Umgang mit übergroßen Webanforderungskomponenten in AWS WAF - AWS WAFAWS Firewall Manager, und AWS Shield Advanced

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Umgang mit übergroßen Webanforderungskomponenten in AWS WAF

In diesem Abschnitt wird erklärt, wie Sie die Größenbeschränkungen für die Überprüfung des Hauptteils, der Header und der Cookies in der Webanfrage verwalten AWS WAF.

AWS WAF unterstützt nicht die Überprüfung sehr großer Inhalte für den Hauptteil, die Header oder die Cookies der Webanforderungskomponenten. Der zugrundeliegende Hostdienst hat Beschränkungen hinsichtlich der Anzahl und Größe der Daten, an die er weiterleitet AWS WAF zur Inspektion. Zum Beispiel sendet der Host-Service nicht mehr als 200 Header an AWS WAF, also für eine Webanfrage mit 205 Headern AWS WAF kann die letzten 5 Header nicht überprüfen.

Wann AWS WAF Damit eine Webanfrage an Ihre geschützte Ressource weitergeleitet werden kann, wird die gesamte Webanforderung gesendet, einschließlich aller Inhalte, die außerhalb der Anzahl und Größenbeschränkungen liegen AWS WAF konnte inspizieren.

Größenbeschränkungen bei der Inspektion von Komponenten

Die Größenbeschränkungen für die Inspektion von Komponenten lauten wie folgt:

  • Bodyund JSON Body — Für Application Load Balancer und AWS AppSync, AWS WAF kann die ersten 8 KB des Hauptteils einer Anfrage überprüfen. Standardmäßig für API Gateway CloudFront, Amazon Cognito, App Runner und Verified Access AWS WAF kann die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer ACL Webkonfiguration auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter Verwaltung der Größenbeschränkungen für Körperinspektionen für AWS WAF.

  • Headers – AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt steht zur Einsichtnahme zur Verfügung von AWS WAF bis zum ersten erreichten Limit.

  • Cookies – AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt steht zur Einsichtnahme zur Verfügung von AWS WAF bis zum ersten erreichten Limit.

Überdimensionierte Bearbeitungsoptionen für Ihre Regelaussagen

Wenn Sie eine Regelanweisung schreiben, die einen dieser Anforderungskomponententypen untersucht, geben Sie an, wie mit übergroßen Komponenten umgegangen werden soll. Die Behandlung von Übergrößen sagt AWS WAF was mit einer Webanfrage zu tun ist, wenn die Anforderungskomponente, die die Regel überprüft, die Größenbeschränkung überschreitet.

Die Optionen für den Umgang mit übergroßen Komponenten lauten wie folgt:

  • Continue— Untersuchen Sie die Anforderungskomponente normal gemäß den Regelprüfungskriterien. AWS WAF überprüft den Inhalt der Anforderungskomponente, der innerhalb der Größenbeschränkungen liegt.

  • Match— Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an, ohne sie anhand der Prüfkriterien der Regel zu bewerten.

  • No match— Behandelt die Webanforderung als nicht übereinstimmend mit der Regelaussage, ohne sie anhand der Prüfkriterien der Regel zu bewerten. AWS WAF setzt die Prüfung der Webanforderung fort und verwendet dabei die übrigen Regeln im Internet, ACL so wie dies bei jeder Regel der Fall wäre, die nicht übereinstimmend ist.

Im AWS WAF Konsole, Sie müssen eine dieser Behandlungsoptionen wählen. Außerhalb der Konsole ist die Standardoption Continue.

Wenn Sie das Match Option in einer Regel, deren Aktion auf gesetzt ist Block, blockiert die Regel eine Anfrage, deren geprüfte Komponente zu groß ist. Bei jeder anderen Konfiguration hängt die endgültige Bearbeitung der Anfrage von verschiedenen Faktoren ab, z. B. von der Konfiguration der anderen Regeln in Ihrer Website ACL und der Standardaktionseinstellung ACL der Website.

Umgang mit überdimensionalen Regelgruppen, deren Eigentümer Sie nicht sind

Beschränkungen für die Größe und Anzahl der Komponenten gelten für alle Regeln, die Sie in Ihrem Web ACL verwenden. Dazu gehören alle Regeln, die Sie verwenden, aber nicht verwalten, in verwalteten Regelgruppen und in Regelgruppen, die von einem anderen Konto für Sie freigegeben wurden.

Wenn Sie eine Regelgruppe verwenden, die Sie nicht verwalten, verfügt die Regelgruppe möglicherweise über eine Regel, die eine eingeschränkte Anforderungskomponente überprüft, übergroße Inhalte jedoch nicht so behandelt, wie Sie sie benötigen. Für Informationen darüber, wie AWS Verwaltete Regeln verwalten übergroße Komponenten, sieheAWS Liste der Regelgruppen für verwaltete Regeln. Wenden Sie sich an Ihren Regelgruppenanbieter, um Informationen zu anderen Regelgruppen zu erhalten.

Richtlinien für die Verwaltung übergroßer Komponenten in Ihrem Web ACL

Die Art und Weise, wie Sie mit übergroßen Komponenten in Ihrem Web umgehen, ACL kann von einer Reihe von Faktoren abhängen, z. B. von der erwarteten Größe des Inhalts Ihrer Anforderungskomponente, der standardmäßigen Anforderungsbehandlung Ihrer Website ACL und davon, wie andere Regeln in Ihrem Web Anfragen ACL entsprechen und diese verarbeiten.

Die allgemeinen Richtlinien für die Verwaltung überdimensionierter Komponenten für Webanfragen lauten wie folgt:

  • Wenn Sie Anforderungen mit übergroßen Komponenteninhalten zulassen müssen, fügen Sie nach Möglichkeit Regeln hinzu, um nur diese Anforderungen explizit zuzulassen. Priorisieren Sie diese Regeln so, dass sie vor allen anderen Regeln im Web ausgeführt werdenACL, die dieselben Komponententypen überprüfen. Mit diesem Ansatz können Sie Folgendes nicht verwenden AWS WAF um den gesamten Inhalt der übergroßen Komponenten zu untersuchen, die Sie an Ihre geschützte Ressource weitergeben dürfen.

  • Für alle anderen Anforderungen können Sie verhindern, dass zusätzliche Bytes übergeben werden, indem Sie Anforderungen blockieren, die das Limit überschreiten:

    • Ihre Regeln und Regelgruppen — Konfigurieren Sie in Ihren Regeln zur Prüfung von Komponenten mit Größenbeschränkungen den Umgang mit überdimensionalen Komponenten, sodass Sie Anfragen blockieren, die das Limit überschreiten. Wenn Ihre Regel beispielsweise Anfragen mit bestimmten Header-Inhalten blockiert, legen Sie die Behandlung von Übergrößen so fest, dass sie auch Anfragen mit übergroßen Header-Inhalten entspricht. Wenn Ihr Web Anfragen standardmäßig ACL blockiert und Ihre Regel bestimmte Header-Inhalte zulässt, konfigurieren Sie alternativ die Behandlung zu großer Größe Ihrer Regel so, dass sie bei Anfragen mit übergroßen Header-Inhalten nicht übereinstimmt.

    • Regelgruppen, die Sie nicht verwalten – Um zu verhindern, dass Regelgruppen, die Sie nicht verwalten, übergroße Anforderungskomponenten zulassen, können Sie eine separate Regel hinzufügen, die den Anforderungskomponententyp überprüft und Anforderungen blockiert, die Grenzwerte überschreiten. Priorisieren Sie die Regel in Ihrem Web ACL so, dass sie vor den Regelgruppen ausgeführt wird. Sie können beispielsweise Anfragen mit übergroßen Inhalten blockieren, bevor Ihre Regeln zur Körperinspektion im Internet verfügbar sind. ACL Im folgenden Verfahren wird beschrieben, wie dieser Regeltyp hinzugefügt wird.

Blockieren von übergroßen Komponenten für Webanfragen

Sie können Ihrem Web eine Regel hinzufügenACL, die Anfragen mit übergroßen Komponenten blockiert.

So fügen Sie eine Regel hinzu, die übergroße Inhalte blockiert
  1. Wenn Sie Ihr Web erstellen oder bearbeitenACL, wählen Sie in den Regeleinstellungen die Optionen Regeln hinzufügen, Eigene Regeln und Regelgruppen hinzufügen, Regelgenerator und dann Visueller Editor für Regeln aus. Anleitungen zum Erstellen oder Bearbeiten eines ACL Webs finden Sie unterMetriken zum Web-Traffic anzeigen in AWS WAF.

  2. Geben Sie einen Namen für die Regel ein und lassen Sie die Einstellung Type (Typ) auf Regular rule (Reguläre Regel) eingestellt.

  3. Ändern Sie die folgenden Übereinstimmungseinstellungen:

    1. Öffnen Sie unter Statement (Anweisung) das Drop-down-Menü für Inspect (Untersuchen) und wählen Sie die benötigte Webanforderungskomponente aus, also entweder Body (Text), Headers (Header) oder Cookies.

    2. Wählen Sie für Match type (Übereinstimmungstyp) die Option Size greater than (Größe größer als) aus.

    3. Geben Sie unter Größe eine Zahl ein, die mindestens der Mindestgröße für den Komponententyp entspricht. Geben Sie für Header und Cookies Folgendes ein8192. Im Application Load Balancer oder AWS AppSync WebACLs, für Körper, geben Sie ein8192. Geben 16384 Sie für Textkörper in API Gateway CloudFront, Amazon Cognito, App Runner oder Verified Access Web einACLs, wenn Sie die standardmäßige Körpergrößenbeschränkung verwenden. Geben Sie andernfalls die Körpergrößenbeschränkung ein, die Sie für Ihr Web ACL definiert haben.

    4. Wählen Sie für Oversize handling (Handhabung zu großer Inhalte) die Option Match (Übereinstimmung) aus.

  4. Wählen Sie für Action (Aktion) die Option Block (Blockieren) aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Nachdem Sie die Regel hinzugefügt haben, verschieben Sie sie auf der Seite Regelpriorität festlegen über alle Regeln oder Regelgruppen in Ihrer WebsiteACL, die denselben Komponententyp untersuchen. Dadurch erhält die neue Regel eine niedrigere numerische Prioritätseinstellung, was AWS WAF um sie zuerst auszuwerten. Weitere Informationen finden Sie unter Regelpriorität in einem Web festlegen ACL.