Sobredimensionar los componentes de las solicitudes web en AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
Bloqueo de componentes sobredimensionados

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sobredimensionar los componentes de las solicitudes web en AWS WAF

En esta sección se explica cómo administrar los límites de tamaño al inspeccionar el cuerpo, los encabezados y las cookies de la solicitud web en AWS WAF.

AWS WAF no admite la inspección de contenidos muy grandes para el cuerpo, los encabezados o las cookies de los componentes de las solicitudes web. El servicio de alojamiento subyacente tiene límites de recuento y tamaño en cuanto a lo que reenvía para AWS WAF su inspección. Por ejemplo, el servicio de alojamiento no envía más de 200 encabezados, por lo que AWS WAF, en el caso de una solicitud web con 205 encabezados, no AWS WAF puede inspeccionar los últimos 5 encabezados.

Cuando se AWS WAF permite que una solicitud web pase a tu recurso protegido, se envía la solicitud web completa, incluido el contenido que se encuentra fuera de los límites de recuento y tamaño que AWS WAF se pudieron inspeccionar.

Límites de tamaño de inspección de componentes

Los límites de tamaño de inspección de los componentes son los siguientes:

  • Bodyy JSON Body — Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en su paquete de protección o en la configuración de ACL web. Para obtener más información, consulte Gestión de los límites de tamaño de inspección corporal para AWS WAF.

  • Headers— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

  • Cookies— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de las cookies solicitadas y, como máximo, las 200 primeras cookies. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

Opciones de gestión del sobredimensionamiento para sus instrucciones de reglas

Cuando escriba una instrucción de regla que inspecciona uno de estos tipos de componentes de solicitud, especifique cómo gestionar los componentes sobredimensionados. El manejo del tamaño excesivo indica AWS WAF qué hacer con una solicitud web cuando el componente de la solicitud que la regla inspecciona supera los límites de tamaño.

Las opciones de gestión de componentes sobredimensionados son las siguientes:

  • Continue— Inspeccione el componente de la solicitud normalmente de acuerdo con los criterios de inspección de la regla. AWS WAF inspeccionará el contenido del componente solicitado que se encuentre dentro de los límites de tamaño.

  • Match— Considera que la solicitud web coincide con el enunciado de la regla. AWS WAF aplica la acción de la regla a la solicitud sin evaluarla en función de los criterios de inspección de la regla.

  • No match— Considera que la solicitud web no coincide con el enunciado de la regla sin evaluarla en función de los criterios de inspección de la regla. AWS WAF continúa inspeccionando la solicitud web utilizando el resto de las reglas del paquete de protección o la ACL web, como lo haría con cualquier regla que no coincida.

En la AWS WAF consola, debes elegir una de estas opciones de gestión. Fuera de la consola, la opción predeterminada es Continue.

Si utiliza la opción Match en una regla cuya acción esté establecida en Block, la regla bloqueará una solicitud cuyo componente inspeccionado esté sobredimensionado. Con cualquier otra configuración, la resolución final de la solicitud depende de varios factores, como la configuración de las demás reglas del paquete de protección o ACL web y la configuración de acción predeterminada del paquete de protección o ACL web.

Gestión de sobredimensionamiento en grupos de reglas que no le pertenecen

Las limitaciones de tamaño y número de componentes se aplican a todas las reglas que utilice en su paquete de protección o ACL web. Esto incluye todas las reglas que utilice pero no administre en los grupos de reglas administradas y en los grupos de reglas que otra cuenta comparta con usted.

Cuando utilice un grupo de reglas que no administre, es posible que el grupo de reglas tenga una regla que inspeccione un componente de solicitud limitado, pero que no gestione el contenido sobredimensionado de la forma en que necesita que se gestione. Para obtener información sobre cómo las reglas AWS administradas administran los componentes de gran tamaño, consulteAWS Lista de grupos de reglas de Managed Rules. Para obtener información sobre otros grupos de reglas, pregunte a su proveedor de grupos de reglas.

Directrices para administrar componentes sobredimensionados en su paquete de protección o ACL web

La forma en que gestione los componentes sobredimensionados de su paquete de protección o ACL web puede depender de varios factores, como el tamaño esperado del contenido de los componentes de la solicitud, la gestión predeterminada de las solicitudes por parte del paquete de protección o ACL web y la forma en que otras reglas de su paquete de protección o ACL web abordan y gestionan las solicitudes.

Las pautas generales para administrar los componentes sobredimensionados de solicitudes web son las siguientes:

  • Si necesita permitir algunas solicitudes con un contenido de componentes sobredimensionados, si es posible, añada reglas para permitir explícitamente solo esas solicitudes. Priorice esas reglas para que se ejecuten antes que cualquier otra regla del paquete de protección o de la ACL web que inspeccione los mismos tipos de componentes. Con este enfoque, no podrá AWS WAF inspeccionar todo el contenido de los componentes de gran tamaño que permite pasar a su recurso protegido.

  • Para todas las demás solicitudes, puede evitar que pasen bytes adicionales bloqueando las solicitudes que superen el límite:

    • Sus reglas y grupos de reglas: en las reglas que inspeccionan los componentes con límites de tamaño, configure la gestión del sobredimensionamiento para bloquear las solicitudes que superen el límite. Por ejemplo, si su regla bloquea las solicitudes con un contenido de encabezado específico, configure la gestión del sobredimensionamiento para que coincida con las solicitudes que tienen un contenido de encabezado sobredimensionado. Como alternativa, si el paquete de protección o la ACL web bloquean las solicitudes de forma predeterminada y la regla permite un contenido de encabezado específico, configure el manejo del tamaño excesivo de la regla para que no coincida con ninguna solicitud que tenga un contenido de encabezado sobredimensionado.

    • Grupos de reglas que no administra: para evitar que los grupos de reglas que no administra permitan componentes de solicitudes sobredimensionados, puede agregar una regla independiente que inspeccione el tipo de componente de solicitud y bloquee las solicitudes que sobrepasen los límites. Priorice la regla en su paquete de protección o ACL web para que se ejecute antes que los grupos de reglas. Por ejemplo, puede bloquear las solicitudes cuyo contenido sea demasiado grande antes de que alguna de las reglas de inspección corporal se incluya en el paquete de protección o en la ACL web. El siguiente procedimiento describe cómo agregar este tipo de regla.

Bloqueo de componentes de solicitudes web sobredimensionados

Puede añadir una regla a su paquete de protección o ACL web que bloquee las solicitudes con componentes sobredimensionados.

Cómo agregar una regla que bloquee el contenido sobredimensionado

  1. Al crear o editar su paquete de protección o ACL web, en la configuración de reglas, elija Agregar reglas, Agregar mis propias reglas y grupos de reglas, Generador de reglas y, por último, Editor visual de reglas. Para obtener instrucciones sobre cómo crear o editar un paquete de protección o una ACL web, consulteVer las métricas de tráfico web en AWS WAF.

  2. Introduzca un nombre para la regla y deje la opción Tipo en Regla normal.

  3. Cambia las siguientes configuraciones de coincidencia de sus valores predeterminados:

    1. En Instrucción, en Inspeccionar, abra el menú desplegable y elija el componente de solicitud web que necesite: Cuerpo, Encabezados o Cookies.

    2. En Tipo de coincidencia, seleccione Tamaño mayor que.

    3. En Tamaño, escriba un número que sea al menos el tamaño mínimo para el tipo de componente. En encabezados y cookies, escriba 8192. En Application Load Balancer o paquete de AWS AppSync protección o web ACLs, para cuerpos, escriba. 8192 Para los cuerpos que se encuentren en CloudFront API Gateway, Amazon Cognito, App Runner o Verified Access protection pack o web ACLs, si utiliza el límite de tamaño corporal predeterminado, escriba. 16384 De lo contrario, escriba el límite de tamaño corporal que ha definido para su paquete de protección o ACL web.

    4. Para Administrar sobredimensionamiento, seleccione Coincidencia.

  4. En Acción, seleccione Bloquear.

  5. Seleccione Agregar regla.

  6. Tras añadir la regla, en la página Definir la prioridad de la regla, colóquela por encima de cualquier regla o grupo de reglas del paquete de protección o de la ACL web que inspeccione el mismo tipo de componente. Esto le da a la nueva regla una configuración de prioridad numérica más baja, lo que hace AWS WAF que la evalúe primero. Para obtener más información, consulte Establecer la prioridad de las reglas.