Memecahkan masalah integrasi Firewall Aplikasi Web - AWS Transfer Family
Memecahkan masalah WAF memblokir lalu lintas yang sahMemecahkan masalah integrasi WAF dengan penyedia identitas kustom

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memecahkan masalah integrasi Firewall Aplikasi Web

Bagian ini menjelaskan kemungkinan solusi untuk masalah yang terkait dengan integrasi AWS WAF dengan Transfer Family.

Memecahkan masalah WAF memblokir lalu lintas yang sah

Deskripsi

Setelah mengonfigurasi AWS WAF dengan endpoint Transfer Family Anda, pengguna yang sah tidak dapat terhubung atau mengalami kegagalan koneksi intermiten. Anda mungkin melihat respons HTTP 403 (Terlarang) di log Anda.

Menyebabkan

AWS WAF Aturan Anda mungkin terlalu ketat atau tidak dikonfigurasi dengan benar, menyebabkan kesalahan positif yang memblokir lalu lintas yang sah. Penyebab umum meliputi:

  • Aturan berbasis IP yang secara tidak sengaja memblokir jaringan perusahaan atau VPNs

  • Aturan berbasis tarif dengan ambang batas yang terlalu rendah untuk pola lalu lintas normal Anda

  • Grup aturan terkelola yang terlalu agresif untuk kasus penggunaan Anda

Solusi

Untuk mengatasi masalah positif palsu:

  1. Aktifkan AWS WAF logging untuk mengidentifikasi aturan mana yang memicu blok. Untuk petunjuk, lihat Mencatat lalu lintas ACL AWS WAF web.

  2. Tinjau log Anda untuk mengidentifikasi pola dalam permintaan yang diblokir.

  3. Sesuaikan aturan Anda dengan:

    • Menambahkan alamat IP atau rentang ke daftar yang diizinkan

    • Meningkatkan batas tarif untuk aturan berbasis tarif

    • Menyetel aturan khusus ke mode Hitung alih-alih mode Blok untuk memantau tanpa memblokir

    • Membuat pengecualian untuk aturan tertentu menggunakan pengecualian grup aturan

  4. Uji konfigurasi yang diperbarui dengan sampel representatif lalu lintas yang sah sebelum menerapkan sepenuhnya.

Memecahkan masalah integrasi WAF dengan penyedia identitas kustom

Deskripsi

Setelah mengonfigurasi AWS WAF dengan server Transfer Family yang menggunakan penyedia identitas kustom, autentikasi gagal atau pengguna mengalami masalah autentikasi intermiten.

Menyebabkan

Saat menggunakan penyedia identitas kustom dengan API Gateway, AWS WAF aturan dapat mengganggu panggilan API antara Transfer Family dan penyedia identitas Anda. Ini bisa terjadi karena AWS WAF sedang memeriksa dan berpotensi memblokir lalu lintas API berdasarkan set aturannya.

Solusi

Untuk mengatasi masalah dengan AWS WAF dan penyedia identitas khusus:

  • Pastikan AWS WAF konfigurasi Anda menyertakan pengecualian untuk titik akhir API Gateway yang digunakan oleh penyedia identitas kustom Anda.

  • Tambahkan prinsipal layanan Transfer Family (transfer.amazonaws.com) ke daftar yang diizinkan dalam aturan Anda. AWS WAF

  • Jika menggunakan grup aturan terkelola, tinjau mereka untuk aturan yang mungkin memengaruhi alur autentikasi API dan pertimbangkan untuk menonaktifkan aturan khusus tersebut.

  • Uji penyedia identitas Anda secara langsung menggunakan operasi TestIdentityProvider API untuk memverifikasi bahwa penyedia identitas berfungsi dengan benar tanpa AWS WAF gangguan.