의 웹 요청 구성 요소 크기 초과 AWS WAF - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 웹 요청 구성 요소 크기 초과 AWS WAF

이 섹션에서는 AWS WAF에서 웹 요청 본문, 헤더, 쿠키 검사 시 크기 제한을 관리하는 방법을 설명합니다.

AWS WAF 는 웹 요청 구성 요소 본문, 헤더 또는 쿠키에 대한 매우 큰 콘텐츠 검사를 지원하지 않습니다. 기본 호스트 서비스에는 검사를 AWS WAF 위해 전달되는 대상에 대한 개수 및 크기 제한이 있습니다. 예를 들어 호스트 서비스는에 200개 이상의 헤더를 전송하지 않으므로 AWS WAF헤더가 205개인 웹 요청의 경우는 마지막 헤더 5개를 검사할 AWS WAF 수 없습니다.

에서 웹 요청이 보호된 리소스로 진행되도록 허용하면 AWS WAF 가 검사할 AWS WAF 수 있었던 개수 및 크기 제한을 벗어난 콘텐츠를 포함하여 전체 웹 요청이 전송됩니다.

구성 요소 검사 크기 제한

구성 요소 검사 크기 제한은 다음과 같습니다.

  • BodyJSON Body - Application Load Balancer 및의 경우는 요청 본문의 처음 8KB를 AWS AppSync AWS WAF 검사할 수 있습니다. CloudFront의 경우 API Gateway, Amazon Cognito, App Runner 및 Verified Access는 기본적으로 처음 16KB를 AWS WAF 검사할 수 있으며 웹 ACL 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. 자세한 내용은 AWS WAF에 대한 본문 검사 크기 제한 관리 단원을 참조하십시오.

  • Headers – 요청 헤더의 최대 처음 8KB(8,192바이트)와 최대 처음 200개의 헤더를 검사할 AWS WAF 수 있습니다. 콘텐츠는 첫 번째 한도에 도달한 AWS WAF 시점까지 검사에 사용할 수 있습니다.

  • Cookies - 요청 쿠키의 최대 처음 8KB(8,192바이트)와 최대 처음 200개의 쿠키를 검사할 AWS WAF 수 있습니다. 콘텐츠는 첫 번째 한도에 도달한 AWS WAF 시점까지 검사에 사용할 수 있습니다.

규칙 문에 대한 과대 처리 옵션

이러한 요청 구성 요소 유형 중 하나를 검사하는 규칙 문을 작성할 때 과대 구성 요소를 처리하는 방법을 지정합니다. 크기 초과 처리는 규칙이 검사하는 요청 구성 요소가 크기 제한을 초과할 때 웹 요청으로 AWS WAF 수행할 작업을 알려줍니다.

과대 처리 구성 요소의 옵션은 다음과 같습니다.

  • Continue - 규칙 검사 기준에 따라 요청 구성 요소를 정상적으로 검사합니다. AWS WAF 는 크기 제한 내에 있는 요청 구성 요소 콘텐츠를 검사합니다.

  • Match - 웹 요청을 규칙 문과 일치하는 것으로 취급합니다.는 규칙의 검사 기준에 따라 평가하지 않고 요청에 규칙 작업을 AWS WAF 적용합니다.

  • No match - 웹 요청을 규칙의 검사 기준과 비교하여 평가하지 않고 규칙 문과 일치하지 않는 것으로 처리합니다.는 일치하지 않는 규칙에 대해와 ACL 마찬가지로 웹의 나머지 규칙을 사용하여 웹 요청 검사를 AWS WAF 계속합니다.

AWS WAF 콘솔에서 이러한 처리 옵션 중 하나를 선택해야 합니다. 콘솔 외부에서 기본 옵션은 입니다.Continue.

를 사용하는 경우 Match 작업이 로 설정된 규칙의 옵션 Block, 규칙은 검사된 구성 요소가 크기 초과인 요청을 차단합니다. 다른 구성의 경우 요청의 최종 처리는 웹의 다른 규칙 구성 ACL 및 웹의 ACL기본 작업 설정과 같은 다양한 요인에 따라 달라집니다.

사용자가 소유하지 않는 규칙 그룹의 과대 처리

구성 요소 크기 및 개수 제한은 웹에서 사용하는 모든 규칙에 적용됩니다ACL. 여기에는 관리형 규칙 그룹과 다른 계정이 사용자와 공유하는 규칙 그룹에서 사용자가 사용하지만 관리하지 않는 모든 규칙이 포함됩니다.

관리하지 않는 규칙 그룹을 사용하는 경우 제한된 요청 구성 요소를 검사하지만 사용자가 원하는 처리 방식으로 과대 콘텐츠를 처리하지 않는 규칙이 규칙 그룹에 있을 수 있습니다. AWS 관리형 규칙이 과대 구성 요소를 관리하는 방법에 대한 자세한 내용은 섹션을 참조하세요AWS 관리형 규칙 규칙 그룹 목록. 다른 규칙 그룹에 대한 자세한 내용은 규칙 그룹 공급자에게 문의하십시오.

웹에서 과대 구성 요소를 관리하기 위한 지침 ACL

웹에서 과대 구성 요소를 처리하는 방법은 요청 구성 요소 콘텐츠의 예상 크기, 웹ACL의 기본 요청 처리, 웹의 다른 규칙이 요청을 ACL 일치시키고 처리하는 방식과 같은 여러 요인에 따라 달라질 ACL 수 있습니다.

과대 웹 요청 구성 요소를 관리하기 위한 일반 지침은 다음과 같습니다.

  • 과대 구성 요소 콘텐츠를 포함하는 일부 요청을 허용해야 하는 경우 가능하면 그러한 요청만 명시적으로 허용하는 규칙을 추가합니다. 동일한 구성 요소 유형을 검사ACL하는 웹의 다른 규칙보다 먼저 실행되도록 해당 규칙의 우선 순위를 지정합니다. 이 접근 방식을 사용하면를 사용하여가 보호된 리소스 AWS WAF 로 전달할 수 있도록 허용하는 크기 초과 구성 요소의 전체 내용을 검사할 수 없습니다.

  • 다른 모든 요청의 경우 제한을 초과하는 요청을 차단하여 추가 바이트가 전달되지 않도록 할 수 있습니다.

    • 규칙 및 규칙 그룹 - 크기 제한이 있는 구성 요소를 검사하는 규칙에서 제한을 초과하는 요청을 차단하도록 과대 처리를 구성합니다. 예를 들어, 규칙이 특정 헤더 콘텐츠를 포함하는 요청을 차단하는 경우 과대 처리를 과대 헤더 콘텐츠가 있는 요청과 일치하도록 설정합니다. 또는 웹이 기본적으로 요청을 ACL 차단하고 규칙이 특정 헤더 콘텐츠를 허용하는 경우, 초과 크기 헤더 콘텐츠가 있는 요청과 일치하지 않도록 규칙의 초과 크기 처리를 구성합니다.

    • 관리하지 않는 규칙 그룹 - 관리하지 않는 규칙 그룹이 과대 요청 구성 요소를 허용하지 않도록 하려면 요청 구성 요소 유형을 검사하고 제한을 초과하는 요청을 차단하는 별도의 규칙을 추가할 수 있습니다. 규칙 그룹보다 먼저 실행ACL되도록 웹에서 규칙의 우선 순위를 지정합니다. 예를 들어, 본문 검사 규칙이 웹에서 실행되기 전에 본문 콘텐츠의 크기가 큰 요청을 차단할 수 있습니다ACL. 다음 절차에서 이 규칙 유형을 추가하는 방법을 설명합니다.

과대 웹 요청 구성 요소 차단

웹에 대형 구성 요소가 있는 요청을 차단ACL하는 규칙을 추가할 수 있습니다.

과대 콘텐츠를 차단하는 규칙을 추가하려면
  1. 웹를 생성하거나 편집할 때 규칙 설정ACL에서 규칙 추가, 내 자체 규칙 및 규칙 그룹 추가, 규칙 빌더, 규칙 시각적 편집기를 선택합니다. 웹 생성 또는 편집에 대한 지침은 섹션을 ACL참조하세요AWS WAF에서 웹 트래픽 지표 보기.

  2. 규칙의 이름을 입력하고 유형 설정은 일반 규칙으로 그대로 둡니다.

  3. 다음 일치 설정을 기본값에서 다른 값ㅇ로 변경합니다.

    1. 명령문에서 검사의 드롭다운을 열고 필요한 웹 요청 구성 요소(본문, 헤더 또는 쿠키)를 선택합니다.

    2. 검색 유형에서 크기 초과를 선택합니다.

    3. 크기에는 구성 요소 유형의 최소 크기 이상인 숫자를 입력합니다. 헤더 및 쿠키에 8192를 입력합니다. Application Load Balancer 또는 AWS AppSync 웹에서 본문ACLs에를 입력합니다8192. 의 본문 CloudFront, API Gateway, Amazon Cognito, App Runner 또는 Verified Access 웹의 경우 기본 본문 크기 제한을 사용하는 ACLs경우를 입력합니다16384. 그렇지 않으면 웹에 대해 정의한 본문 크기 제한을 입력합니다ACL.

    4. 과대를 처리하려면 일치를 선택합니다.

  4. 작업에서 차단을 선택합니다.

  5. 규칙 추가를 선택합니다.

  6. 규칙을 추가한 후 규칙 우선 순위 설정 페이지에서 동일한 구성 요소 유형을 검사ACL하는 웹의 규칙 또는 규칙 그룹 위로 규칙을 이동합니다. 이렇게 하면 새 규칙의 숫자 우선 순위 설정이 낮아져 AWS WAF 가 먼저 평가합니다. 자세한 내용은 웹 ACL에서 규칙 우선 순위 설정 단원을 참조하십시오.