Risoluzione dei problemi relativi ai criteri perimetrali
Utilizza le informazioni di risoluzione dei problemi per identificare e risolvere i problemi comuni che possono verificarsi durante l'utilizzo dei criteri perimetrali.
L'applicazione è lenta quando si abilitano tutte le regole di protezione
Ogni regola WAF aggiunge cicli CPU a ogni transazione. Il numero maggiore di regole abilitate, indipendentemente dall'azione (DETECT o BLOCK), rallenta la transazione, in particolare con transazioni di payload di grandi dimensioni. Si consiglia di abilitare solo le regole di protezione WAF consigliate in modalità DETECT e di aprire una richiesta di servizio con My Oracle Support che richiede la Guida per il tuning di OCI Web Application Firewall prima di modificare le regole in BLOCK. Un esperto può guidarti attraverso il processo.
"Autorizzazione non riuscita o risorsa richiesta non trovata" Errore
Quando si aggiunge un indirizzo IP alla lista di indirizzi IP WAF, questo errore può verificarsi quando non si dispone dei criteri corretti impostati per creare una lista di indirizzi. Per creare una lista di indirizzi, sono necessarie le autorizzazioni manage per waas-address-list. Se non si ha familiarità con i criteri, vedere Introduzione ai criteri e Criteri comuni. Per ulteriori dettagli sui criteri per WAF, vedere Dettagli per il servizio WAF.
Aumentare il Time To Live (TTL) massimo a monte per OCI WAF
Il timeout massimo a monte per WAF può essere aumentato fino a 1.200 secondi (20 minuti). Per impostazione predefinita, il timeout è impostato su 300 secondi. Se è necessario aumentarlo, creare una richiesta di servizio in My Oracle Support con le informazioni riportate di seguito.
- ID tenancy ID
- ID criterio
- Dominio applicazione Web
- Tempo timeout a monte
- Il motivo per cui hai bisogno di noi per aumentarlo
WAF ha un valore di timeout interno di 100 secondi (che non è modificabile) che elimina la connessione se l'origine non invia alcun controllo attività, affermando che l'origine sta ancora lavorando su una risposta "attendi". Se l'origine sta inviando keep-alive, non è possibile raggiungere questo tipo di timeout perché viene sempre reimpostato con keep-alive.
Utilizzo di un record anziché di CNAME
Si consiglia ai domini APEX di puntare all'indirizzo IP in base alla posizione del server:
- USA: 147.154.3.128
- EU: 147.154.225.212
- APAC: 192.29.50.64
- AUS: 192.29.152.173
Configurazione del valore per il timeout mantenimento attività origine
WAF richiede che i timeout di controllo attività dell'origine (load balancer o server Web) vengano gestiti per almeno 301 secondi, poiché il valore di timeout a monte è di 300 secondi. Durante questo periodo, le connessioni vengono mantenute in sicurezza mentre TCP è ottimizzato. La metodologia di multiplexing di rete utilizzata dai nostri nodi per mantenere la connettività con l'origine garantisce che le connessioni siano mantenute in sicurezza mentre TCP è ottimizzato. Per ulteriori informazioni, consulta la guida introduttiva ai criteri perimetrali.
Supporto di Palo Alto Firewall
- OCI richiede il firewall Palo Alto per abilitare i frame Jumbo come parte del nostro formato PMTUD e della nostra MTU di 9000.
- Per informazioni sulla risoluzione dei problemi, vedere Hanging Connection.
- Per informazioni sulla risoluzione dei problemi di Palo Alto, consulta Risoluzione dei problemi di throughput con Palo Alto e OCI.
Applicazione API che risponde con un codice di stato HTTP 5xx
Più fattori possono portare a un codice di stato HTTP 5xx. Rivedere le seguenti informazioni:
- Il timeout di controllo attività dell'origine deve essere di 301 secondi.
- La persistenza della sessione deve essere basata su cookie.
- L'affinità IP è una best practice poiché i nostri nodi funzionano in uno scenario round robin e ogni 10 minuti l'IP del nodo cambia potenzialmente all'interno della stessa transazione.
- Se sono abilitate più regole WAF e la transazione include un payload di grandi dimensioni, si verifica il timeout della transazione nell'origine. La richiesta si trova ancora nel buffer WAF ed è stata analizzata prima di rispondere all'origine.
- Uno o più nodi non si trovano completamente nella lista di inclusione delle regole di entrata dal lato origine.
- Un nodo specifico non riesce. In questo caso, escalate immediatamente il problema al nostro team di supporto.
Timeout sito Web
- Per un elenco dei checkpoint, vedere Applicazione API che risponde con un codice di stato HTTP 5xx.
- Il timeout può anche essere correlato alla lista di inclusione (Liste di sicurezza o NSG). Rivedere le seguenti informazioni:
- Sono state aggiunte le liste di sicurezza per consentire i nodi WAF OCI?
- Le regole sono senza stato?
-
Se le regole sono senza conservazione dello stato, sono state aggiunte le rispettive regole di uscita?
Nota
Quando si aggiunge una regola di sicurezza senza conservazione dello stato, si consente solo un lato del traffico (ingresso o uscita). Per consentire il flusso di traffico completo, aggiungere un'altra regola dall'altra parte (uscita o entrata). L'aggiunta di una regola con conservazione dello stato (il che significa semplicemente mantenere deselezionata l'opzione senza conservazione dello stato) consente a entrambi i lati del traffico senza la necessità di aggiungere una regola di uscita.
Esclusione di più cookie che terminano con la stessa stringa dalle regole di protezione WAF
Nell'esempio seguente, gli avvisi vengono ricevuti dalla protezione WAF dai valori in più cookie: 123_SessionID=bad_value1; 456_SessionID=bad_value2; 789_SessionID=bad_value3; ...
Invece di aggiungere ogni cookie manualmente, puoi raggrupparli in un formato regex:
- Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Web Application Firewall, fare clic su Criteri.
- Fare clic sul nome del criterio WAF per il quale si desidera configurare le impostazioni delle regole. Viene visualizzata la panoramica dei criteri WAF.
- Fare clic su Regole di protezione.
- Fare clic sulla scheda Regole.
- Trovare la regola di protezione a cui si desidera applicare l'esclusione.
- Fare clic sul menu e selezionare Esclusioni.
- Nella finestra di dialogo Esclusioni, immettere i seguenti criteri:
- Esclusione: selezionare i valori dei cookie della richiesta.
- Valore: immettere /_SessionID$/. Questo valore corrisponde a tutti i cookie che terminano con l'attivazione di _SessionID delle regole WAF con "bad_values".
- Fare clic su Salva modifiche.
Errore "Il parametro 'from-json' deve essere in formato JSON"
Quando si genera un file di esempio JSON (--generate-full-command-json-input\--generate-param-json-input) come input per i comandi CLI WAAS tramite la console PowerShell, è possibile che non vengano caricati. Potrebbe verificarsi un errore "Parametro 'from-json' in formato JSON". Assicurarsi che il file JSON generato venga salvato con la codifica UTF-8. Le versioni precedenti di PowerShell potrebbero salvare file JSON con una codifica diversa.