Oracle Cloud Infrastructure - Dokumentation

Fehlerbehebung für Edge-Policys

Mithilfe von Informationen zur Fehlerbehebung können Sie allgemeine Probleme identifizieren und beheben, die beim Arbeiten mit Edge-Policys auftreten können.

Anwendung ist langsam, wenn alle Schutzregeln aktiviert werden

Jede WAF-Regel fügt jeder Transaktion CPU-Zyklen hinzu. Je mehr Regeln Sie aktivieren, unabhängig von der Aktion (Ermitteln oder Blockieren), desto langsamer wird die Transaktion, insbesondere bei Transaktionen mit großen Payloads. Wir empfehlen, dass Sie nur die empfohlenen WAF-Schutzregeln im Modus "Ermitteln" aktivieren und eine Serviceanfrage bei My Oracle Support öffnen, um OCI-Web Application Firewall-Optimierungshilfe anzufordern, bevor Sie die Regeln in "Blockieren" ändern. Ein Experte kann Sie dann durch den Prozess führen.

"Autorisierung fehlgeschlagen oder angeforderte Ressource nicht gefunden" Fehler

Wenn Sie der WAF-IP-Adressliste eine IP-Adresse hinzufügen, kann dieser Fehler auftreten, wenn Sie nicht über die richtigen Policys zum Erstellen einer Adressliste verfügen. Um eine Adressliste zu erstellen, sind manage-Berechtigungen für waas-address-list erforderlich. Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Informationen zu WAF-Policys finden Sie unter Details zum WAF-Service.

Erhöhung der maximalen Livezeit (TTL) für OCI WAF

Der maximale Upstream-Timeout für WAF kann auf 1.200 Sekunden (20 Minuten) erhöht werden. Standardmäßig ist der Timeout auf 300 Sekunden gesetzt. Wenn Sie diesen Wert erhöhen müssen, erstellen Sie eine Serviceanfrage in My Oracle Support mit den folgenden Informationen:

  • Mandanten-ID
  • Policy-ID
  • Webapp-Domain
  • Upstream-Timeout-Timeout
  • Der Grund, warum Sie uns brauchen, um es zu erhöhen
Hinweis

WAF verfügt über einen internen Timeoutwert von 100 Sekunden (der nicht geändert werden kann). Damit wird die Verbindung beendet, wenn der Ursprung keine Keepalives sendet und angibt, dass der Ursprung noch an einer Antwort "Bitte warten" arbeitet. Wenn der Ursprung Keep-Alives sendet, können Sie diesen Timeouttyp nicht erreichen, weil er immer mit dem Keep-Alive zurückgesetzt wird.

Einen Datensatz anstelle des CNAME verwenden

Es wird empfohlen, dass APEX-Domains je nach Serverstandort auf die IP-Adresse verweisen:

  • WIR: 147.154.3.128
  • EU: 147.154.225.212
  • APAC: 192.29.50.64
  • AUS: 192.29.152.173

Wert für Keepalive-Timeout des Ursprungs konfigurieren

WAF erfordert, dass die Keepalive-Timeouts des Ursprungs (Load Balancer oder Webserver) auf mindestens 301 Sekunden gesetzt werden, da der Upstream-Timeoutwert 300 Sekunden beträgt. Während dieses Zeitraums werden die Verbindungen sicher aufrechterhalten, während TCP optimiert wird. Die Network Multiplexing-Methode, mit der unsere Knoten die Konnektivität mit dem Ursprung aufrechterhalten, stellt sicher, dass die Verbindungen sicher aufrechterhalten werden, während TCP optimiert wird. Weitere Informationen finden Sie unter Erste Schritte mit Edge Policys.

Unterstützung der Palo Alto Firewall

API-Anwendung mit einem HTTP-Statuscode von 5xx

Mehrere Faktoren können zu einem HTTP-Statuscode von 5xx führen. Prüfen Sie die folgenden Informationen:

  • Der Keepalive-Timeout des Ursprungs muss 301 Sekunden betragen.
  • Sessionpersistenz muss Cookie-basiert sein.
  • Die IP-Affinität ist eine Best Practice, da die Knoten in einem Round-Robin-Szenario funktionieren und sich die IP-Adresse des Knotens alle 10 Minuten innerhalb derselben Transaktion ändern kann.
  • Wenn mehrere WAF-Regeln aktiviert sind und die Transaktion eine große Payload enthält, wird die Transaktion auf dem Ursprung wegen Timeouts abgebrochen. Die Anforderung befindet sich noch im WAF-Puffer und wurde geparst, bevor sie auf den Ursprung antwortet.
  • Mindestens ein Knoten ist nicht vollständig in der Ausnahmeliste der Ingress-Regeln der Ursprungsseite enthalten.
  • Ein bestimmter Knoten ist nicht erfolgreich. In diesem Fall eskalieren Sie das Problem sofort an unser Supportteam.

Zeitüberschreitung der Website

  • Eine Liste der Checkpoints finden Sie unter API Application Responding with a 5xx HTTP Status Code.
  • Der Timeout kann auch mit der Ausnahmeliste (Sicherheitslisten oder NSG) verknüpft sein. Prüfen Sie die folgenden Informationen:
    • Haben Sie die Sicherheitslisten hinzugefügt, um die OCI-WAF-Knoten zuzulassen?
    • Sind die Regeln zustandslos?

    • Wenn die Regeln zustandslos sind, haben Sie die entsprechenden Egress-Regeln hinzugefügt?

      Hinweis

      Wenn Sie eine zustandslose Sicherheitsregel hinzufügen, lassen Sie nur eine Seite des Traffic zu (Ingress oder Egress). Um den vollständigen Trafficfluss zuzulassen, fügen Sie auf der anderen Seite eine weitere Regel hinzu (Egress oder Ingress). Das Hinzufügen einer zustandsbehafteten Regel (d.h., die Option " Zustandslos" bleibt leer) ermöglicht beide Seiten des Tracks, ohne dass eine Egress-Regel hinzugefügt werden muss.

Mehrere Cookies, die mit derselben Zeichenfolge enden, von der Prüfung durch WAF-Schutzregeln ausschließen

Im folgenden Beispiel werden Alerts vom WAF-Schutz von Werten unter mehreren Cookies empfangen: 123_SessionID=bad_value1; 456_SessionID=bad_value2; 789_SessionID=bad_value3; ...

Anstatt jedes Cookie manuell hinzuzufügen, können Sie es in einem regulären Ausdrucksformat gruppieren:

  1. Öffnen Sie das Navigationsmenü, und klicken Sie auf Identität und Sicherheit. Klicken Sie unter Web Application Firewall auf Policys.
  2. Klicken Sie auf den Namen der WAF-Policy, für die Sie Regeleinstellungen konfigurieren möchten. Der Überblick über die WAF-Policy wird angezeigt.
  3. Klicken Sie auf Schutzregeln.
  4. Klicken Sie auf die Registerkarte Regeln.
  5. Suchen Sie die Schutzregel, auf die Sie den Ausschluss anwenden möchten.
  6. Klicken Sie auf das Menü Aktionen (drei Punkte), und wählen Sie Ausschlüsse aus.
  7. Geben Sie im Dialogfeld "Ausschlüsse" die folgenden Kriterien ein:
    • Ausschluss: Wählen Sie Werte des Anforderungscookies aus.
    • Wert: Geben Sie /_SessionID$/ ein. Dieser Wert entspricht allen Cookies, die mit _SessionID enden und WAF-Regeln mit "bad_values" auslösen.
    • Klicken Sie auf Änderungen speichern.

Fehler beim Parameter "from-JSON" im JSON-Format

Beim Generieren einer JSON-Beispieldatei (--generate-full-command-JSON-input\--generate-param-JSON-input) als Eingabe für die WAAS-CLI-Befehle über die PowerShell-Konsole können sie möglicherweise nicht geladen werden. Möglicherweise tritt ein Fehler im "from-JSON"-Parameter im JSON-Format auf. Stellen Sie sicher, dass die generierte JSON-Datei mit UTF-8-Codierung gespeichert wurde. Ältere PowerShell-Versionen speichern JSON-Dateien möglicherweise mit einer anderen Codierung.