本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 針對 Web Application Firewall 整合問題進行故障診斷
<a name="waf-integration-issues"></a>

本節說明 AWS WAF 與 Transfer Family 整合相關問題的可能解決方案。

**Topics**
+ [對封鎖合法流量的 WAF 進行故障診斷](#waf-false-positives)
+ [對與自訂身分提供者的 WAF 整合進行故障診斷](#waf-custom-idp)

## 對封鎖合法流量的 WAF 進行故障診斷
<a name="waf-false-positives"></a>

**Description**

 AWS WAF 使用 Transfer Family 端點設定 後，合法使用者無法連線或遇到間歇性連線失敗。您可能會在日誌中看到 HTTP 403 （禁止） 回應。

**原因**

您的 AWS WAF 規則可能過於嚴格或設定不正確，導致誤判封鎖合法流量。常見原因包括：
+ 不小心封鎖公司網路或 VPNs IP 型規則
+ 對於正常流量模式而言，閾值太低的速率型規則
+ 對您的使用案例過於積極的受管規則群組

**解決方案**

若要解決誤判問題：

1. 啟用 AWS WAF 記錄以識別觸發區塊的規則。如需說明，請參閱[記錄 AWS WAF Web ACL 流量](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html)。

1. 檢閱您的日誌以識別封鎖請求中的模式。

1. 透過下列方式調整您的規則：
   + 將 IP 地址或範圍新增至允許清單
   + 提高以速率為基礎的規則的速率限制
   + 將特定規則設定為計數模式，而不是將封鎖模式設定為無需封鎖即可監控
   + 使用規則群組排除為特定規則建立例外狀況

1. 在完全部署之前，使用合法流量的代表性範例測試更新的組態。

## 對與自訂身分提供者的 WAF 整合進行故障診斷
<a name="waf-custom-idp"></a>

**Description**

 AWS WAF 使用使用自訂身分提供者的 Transfer Family 伺服器設定 之後，身分驗證會失敗，或使用者遇到間歇性身分驗證問題。

**原因**

搭配 API Gateway 使用自訂身分提供者時， AWS WAF 規則可能會干擾 Transfer Family 與您的身分提供者之間的 API 呼叫。可能會發生這種情況，因為 AWS WAF 正在根據其規則集檢查並可能封鎖 API 流量。

**解決方案**

若要解決 AWS WAF 和自訂身分提供者的問題：
+ 請確定您的 AWS WAF 組態包含自訂身分提供者使用的 API Gateway 端點例外狀況。
+ 將 Transfer Family 服務主體 (transfer.amazonaws.com) 新增至 AWS WAF 規則中的允許清單。
+ 如果使用受管規則群組，請檢閱它們是否有可能影響 API 身分驗證流程的規則，並考慮停用這些特定規則。
+ 直接使用 `TestIdentityProvider` API 操作測試您的身分提供者，以驗證其是否正常運作，而不會 AWS WAF 造成干擾。