirken könnten, und erwägen Sie, diese spezifischen Regeln zu deaktivieren.

  • Testen Sie Ihren Identitätsanbieter direkt mithilfe des TestIdentityProvider API-Vorgangs, um sicherzustellen, dass er ordnungsgemäß und AWS WAF störungsfrei funktioniert.