本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
故障診斷 Web Application Firewall 整合問題
本節說明 AWS WAF 與 Transfer Family 整合相關問題的可能解決方案。
對封鎖合法流量的 WAF 進行故障診斷
Description
AWS WAF 使用 Transfer Family 端點設定 後,合法使用者無法連線或遇到間歇性連線失敗。您可能會在日誌中看到 HTTP 403 (禁止) 回應。
原因
您的 AWS WAF 規則可能過於嚴格或設定不正確,導致誤判封鎖合法流量。常見原因包括:
-
不小心封鎖公司網路或 VPNs IP 型規則
-
對於正常流量模式而言,閾值太低的速率型規則
-
對您的使用案例過於積極的受管規則群組
解決方案
若要解決誤判問題:
-
啟用 AWS WAF 記錄以識別觸發區塊的規則。如需說明,請參閱記錄 AWS WAF Web ACL 流量。
-
檢閱您的日誌以識別封鎖請求中的模式。
-
透過下列方式調整您的規則:
-
將 IP 地址或範圍新增至允許清單
-
提高以速率為基礎的規則的速率限制
-
將特定規則設定為計數模式,而不是將封鎖模式設定為無需封鎖即可監控
-
使用規則群組排除為特定規則建立例外狀況
-
-
在完全部署之前,使用合法流量的代表性範例測試更新的組態。
對與自訂身分提供者的 WAF 整合進行故障診斷
Description
AWS WAF 使用使用自訂身分提供者的 Transfer Family 伺服器設定 之後,身分驗證會失敗,或使用者遇到間歇性身分驗證問題。
原因
搭配 API Gateway 使用自訂身分提供者時, AWS WAF 規則可能會干擾 Transfer Family 與您的身分提供者之間的 API 呼叫。可能會發生這種情況,因為 AWS WAF 正在根據其規則集檢查並可能封鎖 API 流量。
解決方案
若要解決 AWS WAF 和自訂身分提供者的問題:
-
請確定您的 AWS WAF 組態包含自訂身分提供者使用的 API Gateway 端點例外狀況。
-
將 Transfer Family 服務主體 (transfer.amazonaws.com) 新增至 AWS WAF 規則中的允許清單。
-
如果使用受管規則群組,請檢閱它們是否有可能影響 API 身分驗證流程的規則,並考慮停用這些特定規則。
-
直接使用
TestIdentityProviderAPI 操作測試您的身分提供者,以驗證其是否正常運作,而不會 AWS WAF 造成干擾。
