Documentation sur Oracle Cloud Infrastructure

Dépannage des politiques de périphérie de réseau

Utilisez les informations de dépannage pour identifier et résoudre les problèmes courants qui peuvent survenir lors de l'utilisation des politiques de périphérie de réseau.

Lenteur de l'application lors de l'activation de toutes les règles de protection

Chaque règle WAF ajoute des cycles d'UC à chaque transaction. Plus vous activez de règles, quelle que soit l'action (déterminer ou bloquer), plus les transactions sont ralenties, en particulier celles qui comportent des transactions de données utiles volumineuses. Nous vous recommandons d'activer les règles de protection WAF recommandées uniquement en mode de détection et d'ouvrir une demande de service auprès de My Oracle Support pour obtenir de l'aide sur le réglage du pare-feu d'application Web pour OCI avant de régler les règles à Bloquer. Un expert peut vous guider tout au long du processus.

"L'autorisation a échoué ou la ressource demandée est introuvable" Erreur

Lors de l'ajout d'une adresse IP à la liste d'adresses IP WAF, cette erreur peut survenir lorsque vous n'avez pas configuré les politiques appropriées pour créer une liste d'adresses. Afin de créer une liste d'adresses, les autorisations manage sont requises pour waas-address-list. Pour en connaître davantage sur les politiques, voir Introduction aux politiques et Politiques communes. Pour plus de détails sur les politiques relatives au service WAF, voir Détails du service WAF.

Augmentation de la durée de vie en amont maximale pour le service WAF OCI

La temporisation en amont maximale pour le service WAF peut être augmentée jusqu'à 1 200 secondes (20 minutes). Par défaut, la temporisation est réglée à 300 secondes. Si vous devez l'augmenter, créez une demande de service dans My Oracle Support avec les informations suivantes :

  • ID location
  • ID politique
  • Domaine d'application Web
  • Temporisation en amont
  • La raison pour laquelle vous avez besoin de nous pour l'augmenter
Note

Le service WAF a une valeur de temporisation interne de 100 secondes (non modifiable) qui supprime la connexion si l'origine n'envoie pas de signal de maintien de connexion, indiquant que l'origine travaille toujours à une réponse "veuillez attendre". Si l'origine envoie des signaux de conservation, vous ne pouvez pas atteindre ce type de temporisation, car il est toujours réinitialisé avec les signaux de conservation.

Utiliser un enregistrement A au lieu du CNAME

Il est recommandé que les domaines APEX pointent vers l'adresse IP correspondant à l'emplacement de votre serveur :

  • NOUS : 147.154.3.128
  • EU : 147.154.225.212
  • APAC : 192.29.50.64
  • AUS : 192.29.152.173

Configuration de la valeur pour la temporisation de maintien de connexion de l'origine

WAF requires that the origin's (load balancer or web server) keep-alive timeouts are maintained for 301 seconds or more, as our upstream timeout value is 300 seconds. Pendant ce temps, les connexions sont maintenues en toute sécurité et TCP est optimisé. La méthodologie de multiplexage de réseau que nos noeuds utilisent pour maintenir la connectivité avec l'origine garantit que les connexions sont maintenues en toute sécurité pendant que TCP est optimisé. Pour plus d'informations, voir Introduction aux politiques de périphérie de réseau.

Prise en charge du pare-feu Palo Alto

Application d'API répondant avec un code de statut HTTP 5xx

Plusieurs facteurs peuvent mener à un code de statut HTTP 5xx. Vérifiez les informations suivantes :

  • La temporisation de maintien de connexion de l'origine doit être de 301 secondes.
  • La persistance de session doit être basée sur des témoins.
  • L'affinité IP est une meilleure pratique car nos noeuds fonctionnent dans un scénario de circuit cyclique et toutes les 10 minutes, l'adresse IP du noeud peut changer dans la même transaction.
  • Si plusieurs règles WAF sont activées et que la transaction comprend des données utiles volumineuses, cela entraîne une temporisation de la transaction sur l'origine. La demande se trouve toujours dans la mémoire tampon WAF et a été analysée avant de répondre à l'origine.
  • Un ou plusieurs noeuds ne figurent pas dans la liste d'autorisation des règles de trafic entrant côté origine.
  • Échec d'un noeud spécifique. Dans ce cas, escaladez immédiatement le problème à notre équipe de soutien.

Temporisation du site Web

  • Voir Réponse à l'application d'API avec un code de statut HTTP 5xx pour une liste de points de vérification.
  • La temporisation peut également être liée à la liste d'autorisation (Listes de sécurité ou groupe de sécurité de réseau). Vérifiez les informations suivantes :
    • Avez-vous ajouté les listes de sécurité pour autoriser les noeuds WAF OCI?
    • Les règles sont-elles sans état?

    • Si les règles sont sans état, avez-vous ajouté les règles de trafic sortant respectives?

      Note

      Lorsque vous ajoutez une règle de sécurité sans état, vous autorisez un seul côté du trafic (entrée/sortie). Pour autoriser le flux de trafic complet, ajoutez une autre règle de l'autre côté (sortant ou entrant). L'ajout d'une règle avec état (ce qui revient à laisser l'option Sans état vide) autorise les deux côtés du trafic sans qu'il soit nécessaire d'ajouter une règle de trafic sortant.

Exclusion de plusieurs témoins qui se terminent par la même chaîne de l'inspection par les règles de protection WAF

Dans l'exemple suivant, des alertes sont reçues de la protection WAF à partir de valeurs placées sous plusieurs témoins : 123_SessionID=bad_value1; 456_SessionID=bad_value2; 789_SessionID=bad_value3; ...

Au lieu d'ajouter chaque témoin manuellement, vous pouvez les regrouper dans un format d'expression rationnelle :

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Pare-feu d'application Web, cliquez sur Politiques.
  2. Cliquez le nom de la politique WAF pour laquelle vous voulez configurer les paramètres de règle. L'aperçu de la politique WAF s'affiche.
  3. Cliquez sur Règles de protection.
  4. Cliquez sur l'onglet Règles.
  5. Repérez la règle de protection à laquelle appliquer l'exclusion.
  6. Cliquez sur le menu Actions (trois points) et sélectionnez Exclusions.
  7. Dans la boîte de dialogue Exclusions, entrez les critères suivants :
    • Exclusion : Sélectionnez Valeurs de témoin de demande.
    • Valeur : Entrez /_SessionID$/. Cette valeur correspond à tous les témoins qui se terminent par _SessionID qui déclenchent des règles WAF avec "bad_values".
    • Cliquez sur Enregistrer les modifications.

Erreur de paramètre 'from-json' dans le format JSON

Lors de la génération d'un exemple de fichier JSON (--generate-full-command-json-input\--generate-param-json-input) en tant qu'entrée pour les commandes de l'interface de ligne de commande WAAS au moyen de la console PowerShell, le chargement risque d'échouer. Une erreur "Parameter 'from-json' doit être au format JSON" peut survenir. Assurez-vous que le fichier JSON généré est enregistré avec l'encodage UTF-8. Les anciennes versions de PowerShell peuvent enregistrer les fichiers JSON avec un encodage différent.