Manejo de componentes de solicitudes sobredimensionadas en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Bloquear componentes sobredimensionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Manejo de componentes de solicitudes sobredimensionadas en AWS WAF

AWS WAF no admite la inspección de contenidos muy grandes para el cuerpo, los encabezados o las cookies de los componentes de las solicitudes web. El servicio de alojamiento subyacente tiene límites de recuento y tamaño en cuanto a lo que reenvía para AWS WAF su inspección. Por ejemplo, el servicio de alojamiento no envía más de 200 encabezados, por lo que AWS WAF, en el caso de una solicitud web con 205 encabezados, no AWS WAF puede inspeccionar los últimos 5 encabezados.

Cuando se AWS WAF permite que una solicitud web pase a tu recurso protegido, se envía la solicitud web completa, incluido el contenido que se encuentra fuera de los límites de recuento y tamaño que AWS WAF se pudieron inspeccionar.

Límites de tamaño de inspección de componentes

Los límites de tamaño de inspección de los componentes son los siguientes:

  • Bodyy JSON Body — Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en su configuración de ACL web. Para obtener más información, consulte Gestión de los límites de tamaño de la inspección corporal.

  • Headers— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

  • Cookies— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de las cookies solicitadas y, como máximo, las 200 primeras cookies. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

Opciones de gestión del sobredimensionamiento para sus instrucciones de reglas

Cuando escriba una instrucción de regla que inspecciona uno de estos tipos de componentes de solicitud, especifique cómo gestionar los componentes sobredimensionados. El manejo del tamaño excesivo indica AWS WAF qué hacer con una solicitud web cuando el componente de la solicitud que la regla inspecciona supera los límites de tamaño.

Las opciones de gestión de componentes sobredimensionados son las siguientes:

  • Continue— Inspeccione el componente de la solicitud normalmente de acuerdo con los criterios de inspección de la regla. AWS WAF inspeccionará el contenido del componente solicitado que se encuentre dentro de los límites de tamaño.

  • Match— Considera que la solicitud web coincide con el enunciado de la regla. AWS WAF aplica la acción de la regla a la solicitud sin evaluarla en función de los criterios de inspección de la regla.

  • No match— Considera que la solicitud web no coincide con el enunciado de la regla sin evaluarla en función de los criterios de inspección de la regla. AWS WAF continúa inspeccionando la solicitud web utilizando el resto de las reglas de la ACL web, como lo haría con cualquier regla que no coincida.

En la AWS WAF consola, debes elegir una de estas opciones de gestión. Fuera de la consola, la opción predeterminada es Continue.

Si utiliza la opción Match en una regla cuya acción esté establecida en Block, la regla bloqueará una solicitud cuyo componente inspeccionado esté sobredimensionado. Con cualquier otra configuración, la disposición final de la solicitud depende de varios factores, como la configuración de las demás reglas de la ACL web y la configuración de acción predeterminada de la ACL web.

Gestión de sobredimensionamiento en grupos de reglas que no le pertenecen

Las limitaciones de tamaño y número de componentes se aplican a todas las reglas que utilice en su ACL web. Esto incluye todas las reglas que utilice pero no administre en los grupos de reglas administrados y en los grupos de reglas que otra cuenta comparta con usted.

Cuando utilice un grupo de reglas que no administre, es posible que el grupo de reglas tenga una regla que inspeccione un componente de solicitud limitado, pero que no gestione el contenido sobredimensionado de la forma en que necesita que se gestione. Para obtener información sobre cómo las reglas AWS administradas administran los componentes de gran tamaño, consulteAWS Lista de grupos de reglas de Managed Rules. Para obtener información sobre otros grupos de reglas, pregunte a su proveedor de grupos de reglas.

Directrices para administrar componentes sobredimensionados en su ACL web

La forma en que gestione los componentes sobredimensionados en su ACL web puede depender de varios factores, como el tamaño esperado del contenido de los componentes de la solicitud, la gestión predeterminada de las solicitudes por parte de la ACL web y la forma en que otras reglas de su ACL web establecen coincidencias y gestionan las solicitudes.

Las pautas generales para administrar los componentes sobredimensionados de solicitudes web son las siguientes:

  • Si necesita permitir algunas solicitudes con un contenido de componentes sobredimensionados, si es posible, añada reglas para permitir explícitamente solo esas solicitudes. Priorice esas reglas para que se ejecuten antes que cualquier otra regla de la ACL web que inspeccione los mismos tipos de componentes. Con este enfoque, no podrá AWS WAF inspeccionar todo el contenido de los componentes sobredimensionados que permite pasar a su recurso protegido.

  • Para todas las demás solicitudes, puede evitar que pasen bytes adicionales bloqueando las solicitudes que superen el límite:

    • Sus reglas y grupos de reglas: en las reglas que inspeccionan los componentes con límites de tamaño, configure la gestión del sobredimensionamiento para bloquear las solicitudes que superen el límite. Por ejemplo, si su regla bloquea las solicitudes con un contenido de encabezado específico, configure la gestión del sobredimensionamiento para que coincida con las solicitudes que tienen un contenido de encabezado sobredimensionado. Como alternativa, si su ACL web bloquea las solicitudes de forma predeterminada y su regla permite un contenido de encabezado específico, configure la gestión del sobredimensionamiento de la regla para que no coincida con ninguna solicitud que tenga un contenido de encabezado sobredimensionado.

    • Grupos de reglas que no administra: para evitar que los grupos de reglas que no administra permitan componentes de solicitudes sobredimensionados, puede agregar una regla independiente que inspeccione el tipo de componente de solicitud y bloquee las solicitudes que sobrepasen los límites. Dé prioridad a la regla en su ACL web para que se ejecute antes de los grupos de reglas. Por ejemplo, puede bloquear las solicitudes con un contenido de cuerpo sobredimensionado antes de que alguna de sus reglas de inspección del cuerpo se ejecute en la ACL web. El siguiente procedimiento describe cómo agregar este tipo de regla.

Bloquear componentes de solicitudes web sobredimensionados

Puede agregar una regla en su ACL web que bloquee las solicitudes con componentes sobredimensionados.

Cómo agregar una regla que bloquee el contenido sobredimensionado

  1. Al crear o editar su ACL web, en la configuración de reglas, elija Agregar reglas, Agregar mis propias reglas y grupos de reglas, Generador de reglas y, a continuación, Editor visual de reglas. Para obtener información sobre cómo crear o editar una ACL web, consulte Trabajar con ACL web.

  2. Introduzca un nombre para la regla y deje la opción Tipo en Regla normal.

  3. Cambia las siguientes configuraciones de coincidencia de sus valores predeterminados:

    1. En Instrucción, en Inspeccionar, abra el menú desplegable y elija el componente de solicitud web que necesite: Cuerpo, Encabezados o Cookies.

    2. En Tipo de coincidencia, seleccione Tamaño mayor que.

    3. En Tamaño, escriba un número que sea al menos el tamaño mínimo para el tipo de componente. Para los encabezados y las cookies, escriba. 8192 En Application Load Balancer o ACL AWS AppSync web, para cuerpos, escriba. 8192 Para los cuerpos que se encuentren en CloudFront las ACL web de API Gateway, Amazon Cognito, App Runner o Verified Access, si utiliza el límite de tamaño corporal predeterminado, escriba. 16384 De lo contrario, escriba el límite de tamaño corporal que ha definido para su ACL web.

    4. Para Gestionar sobredimensionamiento, seleccione Coincidencia.

  4. En Acción, seleccione Bloquear.

  5. Seleccione Agregar regla.

  6. Tras agregar la regla, en la página Establecer la prioridad de la regla, colóquela por encima de cualquier regla o grupo de reglas de la ACL web que inspeccione el mismo tipo de componente. Esto le da a la nueva regla una configuración de prioridad numérica más baja, lo que hace AWS WAF que la evalúe primero. Para obtener más información, consulte Procesamiento del orden de las reglas y los grupos de reglas en una ACL web.