기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
웹 애플리케이션 방화벽 통합 문제 해결
이 섹션에서는 Transfer Family AWS WAF 와의 통합과 관련된 문제에 대해 가능한 해결 방법을 설명합니다.
WAF 차단 합법적인 트래픽 문제 해결
설명
Transfer Family 엔드포인트 AWS WAF 로를 구성한 후 합법적인 사용자는 연결할 수 없거나 간헐적인 연결 실패가 발생합니다. 로그에 HTTP 403(금지됨) 응답이 표시될 수 있습니다.
원인
AWS WAF 규칙이 너무 제한적이거나 잘못 구성되어 합법적인 트래픽을 차단하는 오탐지가 발생할 수 있습니다. 일반적인 원인은 다음과 같습니다.
-
실수로 회사 네트워크 또는 VPNs 차단하는 IP 기반 규칙
-
임곗값이 정상 트래픽 패턴에 비해 너무 낮은 속도 기반 규칙
-
사용 사례에 지나치게 공격적인 관리형 규칙 그룹
솔루션
거짓 긍정 문제를 해결하려면:
-
AWS WAF 로깅을 활성화하여 블록을 트리거하는 규칙을 식별합니다. 지침은 AWS WAF 웹 ACL 트래픽 로깅을 참조하세요.
-
로그를 검토하여 차단된 요청의 패턴을 식별합니다.
-
다음과 같이 규칙을 조정합니다.
-
허용 목록에 IP 주소 또는 범위 추가
-
속도 기반 규칙의 속도 제한 증가
-
차단 없이 모니터링하도록 차단 모드 대신 특정 규칙을 개수 모드로 설정
-
규칙 그룹 제외를 사용하여 특정 규칙에 대한 예외 생성
-
-
완전히 배포하기 전에 합법적인 트래픽의 대표 샘플을 사용하여 업데이트된 구성을 테스트합니다.
사용자 지정 자격 증명 공급자와의 WAF 통합 문제 해결
설명
사용자 지정 자격 증명 공급자를 사용하는 Transfer Family 서버 AWS WAF 로를 구성한 후 인증이 실패하거나 사용자에게 간헐적인 인증 문제가 발생합니다.
원인
API Gateway에서 사용자 지정 자격 증명 공급자를 사용하는 경우 AWS WAF 규칙은 Transfer Family와 자격 증명 공급자 간의 API 호출을 방해할 수 있습니다. 이는가 규칙 세트를 기반으로 API 트래픽을 검사하고 잠재적으로 차단하기 때문에 AWS WAF 발생할 수 있습니다.
솔루션
AWS WAF 및 사용자 지정 자격 증명 공급자 관련 문제를 해결하려면:
-
AWS WAF 구성에 사용자 지정 자격 증명 공급자가 사용하는 API Gateway 엔드포인트에 대한 예외가 포함되어 있는지 확인합니다.
-
Transfer Family 서비스 보안 주체(transfer.amazonaws.com)를 AWS WAF 규칙의 허용 목록에 추가합니다.
-
관리형 규칙 그룹을 사용하는 경우 API 인증 흐름에 영향을 미칠 수 있는 규칙을 검토하고 이러한 특정 규칙을 비활성화하는 것이 좋습니다.
-
TestIdentityProviderAPI 작업을 사용하여 ID 제공업체를 직접 테스트하여 AWS WAF 간섭 없이 올바르게 작동하는지 확인합니다.
