Documentation Oracle Cloud Infrastructure

Dépannage des stratégies en périphérie

Utilisez les informations de dépannage pour identifier et résoudre les problèmes courants qui peuvent survenir lors de l'utilisation des stratégies Edge.

L'application est lente lors de l'activation de toutes les règles de protection

Toute règle WAF ajoute des cycles d'UC à chaque transaction. Plus vous activez de règles, quelle que soit l'action (DETECT ou BLOCK), plus la transaction est lente, en particulier avec les transactions de charge utile volumineuse. Nous vous recommandons d'activer uniquement les règles de protection WAF recommandées en mode DETECT et d'ouvrir une demande d'assistance auprès de My Oracle Support afin de demander de l'aide pour le réglage d'OCI Web Application Firewall avant de passer les règles en mode BLOCK. Un expert peut vous guider tout au long du processus.

Erreur "Echec de l'autorisation ou ressource demandée introuvable"

Lorsque vous ajoutez une adresse IP à la liste d'adresses IP WAF, cette erreur peut se produire si les stratégies appropriées pour créer une liste d'adresses ne sont pas configurées. Afin de créer une liste d'adresses, vous devez disposer de droits d'accès manage pour waas-address-list. Si vous ne connaissez pas les stratégies, reportez-vous à Introduction aux stratégies et à Stratégies courantes. Pour plus de détails sur les stratégies pour WAF, reportez-vous à Détails du service WAF.

Augmentation de la durée de vie maximale en amont (TTL) pour OCI WAF

Le délai d'expiration en amont maximal pour WAF peut être augmenté jusqu'à 1 200 secondes (20 minutes). Par défaut, le délai d'expiration est défini sur 300 secondes. Si vous devez l'augmenter, créez une demande d'assistance dans My Oracle Support avec les informations suivantes :

  • ID de location
  • ID politique
  • Domaine d'application Web
  • Délai d'expiration en amont
  • La raison pour laquelle vous avez besoin de nous pour l'augmenter
Remarque

WAF dispose d'une valeur de délai d'expiration interne de 100 secondes (qui n'est pas modifiable) qui supprime la connexion si l'origine n'envoie pas de service de mise en service, indiquant que l'origine travaille toujours à une réponse "Veuillez patienter". Si l'origine envoie des signaux de maintien de la connexion, vous n'atteignez pas ce type de délai d'expiration, car il se réinitialise avec le signal.

Utiliser un enregistrement A à la place de CNAME

Les domaines APEX pointent vers l'adresse IP suivante :

  • NOUS : 147.154.3.128
  • EU : 147.154.225.212
  • APAC : 192.29.50.64
  • AUS : 192.29.152.173

Configuration d'une valeur pour le délai d'attente de mise en service à l'origine

WAF exige que les délais d'expiration de maintien des connexions de l'origine (équilibreur de charge ou serveur Web) soient maintenus pendant 301 secondes ou plus, car notre valeur de délai d'expiration en amont est de 300 secondes. Au cours de cette période, les connexions sont maintenues en toute sécurité pendant l'optimisation du protocole TCP. La méthodologie de multiplexage réseau que nos noeuds utilisent pour maintenir la connectivité avec l'origine garantit que les connexions sont maintenues en toute sécurité pendant l'optimisation TCP. Pour plus d'informations, reportez-vous à Introduction aux stratégies en périphérie.

Prise en charge du pare-feu Palo Alto

  • OCI a besoin du pare-feu Palo Alto pour activer les trames Jumbo dans le cadre de notre format PMTUD et de notre MTU de 9000.
  • Pour obtenir des informations sur le dépannage, reportez-vous à Connexion bloquée.
  • Pour plus d'informations sur le dépannage de Palo Alto, reportez-vous à Dépannage du débit avec Palo Alto et OCI.

Réponse d'application d'API avec un code de statut HTTP 5xx

Plusieurs facteurs peuvent générer un code de statut HTTP 5xx. Consultez les informations suivantes :

  • Le délai d'expiration de maintien des connexions de l'origine doit être de 301 secondes.
  • La persistance de session doit être basée sur les cookies.
  • L'affinité IP est une meilleure pratique car nos noeuds fonctionnent dans un scénario Round Robin et toutes les 10 minutes, l'adresse IP du noeud change potentiellement au sein de la même transaction.
  • Si plusieurs règles WAF sont activées et que la transaction inclut des données traitées volumineuses, la transaction expire à l'origine. La demande se trouve toujours dans le tampon WAF et a été analysée avant de répondre à l'origine.
  • Au moins des noeuds ne figurent pas entièrement sur la liste d'autorisation des règles entrantes côté origine.
  • Un noeud spécifique échoue. Dans ce cas, signalez immédiatement le problème à notre équipe d'assistance.

Le site Web expire

  • Pour obtenir la liste des points de reprise, reportez-vous à Réponse d'application d'API avec un code de statut HTTP 5xx.
  • Le délai d'expiration peut également être lié à la liste d'autorisation (listes de sécurité ou groupe de sécurité réseau). Consultez les informations suivantes :
    • Avez-vous ajouté les listes de sécurité pour autoriser les noeuds OCI WAF ?
    • Les règles sont-elles sans état ?

    • Si les règles sont sans conservation de statut, avez-vous ajouté les règles sortantes correspondantes ?

      Remarque

      Lorsque vous ajoutez une règle de sécurité sans état, vous n'autorisez qu'un côté (entrée ou sortie) du trafic. Pour autoriser l'intégralité du flux de trafic, ajoutez une autre règle de l'autre côté (sortie ou entrée). L'ajout d'une règle avec état (ce qui signifie simplement que l'option Sans état est désactivée) permet d'autoriser les deux côtés du trafic sans que l'ajout d'une règle sortante soit nécessaire.

Exclure plusieurs cookies se terminant par la même chaîne de l'inspection par les règles de protection WAF

Dans l'exemple suivant, des alertes sont reçues de la protection WAF à partir de valeurs sous plusieurs cookies : 123_SessionID=bad_value1 ; 456_SessionID=bad_value2 ; 789_SessionID=bad_value3 ; ...

Au lieu d'ajouter chaque cookie manuellement, vous pouvez les regrouper au format d'expression régulière :

  1. Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Web Application Firewall, cliquez sur Stratégies.
  2. Cliquez sur le nom de la stratégie WAF pour laquelle configurer les paramètres de règle. L'aperçu de la stratégie WAF apparaît.
  3. Cliquez sur Règles de protection.
  4. Cliquez sur l'onglet Règles.
  5. Recherchez la règle de protection à laquelle appliquer l'exclusion.
  6. Cliquez sur le menu Actions (trois points) et sélectionnez Exclusions.
  7. Dans la boîte de dialogue Exclusions, saisissez les critères suivants :
    • Exclusion : sélectionnez Valeurs de cookie de demande.
    • Valeur : entrez /_SessionID$/. Cette valeur correspond à tous les cookies qui finissent par _SessionID et déclenchent des règles WAF avec "bad_values".
    • Cliquez sur Enregistrer les modifications.

Erreur "Le paramètre 'from-json' doit être au format JSON"

Lors de la génération d'un fichier échantillon JSON (--generate-full-command-json-input\--generate-param-json-input) en tant qu'entrée pour les commandes de la CLI WAAS via la console PowerShell, le chargement peut échouer. Une erreur "from-json" du paramètre doit être au format JSON peut se produire. Assurez-vous que le fichier JSON généré est enregistré avec l'encodage UTF-8. Les anciennes versions de PowerShell peuvent enregistrer les fichiers JSON avec un encodage différent.