Documentação do Oracle Cloud Infrastructure

Solucionando Problemas de Políticas de Borda

Use as informações de solução de problemas para identificar e tratar problemas comuns que podem ocorrer ao trabalhar com Políticas de Borda.

O Aplicativo Está Lento ao Ativar Todas as Regras de Proteção

Cada regra do serviço WAF adiciona ciclos de CPU a cada transação. Quanto mais regras você ativar, independentemente da ação (DETECT ou BLOCK), a transação diminuirá, especialmente com grandes transações de carga útil. Recomendamos que você só ative as regras de proteção WAF recomendadas no modo DETECT e abra uma solicitação de serviço com o My Oracle Support solicitando a ajuda de ajuste do Web Application Firewall do OCI antes de alterar as regras para BLOCK. Um especialista pode guiar você durante o processo.

"Falha na autorização ou o recurso solicitado não foi encontrado" Erro

Ao adicionar um endereço IP à Lista de Endereços IP do serviço WAF, esse erro pode ocorrer quando você não tem as políticas corretas configuradas para criar uma lista de endereços. Para criar uma lista de endereços, são necessárias permissões manage para waas-address-list. Se você for iniciante em políticas, consulte Conceitos Básicos de Políticas e Políticas Comuns. Para obter mais detalhes sobre políticas para o WAF, consulte Detalhes do serviço WAF.

Aumentando o Tempo Máximo de Vida Útil (TTL) para o OCI WAF

O tempo limite máximo de upstream do WAF pode ser aumentado para até 1.200 segundos (20 minutos). Por padrão, o timeout é definido como 300 segundos. Se você precisar aumentá-lo, crie uma solicitação de serviço no My Oracle Support com as seguintes informações:

  • ID da Tenancy
  • ID da Política
  • Domínio do Webapp
  • Timeout de upstream
  • A razão pela qual você precisa de nós para aumentá-lo
Observação

O WAF tem um valor de timeout interno de 100 segundos (que não pode ser alterado) que elimina a conexão se a origem não enviar nenhum keep-alives, afirmando que a origem ainda está trabalhando em uma resposta "aguarde". Se a origem estiver enviando keep-alives, você não poderá atingir esse tipo de timeout porque ele sempre é redefinido com o keep-alive.

Usando um Registro A em vez do CNAME

Recomendamos que os domínios do APEX apontem para o endereço IP com base na localização do seu servidor:

  • NÓS: 147.154.3.128
  • EU: 147.154.225.212
  • APAC: 192.29.50.64
  • AUS: 192.29.152.173

Configurando Valor para o Tempo Limite de Keep-Alive de Origem

O serviço WAF requer que os timeouts de keepalive da origem (balanceador de carga ou servidor Web) sejam mantidos por 301 segundos ou mais, pois nosso valor de timeout de upstream é de 300 segundos. Durante esse período, as conexões são mantidas com segurança enquanto o TCP é otimizado. A metodologia de multiplexação de rede que nossos nós usam para manter a conectividade com a origem garante que as conexões sejam mantidas com segurança enquanto o TCP é otimizado. Para obter mais informações, consulte Conceitos Básicos de Políticas de Borda.

Suporte ao Firewall Palo Alto

Aplicativo API Respondendo com um Código de Status HTTP 5xx

Vários fatores podem levar a um código de status HTTP 5xx. Revise as seguintes informações:

  • O timeout de keep-alive de origem deve ser de 301 segundos.
  • A persistência de sessão deve ser baseada em cookie.
  • A afinidade de IP é uma prática recomendada, pois nossos nós funcionam em um cenário de round-robin e a cada 10 minutos o IP do nó pode ser alterado na mesma transação.
  • Se você tiver várias regras do serviço WAF ativadas e a transação incluir um payload grande, isso fará com que a transação expire na origem. A solicitação ainda está no buffer do WAF e foi analisada antes de responder à origem.
  • Um ou mais nós não estão totalmente na lista de permissões das regras de entrada do lado da origem.
  • Falha em um nó específico. Nesse caso, aumente imediatamente o problema para nossa equipe de suporte.

O site está expirando

  • Consulte Aplicativo API Respondendo com um Código de Status HTTP 5xx para obter uma lista de pontos de verificação.
  • O timeout também pode estar relacionado à lista de permissões (Listas de Segurança ou NSG). Revise as seguintes informações:
    • Você adicionou as listas de segurança para permitir os nós do OCI WAF?
    • As regras não têm monitoramento de estado?

    • Se as regras forem sem monitoramento de estado, você adicionou as respectivas regras de saída?

      Observação

      Ao adicionar uma regra de segurança sem monitoramento de estado, você permite apenas um lado do tráfego (entrada ou saída) Para permitir o fluxo de tráfego completo, adicione outra regra do outro lado (saída ou entrada). A adição de uma regra com monitoramento de estado (o que significa apenas manter a opção sem estado limpa) permite ambos os lados do tráfego sem o requisito de adicionar uma regra de saída.

Excluindo Vários Cookies que Terminam com a Mesma String da Inspeção pelas Regras de Proteção do WAF

No exemplo a seguir, são recebidos alertas da Proteção do WAF com base em valores sob vários cookies: 123_SessionID=bad_value1; 456_SessionID=bad_value2; 789_SessionID=bad_value3; ...

Em vez de adicionar cada cookie manualmente, você pode agrupá-los em um formato regex:

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Web Application Firewall, clique em Políticas.
  2. Clique no nome da política do serviço WAF cujas definições de regra você deseja configurar. A visão geral da Política de WAF é exibida.
  3. Clique em Regras de Proteção.
  4. Clique na guia Regras.
  5. Localize a regra de proteção à qual deseja aplicar a exclusão.
  6. Clique em o menu Ações (Menu Ações) e selecione Exclusões.
  7. Na caixa de diálogo Exclusões, informe os seguintes critérios:
    • Exclusão: Selecione valores de cookie de solicitação.
    • Valor: Digite /_SessionID$/. Esse valor corresponde a todos os cookies que terminam com _SessionID acionando regras de WAF com "bad_values".
    • Clique em Salvar Alterações.

Erro de "Parâmetro 'from-json' deve estar no formato JSON"

Ao gerar um arquivo de amostra JSON (--generate-full-command-json-input\--generate-param-json-input) como entrada para os comandos da CLI WAAS por meio da console PowerShell, eles podem falhar ao carregar. Pode ocorrer um erro de "Parâmetro 'from-json' deve estar no formato JSON". Certifique-se de que o arquivo JSON gerado seja salvo com a codificação UTF-8. Versões mais antigas do PowerShell podem salvar arquivos JSON com outra codificação.