本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Web 应用程序防火墙集成问题疑难解答
本节介绍与Transfer Family集成 Amazon WAF 相关的问题的可能解决方案。
排除 WAF 屏蔽合法流量的故障
描述
Amazon WAF 使用您的 Transfer Family 端点进行配置后,合法用户将无法连接或遇到间歇性连接故障。您可能会在日志中看到 HTTP 403(禁止)响应。
原因
您的 Amazon WAF 规则可能过于严格或配置不正确,从而导致误报,从而阻止合法流量。常见原因包括:
-
无意中屏蔽公司网络的基于 IP 的规则或 VPNs
-
基于速率的规则,其阈值对于您的正常流量模式来说太低
-
对你的用例来说过于激进的托管规则组
解决方案
要解决误报问题,请执行以下操作:
-
启用 Amazon WAF 日志记录功能以识别哪些规则触发了封锁。有关说明,请参阅记录 Amazon WAF Web ACL 流量。
-
查看您的日志,找出被阻止的请求中的模式。
-
通过以下方式调整您的规则:
-
将 IP 地址或范围添加到许可名单
-
提高基于费率的规则的速率限制
-
将特定规则设置为 Count 模式而不是 Block 模式,以便在不阻塞的情况下进行监控
-
使用规则组排除项为特定规则创建例外
-
-
在完全部署之前,请使用具有代表性的合法流量样本测试更新的配置。
对 WAF 与自定义身份提供商的集成进行故障排除
描述
使用使用自定义身份提供程序的 Transfer Family 服务器进行配置 Amazon WAF 后,身份验证失败或用户会遇到间歇性的身份验证问题。
原因
在 API Gateway 中使用自定义身份提供商时, Amazon WAF 规则可能会干扰 Transfer Family 与您的身份提供商之间的 API 调用。之所以发生这种情况 Amazon WAF ,是因为正在根据其规则集检查并可能阻止 API 流量。
解决方案
要解决与自定义身份提供商有关的问题 Amazon WAF ,请执行以下操作:
-
确保您的 Amazon WAF 配置包括自定义身份提供商使用的 API Gateway 终端节点的例外情况。
-
将 Transfer Family 服务负责人 (transfer.amazonaws.com) 添加到规则的许可名单中。 Amazon WAF
-
如果使用托管规则组,请查看它们以了解可能影响 API 身份验证流程的规则,并考虑禁用这些特定规则。
-
使用
TestIdentityProviderAPI 操作直接测试您的身份提供商,以验证其在 Amazon WAF 不受干扰的情况下正常运行。