Résoudre les problèmes d'intégration du Web Application Firewall - AWS Transfer Family
Résoudre les problèmes liés au blocage du trafic légitime par le WAFRésoudre les problèmes d'intégration du WAF avec les fournisseurs d'identité personnalisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes d'intégration du Web Application Firewall

Cette section décrit les solutions possibles aux problèmes liés à l'intégration AWS WAF à Transfer Family.

Résoudre les problèmes liés au blocage du trafic légitime par le WAF

Description

Après la configuration AWS WAF avec votre point de terminaison Transfer Family, les utilisateurs légitimes ne peuvent pas se connecter ou rencontrent des défaillances de connexion intermittentes. Vous pouvez voir des réponses HTTP 403 (Interdit) dans vos journaux.

Cause

Vos AWS WAF règles sont peut-être trop restrictives ou mal configurées, ce qui entraîne des faux positifs qui bloquent le trafic légitime. Les causes courantes incluent :

  • des règles basées sur l'IP qui bloquent par inadvertance les réseaux d'entreprise ou VPNs

  • Règles basées sur les tarifs avec des seuils trop bas pour vos modèles de trafic habituels

  • Groupes de règles gérés trop agressifs pour votre cas d'utilisation

Solution

Pour résoudre les problèmes de faux positifs, procédez comme suit :

  1. Activez la AWS WAF journalisation pour identifier les règles qui déclenchent les blocages. Pour obtenir des instructions, consultez la section Journalisation du trafic ACL AWS WAF Web.

  2. Passez en revue vos journaux pour identifier les tendances des demandes bloquées.

  3. Ajustez vos règles en :

    • Ajouter des adresses ou des plages IP à une liste d'autorisation

    • Augmenter les limites de taux pour les règles basées sur les taux

    • Configuration de règles spécifiques en mode Comptage au lieu du mode Bloc pour surveiller sans bloquer

    • Création d'exceptions pour des règles spécifiques à l'aide d'exclusions de groupes de règles

  4. Testez la configuration mise à jour avec un échantillon représentatif du trafic légitime avant le déploiement complet.

Résoudre les problèmes d'intégration du WAF avec les fournisseurs d'identité personnalisés

Description

Après la configuration AWS WAF avec votre serveur Transfer Family qui utilise un fournisseur d'identité personnalisé, l'authentification échoue ou les utilisateurs rencontrent des problèmes d'authentification intermittents.

Cause

Lorsque vous utilisez un fournisseur d'identité personnalisé avec API Gateway, AWS WAF les règles peuvent interférer avec les appels d'API entre Transfer Family et votre fournisseur d'identité. Cela peut se produire parce que le trafic de l'API AWS WAF est inspecté et potentiellement bloqué en fonction de ses ensembles de règles.

Solution

Pour résoudre les problèmes liés aux fournisseurs d'identité personnalisés AWS WAF et aux fournisseurs d'identité :

  • Assurez-vous que votre AWS WAF configuration inclut des exceptions pour les points de terminaison API Gateway utilisés par votre fournisseur d'identité personnalisé.

  • Ajoutez le principal du service Transfer Family (transfer.amazonaws.com) à une liste d'autorisation dans vos règles. AWS WAF

  • Si vous utilisez des groupes de règles gérés, examinez-les pour détecter les règles susceptibles d'affecter les flux d'authentification des API et envisagez de désactiver ces règles spécifiques.

  • Testez votre fournisseur d'identité directement à l'aide de l'opération TestIdentityProvider API pour vérifier qu'il fonctionne correctement sans AWS WAF interférence.