Topik ini menjelaskan masalah umum dan solusi untuk mengonfigurasi pengaturan mitigasi di Web Application Firewall (WAF) 3.0.
Bagaimana cara menonaktifkan perlindungan terhadap serangan flood HTTP untuk nama domain?
Jika Anda ingin permintaan yang dikirim ke nama domain melewati perlindungan serangan flood HTTP, gunakan salah satu metode berikut.
Buat aturan daftar putih
(Opsional) Tambahkan nama domain yang ingin Anda nonaktifkan perlindungan serangan flood HTTP-nya sebagai objek yang dilindungi. Untuk informasi selengkapnya, lihat Menambahkan objek yang dilindungi secara manual. Langkah ini hanya diperlukan untuk nama domain yang ditambahkan ke instans Application Load Balancer (ALB).
Buat aturan daftar putih dan atur parameter Bypassed Modules menjadi HTTP Flood Protection. Di templat aturan, atur parameter Apply To ke nama domain yang ingin Anda nonaktifkan perlindungan serangan flood HTTP-nya. Untuk informasi selengkapnya, lihat Membuat aturan daftar putih untuk mengizinkan permintaan tertentu.
Setelah menyelesaikan langkah-langkah ini, permintaan yang dikirim ke nama domain yang ditambahkan ke aturan daftar putih akan melewati perlindungan serangan flood HTTP.
Buat aturan perlindungan terhadap serangan flood HTTP
Nama domain tidak ditambahkan ke instans ALB
Buat aturan perlindungan serangan flood HTTP. Di templat aturan, atur parameter Apply To ke nama domain yang ingin Anda nonaktifkan perlindungan serangan flood HTTP-nya. Untuk informasi selengkapnya, lihat Membuat aturan perlindungan serangan flood HTTP untuk melindungi dari serangan flood HTTP.
Nonaktifkan Template Switch untuk aturan perlindungan serangan flood HTTP tersebut.
Setelah menyelesaikan langkah-langkah ini, perlindungan serangan flood HTTP dilewati untuk permintaan yang dikirim ke nama domain yang ditentukan dalam aturan.
Nama domain ditambahkan ke instans ALB
Tambahkan semua nama domain dari instans ALB sebagai objek yang dilindungi. Untuk informasi selengkapnya, lihat Menambahkan objek yang dilindungi secara manual.
Buat dua aturan perlindungan serangan flood HTTP. Untuk informasi selengkapnya, lihat Membuat aturan perlindungan serangan flood HTTP untuk melindungi dari serangan flood HTTP.
Aturan perlindungan harus memenuhi persyaratan berikut:
Aturan A: Sesuai kebutuhan, atur Action menjadi Block atau Block (Emergency). Atur Apply To ke nama domain dari instans ALB yang memerlukan perlindungan serangan flood HTTP.
Aturan B: Atur Apply To ke nama domain dan instans ALB tempat Anda ingin menonaktifkan perlindungan serangan flood HTTP.
Aktifkan Template Switch untuk Aturan A dan nonaktifkan Template Switch untuk Aturan B.
Setelah menyelesaikan langkah-langkah ini, permintaan yang dikirim ke nama domain dalam Aturan A akan dideteksi oleh modul perlindungan serangan flood HTTP, sedangkan permintaan yang dikirim ke nama domain dalam Aturan B melewati perlindungan serangan flood HTTP.
Mengapa aturan kebijakan mitigasi kustom yang berisi garis miring ganda (//) di bidang pencocokan URL tidak berlaku?
Mesin aturan WAF melakukan normalisasi bidang pencocokan URL. Secara default, mesin tersebut memampatkan garis miring maju (/) yang berurutan. Akibatnya, aturan kebijakan mitigasi kustom tidak dapat mencocokkan URL yang berisi garis miring ganda (//) dengan benar.
Untuk mengonfigurasi aturan daftar kontrol akses (ACL) untuk URL yang berisi garis miring ganda (//), atur kondisi pencocokan ke path yang sesuai dengan satu garis miring. Misalnya, untuk mengatur bidang pencocokan URL menjadi //api/sms/request, masukkan /api/sms/request sebagai konten pencocokan. Hal ini memungkinkan WAF menerapkan kontrol akses terhadap permintaan yang berisi konten tersebut.