AWS Managed Rules의 오탐을 감지하여 안전한 목록에 추가하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2020년 6월 11일

애플리케이션에 대한 합법적인 요청이 AWS WAF의 AWS Managed Rules(AMR)에 의해 차단됩니다. AMR의 오탐을 감지하여 안전한 목록에 추가하려면 어떻게 해야 합니까?

해결 방법

AMR의 오탐 탐지

  • curl을 사용합니다. [false positive]를 해당하는 오탐으로 바꿔야 합니다. 응답은 "403 Forbidden" 오류입니다.
$ curl -ikv http://example.com/[false positive]
  • 웹 브라우저를 사용합니다. 예를 들어 "example.com" 도메인에서 "style==xxx" 오탐을 확인하는 경우 웹 브라우저에 "example.com/style==xxx"를 입력합니다. 응답은 "403 Forbidden" 오류입니다.
  • AWS WAF에서 샘플링된 요청을 확인합니다. 또는 get-sampled-requests 명령을 사용하여 샘플링된 요청 목록을 수신합니다. 샘플링된 요청 목록에서 오탐을 확인합니다. [작업]이 [차단]인지 확인합니다.
  • AWS WAF 로그를 확인하여 "terminatingRuleId"를 확인합니다. 자세한 내용은 로그의 "terminatingRuleMatchDetails" 섹션을 참조하십시오.

AMR의 오탐을 안전한 목록에 추가

다음 두 가지 방법 중 하나를 사용하여 안전 목록에 오탐을 추가할 수 있습니다.

  • 규칙 재정의 작업 사용
  • 우선 순위가 더 높은 다른 규칙 생성

"규칙 재정의 작업"을 사용하여 합법적인 트래픽 요청을 허용하려면 다음 단계를 수행합니다.

  1. AWS WAF 콘솔을 엽니다.
  2. 웹 ACL(웹 액세스 제어 목록)을 선택합니다.
  3. [규칙] 탭을 선택합니다.
  4. 합법적인 요청을 차단하는 AMR 규칙 그룹을 선택합니다.
  5. [편집]을 선택합니다.
  6. AMR 규칙 그룹의 규칙 목록에서 오탐으로 식별된 규칙을 찾습니다. 그런 다음 [규칙 재정의 작업]을 선택합니다.
  7. [규칙 저장]을 선택합니다.

오탐을 트리거하는 AMR보다 우선 순위가 높은 다른 규칙("제외 규칙" 이라고 함)을 생성하려면 다음 단계를 수행합니다.

  1. AWS WAF 콘솔을 엽니다.
  2. 웹 ACL(웹 액세스 제어 목록)을 선택합니다.
  3. [규칙] 탭을 선택합니다.
  4. [규칙 추가]를 선택한 다음 [자체 규칙 및 규칙 그룹 추가]를 선택합니다.
  5. 해당하는 필드를 입력하여 오탐을 허용하는 규칙을 생성합니다.
  6. [규칙 저장]을 선택합니다.
  7. 새 규칙이 오탐을 트리거하는 AMR보다 높은 우선 순위가 되도록 규칙 우선 순위를 설정합니다. 그런 다음 [저장]을 선택합니다.

이제 새 제외 규칙에 의해 트래픽 요청이 허용됩니다. 샘플링된 요청 또는 AWS WAF 로그를 확인하여 이를 확인할 수 있습니다. 이러한 요청을 확인하는 방법에 대한 단계는 "AMR의 오탐 감지"의 3단계와 4단계를 참조하십시오.

참고: 
프로덕션 환경에 구현하기 전에 개발 환경에서 제외 규칙을 테스트하여 해당 규칙이 예상대로 작동하는지 확인하는 것이 좋습니다.


이 문서가 도움이 되었습니까?

AWS에서 개선해야 할 부분이 있습니까?


도움이 필요하십니까?