Solución de problemas de las políticas de perímetro
Utilice la información de resolución de problemas para identificar y solucionar problemas comunes que se pueden producir al trabajar con políticas de perímetro.
La aplicación es lenta al activar todas las reglas de protección
Cada regla de WAF agrega ciclos de CPU a cada transacción. Cuantas más reglas se activen, independientemente de la acción (DETECT o BLOCK), más se retrasa la transacción, especialmente en el caso de grandes transacciones de carga útil. Recomendamos que active solo las reglas de protección de WAF recomendadas en modo DETECT y abra una solicitud de servicio con My Oracle Support solicitando ayuda para ajustar OCI Web Application Firewall antes de cambiar las reglas a BLOCK. Un experto puede guiarle a través del proceso.
Error "La autorización ha fallado o no se ha encontrado el recurso solicitado".
Al agregar una dirección IP a la lista de direcciones IP de WAF, este error se puede producir cuando no tiene configuradas las políticas correctas para crear una lista de direcciones. Para crear una lista de direcciones, se necesitan permisos manage para waas-address-list. Si no está familiarizado con las políticas, consulte Introducción a las políticas y Políticas comunes. Para obtener más detalles sobre las políticas de WAF, consulte Detalles del servicio WAF.
Aumento del tiempo de actividad ascendente máximo (TTL) para OCI WAF
El timeout ascendente máximo para WAF se puede aumentar hasta 1.200 segundos (20 minutos). Por defecto, el timeout se establece en 300 segundos. Si necesita aumentarlo, cree una solicitud de servicio en My Oracle Support con la siguiente información:
- ID de arrendamiento
- Identificador de Política
- Dominio de la aplicación web
- Tiempo de espera excedido
- La razón por la que necesitas aumentarlo
WAF tiene un valor de timeout interno de 100 segundos (que no se puede cambiar) que borra la conexión si el origen no envía ninguna vida útil, lo que indica que el origen sigue trabajando en una respuesta: "Espere". Si el origen envía el mantenimiento de conexiones, no puede alcanzar este tipo de timeout porque siempre se restablece con el mantenimiento de conexiones.
Uso de un registro A en lugar de un CNAME
Recomendamos que los dominios de APEX hagan referencia a la dirección IP según la ubicación del servidor:
- US: 147.154.3.128
- EU: 147.154.225.212
- APAC: 192.29.50.64
- AUS: 192.29.152.173
Configuración del valor del timeout de mantenimiento de conexiones de origen
WAF requiere que los timeout de mantenimiento de conexiones de origen (equilibrador de carga o servidor web) se mantengan durante 301 segundos o más, ya que nuestro valor de timeout ascendente es de 300 segundos. Durante este tiempo, las conexiones se mantienen de forma segura mientras se optimiza TCP. La metodología de multiplexación de red que utilizan nuestros nodos para mantener la conectividad con el origen garantiza que las conexiones se mantengan de forma segura durante la optimización de TCP. Para obtener más información, consulte Introducción a políticas de perímetro.
Soporte del Firewall Palo Alto
- OCI requiere el firewall de Palo Alto para activar las tramas gigantes como parte de nuestro formato PMTUD y nuestra MTU de 9000.
- Consulte Cuelgue de la conexión para obtener información sobre la solución de problemas.
- Consulte Solución de problemas de rendimiento con Palo Alto y OCI para obtener información sobre la solución de problemas de Palo Alto.
Aplicación de API que responde con un código de estado HTTP 5xx
Varios factores pueden provocar un código de estado HTTP 5xx. Revise la siguiente información:
- El timeout de mantenimiento de conexiones de origen debe ser de 301 segundos.
- La persistencia de la sesión debe estar basada en cookies.
- La afinidad de IP es una práctica recomendada, ya que nuestros nodos funcionan en un escenario de asignación en rueda y, cada 10 minutos, la IP del nodo puede cambiar en la misma transacción.
- Si tiene varias reglas de WAF activadas y la transacción incluye una carga útil grande, la transacción genera un timeout en el origen. La solicitud sigue en el buffer de WAF y se ha analizado antes de responder al origen.
- Uno o más nodos no están completamente en la lista de permitidos en las reglas de entrada del lado del origen.
- Un nodo específico falla. En este caso, escale inmediatamente el problema a nuestro equipo de soporte técnico.
El sitio web ha sufrido un timeout
- Consulte Aplicación de API que responde con un código de estado HTTP 5xx para obtener una lista de puntos de control.
- El timeout también puede estar relacionado con la lista de permitidos (listas de seguridad o NSG). Revise la información siguiente:
- ¿Ha agregado las listas de seguridad para permitir los nodos de OCI WAF?
- ¿Las reglas no tienen estado?
-
Si las reglas no tienen estado, ¿ha agregado las reglas de salida respectivas?
Nota
Al agregar una regla de seguridad sin estado, solo permite una dirección del tráfico (entrada o salida). Para permitir el flujo de tráfico completo, agregue otra regla en la otra dirección (salida o entrada). Agregar una regla con estado (es decir, simplemente mantener la opción sin estado en blanco) permite ambas direcciones del tráfico sin necesidad de agregar una regla de salida.
Exclusión de varias cookies que terminan con la misma cadena de la inspección por reglas de protección de WAF
En el siguiente ejemplo, se reciben alertas de la protección de WAF contra valores de varias cookies: 123_SessionID=bad_value1; 456_SessionID=bad_value2; 789_SessionID=bad_value3; ...
En lugar de agregar cada cookie manualmente, puede agruparlos en un formato de expresión regular:
- Abra el menú de navegación y haga clic en Identidad y seguridad. En Web Application Firewall, haga clic en Políticas.
- Haga clic en el nombre de la política de WAF para la que desea configurar valores de regla. Aparece la visión general de Política de WAF.
- Haga clic en Reglas de protección.
- Haga clic en el separador Reglas.
- Busque la regla de protección a la que desea aplicar la exclusión.
- Haga clic en el menú y seleccione Exclusiones.
- En el cuadro de diálogo Exclusiones, introduzca los siguientes criterios:
- Exclusión: seleccione Solicitar valores de cookies.
- Valor: introduzca /_SessionID$/. Este valor coincide con todas las cookies que terminan con _SessionID y que disparan reglas de WAF con "bad_values".
- Haga clic en Guardar cambios.
Error "El parámetro 'from-json' debe estar en formato JSON"
Al generar un archivo de ejemplo JSON (--generate-full-command-json-input\--generate-param-json-input) como entrada para los comandos de la CLI de WAAS mediante la consola PowerShell, es posible que no se puedan cargar. Se puede producir un error "El parámetro 'from-json' debe estar en formato JSON". Asegúrese de que el archivo JSON generado se guarda con la codificación UTF-8. Las versiones anteriores de PowerShell pueden guardar archivos JSON con una codificación diferente.