기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 웹 애플리케이션 방화벽 통합 문제 해결
<a name="waf-integration-issues"></a>

이 섹션에서는 Transfer Family AWS WAF 와의 통합과 관련된 문제에 대해 가능한 해결 방법을 설명합니다.

**Topics**
+ [WAF 차단 합법적인 트래픽 문제 해결](#waf-false-positives)
+ [사용자 지정 자격 증명 공급자와의 WAF 통합 문제 해결](#waf-custom-idp)

## WAF 차단 합법적인 트래픽 문제 해결
<a name="waf-false-positives"></a>

**설명**

Transfer Family 엔드포인트 AWS WAF 로를 구성한 후 합법적인 사용자는 연결할 수 없거나 간헐적인 연결 실패가 발생합니다. 로그에 HTTP 403(금지됨) 응답이 표시될 수 있습니다.

**원인**

 AWS WAF 규칙이 너무 제한적이거나 잘못 구성되어 합법적인 트래픽을 차단하는 오탐지가 발생할 수 있습니다. 일반적인 사용 사례는 다음과 같습니다.
+ 실수로 회사 네트워크 또는 VPNs 차단하는 IP 기반 규칙
+ 임곗값이 정상 트래픽 패턴에 비해 너무 낮은 속도 기반 규칙
+ 사용 사례에 지나치게 공격적인 관리형 규칙 그룹

**솔루션**

거짓 긍정 문제를 해결하려면:

1.  AWS WAF 로깅을 활성화하여 블록을 트리거하는 규칙을 식별합니다. 지침은 [AWS WAF 웹 ACL 트래픽 로깅을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html).

1. 로그를 검토하여 차단된 요청의 패턴을 식별합니다.

1. 다음과 같이 규칙을 조정합니다.
   + 허용 목록에 IP 주소 또는 범위 추가
   + 속도 기반 규칙의 속도 제한 증가
   + 차단 없이 모니터링하도록 차단 모드 대신 특정 규칙을 개수 모드로 설정
   + 규칙 그룹 제외를 사용하여 특정 규칙에 대한 예외 생성

1. 완전히 배포하기 전에 합법적인 트래픽의 대표 샘플을 사용하여 업데이트된 구성을 테스트합니다.

## 사용자 지정 자격 증명 공급자와의 WAF 통합 문제 해결
<a name="waf-custom-idp"></a>

**설명**

사용자 지정 자격 증명 공급자를 사용하는 Transfer Family 서버 AWS WAF 로를 구성한 후 인증이 실패하거나 사용자에게 간헐적인 인증 문제가 발생합니다.

**원인**

API Gateway에서 사용자 지정 자격 증명 공급자를 사용하는 경우 AWS WAF 규칙은 Transfer Family와 자격 증명 공급자 간의 API 호출을 방해할 수 있습니다. 이는가 규칙 세트를 기반으로 API 트래픽을 검사하고 잠재적으로 차단하기 때문에 AWS WAF 발생할 수 있습니다.

**솔루션**

 AWS WAF 및 사용자 지정 자격 증명 공급자 관련 문제를 해결하려면:
+  AWS WAF 구성에 사용자 지정 자격 증명 공급자가 사용하는 API Gateway 엔드포인트에 대한 예외가 포함되어 있는지 확인합니다.
+ Transfer Family 서비스 보안 주체(transfer.amazonaws.com)를 AWS WAF 규칙의 허용 목록에 추가합니다.
+ 관리형 규칙 그룹을 사용하는 경우 API 인증 흐름에 영향을 미칠 수 있는 규칙을 검토하고 이러한 특정 규칙을 비활성화하는 것이 좋습니다.
+ `TestIdentityProvider` API 작업을 사용하여 ID 제공업체를 직접 테스트하여 AWS WAF 간섭 없이 올바르게 작동하는지 확인합니다.