Übergroße Webanforderungskomponenten in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit
Blockieren übergroßer Komponenten

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übergroße Webanforderungskomponenten in AWS WAF

In diesem Abschnitt wird erklärt, wie Sie die Größenbeschränkungen für die Überprüfung des Hauptteils, der Header und der darin enthaltenen Cookies für Webanfragen verwalten. AWS WAF

AWS WAF unterstützt nicht die Überprüfung sehr großer Inhalte für den Hauptteil, die Header oder die Cookies der Webanforderungskomponenten. Der zugrundeliegende Hostdienst hat Beschränkungen hinsichtlich der Anzahl und Größe der Daten, an die er zur AWS WAF Überprüfung weiterleitet. Beispielsweise sendet der Hostdienst nicht mehr als 200 Header an AWS WAF, sodass bei einer Webanfrage mit 205 Headern die letzten 5 Header nicht überprüft AWS WAF werden können.

Wenn AWS WAF eine Webanfrage an Ihre geschützte Ressource weitergeleitet werden kann, wird die gesamte Webanforderung gesendet, einschließlich aller Inhalte, die außerhalb der Anzahl und Größenbeschränkungen liegen, die überprüft werden AWS WAF konnten.

Größenbeschränkungen bei der Inspektion von Komponenten

Die Größenbeschränkungen für die Inspektion von Komponenten lauten wie folgt:

  • Bodyund JSON Body — Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrem Protection Pack oder Ihrer Web-ACL-Konfiguration auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter Verwaltung der Größenbeschränkungen bei der Körperinspektion für AWS WAF.

  • Headers— AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden.

  • Cookies— AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit eingesehen werden.

Überdimensionierte Bearbeitungsoptionen für Ihre Regelaussagen

Wenn Sie eine Regelanweisung schreiben, die einen dieser Anforderungskomponententypen untersucht, geben Sie an, wie mit übergroßen Komponenten umgegangen werden soll. Die Behandlung von Übergrößen gibt an, AWS WAF was mit einer Webanforderung geschehen soll, wenn die von der Regel untersuchte Anforderungskomponente die Größenbeschränkungen überschreitet.

Die Optionen für den Umgang mit übergroßen Komponenten lauten wie folgt:

  • Continue— Untersuchen Sie die Anforderungskomponente auf normale Weise gemäß den Prüfkriterien der Regel. AWS WAF überprüft den Inhalt der Anforderungskomponente, der innerhalb der Größenbeschränkungen liegt.

  • Match— Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an, ohne sie anhand der Prüfkriterien der Regel zu bewerten.

  • No match— Behandelt die Webanforderung als nicht übereinstimmend mit der Regelaussage, ohne sie anhand der Prüfkriterien der Regel zu bewerten. AWS WAF setzt die Prüfung der Webanforderung fort und verwendet dabei die restlichen Regeln im Schutzpaket oder in der Web-ACL, so wie dies bei jeder Regel der Fall wäre, die nicht übereinstimmend ist.

In der AWS WAF Konsole müssen Sie eine dieser Behandlungsoptionen auswählen. Außerhalb der Konsole ist die StandardoptionContinue.

Wenn Sie die Match Option in einer Regel verwenden, deren Aktion auf gesetzt istBlock, blockiert die Regel eine Anfrage, deren überprüfte Komponente zu groß ist. Bei jeder anderen Konfiguration hängt die endgültige Bearbeitung der Anfrage von verschiedenen Faktoren ab, z. B. von der Konfiguration der anderen Regeln in Ihrem Protection Pack oder Ihrer Web-ACL und der Standardaktionseinstellung des Protection Packs oder der Web-ACL.

Umgang mit überdimensionalen Regelgruppen, deren Eigentümer Sie nicht sind

Beschränkungen für die Größe und Anzahl der Komponenten gelten für alle Regeln, die Sie in Ihrem Protection Pack oder Ihrer Web-ACL verwenden. Dazu gehören alle Regeln, die Sie verwenden, aber nicht verwalten, in verwalteten Regelgruppen und in Regelgruppen, die von einem anderen Konto für Sie freigegeben wurden.

Wenn Sie eine Regelgruppe verwenden, die Sie nicht verwalten, verfügt die Regelgruppe möglicherweise über eine Regel, die eine eingeschränkte Anforderungskomponente überprüft, übergroße Inhalte jedoch nicht so behandelt, wie Sie sie benötigen. Informationen darüber, wie AWS verwaltete Regeln übergroße Komponenten verwalten, finden Sie unter. AWS Liste der Regelgruppen für verwaltete Regeln Wenden Sie sich an Ihren Regelgruppenanbieter, um Informationen zu anderen Regelgruppen zu erhalten.

Richtlinien für die Verwaltung übergroßer Komponenten in Ihrem Protection Pack oder Ihrer Web-ACL

Die Art und Weise, wie Sie mit übergroßen Komponenten in Ihrem Protection Pack oder Ihrer Web-ACL umgehen, kann von einer Reihe von Faktoren abhängen, z. B. von der erwarteten Größe des Inhalts Ihrer Anforderungskomponente, der standardmäßigen Anforderungsbehandlung Ihres Schutzpakets oder Ihrer Web-ACL und davon, wie andere Regeln in Ihrem Protection Pack oder Ihrer Web-ACL Anfragen zuordnen und verarbeiten.

Die allgemeinen Richtlinien für die Verwaltung überdimensionierter Komponenten für Webanfragen lauten wie folgt:

  • Wenn Sie Anforderungen mit übergroßen Komponenteninhalten zulassen müssen, fügen Sie nach Möglichkeit Regeln hinzu, um nur diese Anforderungen explizit zuzulassen. Ordnen Sie diesen Regeln Priorität zu, sodass sie vor allen anderen Regeln im Schutzpaket oder in der Web-ACL ausgeführt werden, die dieselben Komponententypen überprüfen. Mit diesem Ansatz können Sie nicht den gesamten Inhalt der überdimensionierten Komponenten überprüfen, die Sie an Ihre geschützte Ressource weitergeben dürfen. AWS WAF

  • Für alle anderen Anforderungen können Sie verhindern, dass zusätzliche Bytes übergeben werden, indem Sie Anforderungen blockieren, die das Limit überschreiten:

    • Ihre Regeln und Regelgruppen — Konfigurieren Sie in Ihren Regeln zur Prüfung von Komponenten mit Größenbeschränkungen den Umgang mit überdimensionalen Komponenten so, dass Sie Anfragen blockieren, die das Limit überschreiten. Wenn Ihre Regel beispielsweise Anfragen mit bestimmten Header-Inhalten blockiert, legen Sie die Behandlung von Übergrößen so fest, dass sie auch Anfragen mit übergroßen Header-Inhalten entspricht. Wenn Ihr Schutzpaket oder Ihre Web-ACL Anfragen standardmäßig blockiert und Ihre Regel bestimmte Header-Inhalte zulässt, konfigurieren Sie die Behandlung von Übergrößen Ihrer Regel so, dass sie bei Anfragen mit übergroßen Header-Inhalten nicht übereinstimmt.

    • Regelgruppen, die Sie nicht verwalten – Um zu verhindern, dass Regelgruppen, die Sie nicht verwalten, übergroße Anforderungskomponenten zulassen, können Sie eine separate Regel hinzufügen, die den Anforderungskomponententyp überprüft und Anforderungen blockiert, die Grenzwerte überschreiten. Priorisieren Sie die Regel in Ihrem Schutzpaket oder Ihrer Web-ACL, sodass sie vor den Regelgruppen ausgeführt wird. Sie können beispielsweise Anfragen mit übergroßem Hauptteil blockieren, bevor eine Ihrer Regeln zur Überprüfung des Hauptteils im Schutzpaket oder in der Web-ACL ausgeführt wird. Im folgenden Verfahren wird beschrieben, wie dieser Regeltyp hinzugefügt wird.

Blockieren von überdimensionierten Komponenten für Webanfragen

Sie können Ihrem Schutzpaket oder Ihrer Web-ACL eine Regel hinzufügen, die Anfragen mit übergroßen Komponenten blockiert.

So fügen Sie eine Regel hinzu, die übergroße Inhalte blockiert

  1. Wenn Sie Ihr Schutzpaket oder Ihre Web-ACL erstellen oder bearbeiten, wählen Sie in den Regeleinstellungen die Optionen Regeln hinzufügen, Eigene Regeln und Regelgruppen hinzufügen, Rule Builder und dann Visual Editor für Regeln aus. Anleitungen zum Erstellen oder Bearbeiten eines Protection Packs oder einer Web-ACL finden Sie unterMetriken zum Web-Traffic anzeigen in AWS WAF.

  2. Geben Sie einen Namen für die Regel ein und lassen Sie die Einstellung Type (Typ) auf Regular rule (Reguläre Regel) eingestellt.

  3. Ändern Sie die folgenden Übereinstimmungseinstellungen:

    1. Öffnen Sie unter Statement (Anweisung) das Drop-down-Menü für Inspect (Untersuchen) und wählen Sie die benötigte Webanforderungskomponente aus, also entweder Body (Text), Headers (Header) oder Cookies.

    2. Wählen Sie für Match type (Übereinstimmungstyp) die Option Size greater than (Größe größer als) aus.

    3. Geben Sie unter Größe eine Zahl ein, die mindestens der Mindestgröße für den Komponententyp entspricht. Geben Sie für Header und Cookies Folgendes ein8192. Geben 8192 Sie in Application Load Balancer ACLs, AWS AppSync Protection Pack oder Web für Körper den folgenden Wert ein. Geben 16384 Sie für Textkörper in CloudFront API Gateway, Amazon Cognito, App Runner oder Verified Access Protection Pack oder Web ein ACLs, wenn Sie die standardmäßige Körpergrößenbeschränkung verwenden. Geben Sie andernfalls die Körpergrößenbeschränkung ein, die Sie für Ihr Protection Pack oder Ihre Web-ACL definiert haben.

    4. Wählen Sie für Oversize handling (Handhabung zu großer Inhalte) die Option Match (Übereinstimmung) aus.

  4. Wählen Sie für Action (Aktion) die Option Block (Blockieren) aus.

  5. Wählen Sie Regel hinzufügen aus.

  6. Nachdem Sie die Regel hinzugefügt haben, verschieben Sie sie auf der Seite Regelpriorität festlegen über alle Regeln oder Regelgruppen in Ihrem Protection Pack oder Ihrer Web-ACL, die denselben Komponententyp untersuchen. Dadurch erhält die neue Regel eine niedrigere numerische Priorität, weshalb AWS WAF sie zuerst ausgewertet wird. Weitere Informationen finden Sie unter Regelpriorität festlegen.