Gestion des composants de requête Web surdimensionnés dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des composants de requête Web surdimensionnés dans AWS WAF

AWS WAF ne prend pas en charge l'inspection de contenus très volumineux pour le corps des composants de la requête Web, les en-têtes ou les cookies. Le service hôte sous-jacent est soumis à des limites de nombre et de taille pour ce qu'il transmet à AWS WAF des fins d'inspection. Par exemple, le service hôte n'envoie pas plus de 200 en-têtes à. Par conséquent AWS WAF, pour une requête Web contenant 205 en-têtes, AWS WAF vous ne pouvez pas inspecter les 5 derniers en-têtes.

Lorsque AWS WAF vous autorisez une requête Web à accéder à votre ressource protégée, l'intégralité de la demande Web est envoyée, y compris tout contenu dépassant les limites de nombre et de taille qui ont AWS WAF pu être inspectées.

Limites de taille pour l'inspection des composants

Les limites de taille d'inspection des composants sont les suivantes :

  • Bodyet JSON Body — Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une demande. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans votre configuration ACL Web. Pour plus d’informations, consultez Gestion des limites de taille des organismes inspectés.

  • Headers— AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte.

  • Cookies— AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des cookies de demande et au plus les 200 premiers cookies. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte.

Options de gestion surdimensionnées pour vos déclarations de règles

Lorsque vous rédigez une instruction de règle qui inspecte l'un de ces types de composants de demande, vous spécifiez comment gérer les composants surdimensionnés. La gestion des surdimensionnements indique AWS WAF ce qu'il faut faire avec une requête Web lorsque le composant de demande inspecté par la règle dépasse les limites de taille.

Les options de gestion des composants surdimensionnés sont les suivantes :

  • Continue— Inspectez le composant de demande normalement conformément aux critères d'inspection des règles. AWS WAF inspectera le contenu du composant de la demande qui respecte les limites de taille.

  • Match— Traitez la requête Web comme correspondant à l'énoncé de règle. AWS WAF applique l'action de règle à la demande sans l'évaluer par rapport aux critères d'inspection de la règle.

  • No match— Traitez la requête Web comme ne correspondant pas à l'énoncé de règle sans l'évaluer par rapport aux critères d'inspection de la règle. AWS WAF poursuit son inspection de la requête Web en utilisant le reste des règles de l'ACL Web comme il le ferait pour toute règle non correspondante.

Dans la AWS WAF console, vous devez choisir l'une de ces options de gestion. En dehors de la console, l'option par défaut estContinue.

Si vous utilisez cette Match option dans une règle dont l'action est définie surBlock, la règle bloquera une demande dont le composant inspecté est surdimensionné. Quelle que soit la configuration, la disposition finale de la demande dépend de divers facteurs, tels que la configuration des autres règles de votre ACL Web et le paramètre d'action par défaut de l'ACL Web.

Gestion des surdimensionnements dans des groupes de règles dont vous n'êtes pas le propriétaire

Les limites de taille et de nombre de composants s'appliquent à toutes les règles que vous utilisez dans votre ACL Web. Cela inclut toutes les règles que vous utilisez mais que vous ne gérez pas, dans les groupes de règles gérés et dans les groupes de règles partagés avec vous par un autre compte.

Lorsque vous utilisez un groupe de règles que vous ne gérez pas, celui-ci peut comporter une règle qui inspecte un composant de demande limité, mais qui ne gère pas les contenus surdimensionnés comme vous le souhaitez. Pour plus d'informations sur la façon dont les règles AWS gérées gèrent les composants surdimensionnés, consultezAWS Liste des groupes de règles gérées. Pour plus d'informations sur les autres groupes de règles, adressez-vous à votre fournisseur de groupes de règles.

Directives relatives à la gestion des composants surdimensionnés dans votre ACL Web

La façon dont vous gérez les composants surdimensionnés dans votre ACL Web peut dépendre d'un certain nombre de facteurs tels que la taille attendue du contenu des composants de votre demande, le traitement des demandes par défaut de votre ACL Web et la manière dont les autres règles de votre ACL Web correspondent et traitent les demandes.

Les directives générales relatives à la gestion des composants de requêtes Web surdimensionnés sont les suivantes :

  • Si vous devez autoriser certaines demandes dont le contenu des composants est surdimensionné, ajoutez si possible des règles pour n'autoriser explicitement que ces demandes. Priorisez ces règles afin qu'elles s'exécutent avant toutes les autres règles de l'ACL Web qui inspectent les mêmes types de composants. Avec cette approche, vous ne pourrez pas AWS WAF inspecter l'intégralité du contenu des composants surdimensionnés que vous autorisez à transmettre à votre ressource protégée.

  • Pour toutes les autres demandes, vous pouvez empêcher tout octet supplémentaire de passer en bloquant les demandes qui dépassent la limite :

    • Vos règles et groupes de règles : dans vos règles qui inspectent les composants soumis à des limites de taille, configurez la gestion des surdimensionnements afin de bloquer les demandes dépassant cette limite. Par exemple, si votre règle bloque les demandes dont le contenu d'en-tête est spécifique, définissez la gestion des en-têtes surdimensionnés de manière à ce qu'elle corresponde aux demandes dont le contenu d'en-tête est surdimensionné. Sinon, si votre ACL Web bloque les demandes par défaut et que votre règle autorise un contenu d'en-tête spécifique, configurez la gestion du surdimensionnement de votre règle pour qu'elle ne corresponde à aucune demande dont le contenu d'en-tête est surdimensionné.

    • Groupes de règles que vous ne gérez pas : pour empêcher les groupes de règles que vous ne gérez pas d'autoriser des composants de demande surdimensionnés, vous pouvez ajouter une règle distincte qui inspecte le type de composant de demande et bloque les demandes qui dépassent les limites. Priorisez la règle dans votre ACL Web afin qu'elle s'exécute avant les groupes de règles. Par exemple, vous pouvez bloquer les demandes dont le contenu du corps est surdimensionné avant que l'une de vos règles d'inspection corporelle ne soit exécutée dans l'ACL Web. La procédure suivante décrit comment ajouter ce type de règle.

Pour ajouter une règle bloquant les contenus surdimensionnés

  1. Lorsque vous créez ou modifiez votre ACL Web, dans les paramètres des règles, choisissez Ajouter des règles, Ajouter mes propres règles et groupes de règles, Générateur de règles, puis Éditeur visuel de règles. Pour obtenir des conseils sur la création ou la modification d'une ACL Web, consultezUtilisation des listes ACL web.

  2. Entrez un nom pour votre règle et laissez le paramètre Type sur Règle normale.

  3. Modifiez les paramètres de correspondance suivants par rapport à leurs valeurs par défaut :

    1. Dans Statement, pour Inspect, ouvrez le menu déroulant et choisissez le composant de requête Web dont vous avez besoin, soit Body, Headers, soit Cookies.

    2. Pour Type de correspondance, choisissez Taille supérieure à.

    3. Pour Taille, tapez un nombre correspondant au moins à la taille minimale pour le type de composant. Pour les en-têtes et les cookies, tapez8192. Dans Application Load Balancer ou dans les ACL AWS AppSync Web, pour les corps, tapez. 8192 Pour les corps dans CloudFront les ACL Web API Gateway, Amazon Cognito, App Runner ou Verified Access, si vous utilisez la limite de taille par défaut, tapez. 16384 Sinon, saisissez la limite de taille que vous avez définie pour votre ACL Web.

    4. Pour la gestion des objets surdimensionnés, sélectionnez Faire correspondre.

  4. Pour Action, sélectionnez Bloquer.

  5. Choisissez Ajouter une règle.

  6. Après avoir ajouté la règle, sur la page Définir la priorité des règles, déplacez-la au-dessus des règles ou des groupes de règles de votre ACL Web qui inspectent le même type de composant. Cela lui donne un paramètre de priorité numérique inférieur, ce qui oblige AWS WAF à l'évaluer en premier. Pour plus d'informations, voir Ordre de traitement des règles et des groupes de règles dans une ACL Web.