Solucionar problemas de integração do Web Application Firewall - AWS Transfer Family
Solucionar problemas de bloqueio de tráfego legítimo pelo WAFSolucione problemas de integração do WAF com provedores de identidade personalizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Solucionar problemas de integração do Web Application Firewall

Esta seção descreve possíveis soluções para problemas relacionados à integração AWS WAF com o Transfer Family.

Solucionar problemas de bloqueio de tráfego legítimo pelo WAF

Descrição

Depois de configurar AWS WAF com seu endpoint Transfer Family, os usuários legítimos não conseguem se conectar ou enfrentam falhas de conexão intermitentes. Você pode ver respostas HTTP 403 (Proibido) em seus registros.

Causa

Suas AWS WAF regras podem ser muito restritivas ou configuradas incorretamente, causando falsos positivos que bloqueiam o tráfego legítimo. As causas comuns incluem:

  • Regras baseadas em IP que bloqueiam inadvertidamente redes corporativas ou VPNs

  • Regras baseadas em tarifas com limites muito baixos para seus padrões normais de tráfego

  • Grupos de regras gerenciados que são excessivamente agressivos para seu caso de uso

Solução

Para resolver problemas de falsos positivos:

  1. Ative o AWS WAF registro para identificar quais regras estão acionando os bloqueios. Para obter instruções, consulte Registro do tráfego AWS WAF da Web ACL.

  2. Analise seus registros para identificar padrões nas solicitações bloqueadas.

  3. Ajuste suas regras da seguinte forma:

    • Adicionar endereços IP ou intervalos a uma lista de permissões

    • Aumento dos limites de taxa para regras baseadas em taxas

    • Definindo regras específicas para o modo de contagem em vez do modo de bloqueio para monitorar sem bloquear

    • Criação de exceções para regras específicas usando exclusões de grupos de regras

  4. Teste a configuração atualizada com uma amostra representativa do tráfego legítimo antes da implantação completa.

Solucione problemas de integração do WAF com provedores de identidade personalizados

Descrição

Depois de configurar AWS WAF com seu servidor Transfer Family que usa um provedor de identidade personalizado, a autenticação falha ou os usuários enfrentam problemas de autenticação intermitentes.

Causa

Ao usar um provedor de identidade personalizado com o API Gateway, AWS WAF as regras podem interferir nas chamadas de API entre o Transfer Family e seu provedor de identidade. Isso pode acontecer porque AWS WAF está inspecionando e potencialmente bloqueando o tráfego da API com base em seus conjuntos de regras.

Solução

Para resolver problemas com AWS WAF provedores de identidade personalizados:

  • Certifique-se de que sua AWS WAF configuração inclua exceções para os endpoints do API Gateway usados pelo seu provedor de identidade personalizado.

  • Adicione o responsável pelo serviço Transfer Family (transfer.amazonaws.com) a uma lista de permissões em suas regras. AWS WAF

  • Se estiver usando grupos de regras gerenciados, analise-os em busca de regras que possam afetar os fluxos de autenticação da API e considere a desativação dessas regras específicas.

  • Teste seu provedor de identidade diretamente usando a operação da TestIdentityProvider API para verificar se ele funciona corretamente sem AWS WAF interferência.