Komponen permintaan web yang terlalu besar di AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Memblokir komponen yang terlalu besar

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Komponen permintaan web yang terlalu besar di AWS WAF

Bagian ini menjelaskan cara mengelola batas ukuran saat memeriksa badan permintaan web, header, dan cookie di. AWS WAF

AWS WAF tidak mendukung pemeriksaan konten yang sangat besar untuk badan komponen permintaan web, header, atau cookie. Layanan host yang mendasarinya memiliki batasan jumlah dan ukuran pada apa yang diteruskannya AWS WAF untuk diperiksa. Misalnya, layanan host tidak mengirim lebih dari 200 header ke AWS WAF, jadi untuk permintaan web dengan 205 header, tidak AWS WAF dapat memeriksa 5 header terakhir.

Ketika AWS WAF memungkinkan permintaan web untuk melanjutkan ke sumber daya Anda yang dilindungi, seluruh permintaan web dikirim, termasuk konten apa pun yang berada di luar batas hitungan dan ukuran yang AWS WAF dapat diperiksa.

Batas ukuran inspeksi komponen

Batas ukuran inspeksi komponen adalah sebagai berikut:

  • Bodydan JSON Body — Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam paket perlindungan atau konfigurasi ACL web. Untuk informasi selengkapnya, lihat Mengelola batas ukuran inspeksi tubuh untuk AWS WAF.

  • Headers— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai.

  • Cookies— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari cookie permintaan dan paling banyak 200 cookie pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai.

Opsi penanganan ukuran besar untuk pernyataan aturan Anda

Saat Anda menulis pernyataan aturan yang memeriksa salah satu jenis komponen permintaan ini, Anda menentukan cara menangani komponen yang terlalu besar. Penanganan oversize memberi tahu AWS WAF apa yang harus dilakukan dengan permintaan web ketika komponen permintaan yang diperiksa aturan melebihi batas ukuran.

Opsi untuk menangani komponen kebesaran adalah sebagai berikut:

  • Continue— Periksa komponen permintaan secara normal sesuai dengan kriteria inspeksi aturan. AWS WAF akan memeriksa isi komponen permintaan yang berada dalam batas ukuran.

  • Match— Perlakukan permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan tanpa mengevaluasinya terhadap kriteria inspeksi aturan.

  • No match— Perlakukan permintaan web sebagai tidak cocok dengan pernyataan aturan tanpa mengevaluasinya terhadap kriteria inspeksi aturan. AWS WAF melanjutkan inspeksi permintaan web menggunakan sisa aturan dalam paket perlindungan atau ACL web seperti yang akan dilakukan untuk aturan yang tidak cocok.

Di AWS WAF konsol, Anda harus memilih salah satu opsi penanganan ini. Di luar konsol, opsi defaultnya adalahContinue.

Jika Anda menggunakan Match opsi dalam aturan yang mengatur tindakannyaBlock, aturan akan memblokir permintaan yang komponen inspeksinya terlalu besar. Dengan konfigurasi lainnya, disposisi akhir permintaan tergantung pada berbagai faktor, seperti konfigurasi aturan lain dalam paket perlindungan Anda atau ACL web dan paket perlindungan atau pengaturan tindakan default ACL web.

Penanganan kebesaran dalam grup aturan yang tidak Anda miliki

Batasan ukuran dan jumlah komponen berlaku untuk semua aturan yang Anda gunakan dalam paket perlindungan atau ACL web Anda. Ini termasuk aturan apa pun yang Anda gunakan tetapi tidak dikelola, di grup aturan terkelola dan dalam grup aturan yang dibagikan dengan Anda oleh akun lain.

Bila Anda menggunakan grup aturan yang tidak Anda kelola, grup aturan mungkin memiliki aturan yang memeriksa komponen permintaan terbatas tetapi tidak menangani konten berukuran besar seperti yang Anda butuhkan untuk ditangani. Untuk informasi tentang cara Aturan AWS Terkelola mengelola komponen yang terlalu besar, lihatAWS Daftar grup aturan Aturan Terkelola. Untuk informasi tentang grup aturan lain, tanyakan kepada penyedia grup aturan Anda.

Pedoman untuk mengelola komponen yang terlalu besar dalam paket perlindungan atau ACL web

Cara Anda menangani komponen yang terlalu besar dalam paket perlindungan atau ACL web dapat bergantung pada sejumlah faktor seperti ukuran konten komponen permintaan yang diharapkan, paket perlindungan atau penanganan permintaan default ACL web, dan bagaimana aturan lain dalam paket perlindungan atau ACL web Anda cocok dan menangani permintaan.

Pedoman umum untuk mengelola komponen permintaan web berukuran besar adalah sebagai berikut:

  • Jika Anda perlu mengizinkan beberapa permintaan dengan konten komponen yang terlalu besar, jika memungkinkan, tambahkan aturan untuk secara eksplisit hanya mengizinkan permintaan tersebut. Prioritaskan aturan tersebut sehingga mereka berjalan sebelum aturan lain dalam paket perlindungan atau ACL web yang memeriksa jenis komponen yang sama. Dengan pendekatan ini, Anda tidak akan dapat menggunakannya AWS WAF untuk memeriksa seluruh konten komponen kebesaran yang Anda izinkan untuk diteruskan ke sumber daya yang dilindungi.

  • Untuk semua permintaan lainnya, Anda dapat mencegah byte tambahan lewat dengan memblokir permintaan yang melampaui batas:

    • Aturan dan grup aturan Anda — Dalam aturan yang memeriksa komponen dengan batas ukuran, konfigurasikan penanganan ukuran besar sehingga Anda memblokir permintaan yang melampaui batas. Misalnya, jika aturan Anda memblokir permintaan dengan konten header tertentu, setel penanganan ukuran besar agar sesuai dengan permintaan yang memiliki konten header yang terlalu besar. Sebagai alternatif, jika paket perlindungan atau ACL web Anda memblokir permintaan secara default dan aturan Anda mengizinkan konten header tertentu, maka konfigurasikan penanganan ukuran besar aturan Anda agar tidak cocok dengan permintaan apa pun yang memiliki konten header yang terlalu besar.

    • Grup aturan yang tidak Anda kelola — Untuk mencegah grup aturan yang tidak Anda kelola mengizinkan komponen permintaan yang terlalu besar, Anda dapat menambahkan aturan terpisah yang memeriksa jenis komponen permintaan dan memblokir permintaan yang melampaui batas. Prioritaskan aturan dalam paket perlindungan atau ACL web Anda sehingga berjalan sebelum grup aturan. Misalnya, Anda dapat memblokir permintaan dengan konten tubuh yang terlalu besar sebelum aturan inspeksi tubuh Anda dijalankan di paket perlindungan atau ACL web. Prosedur berikut menjelaskan cara menambahkan jenis aturan ini.

Memblokir komponen permintaan web yang terlalu besar

Anda dapat menambahkan aturan dalam paket perlindungan atau ACL web yang memblokir permintaan dengan komponen berukuran besar.

Untuk menambahkan aturan yang memblokir konten yang terlalu besar

  1. Saat Anda membuat atau mengedit paket perlindungan atau ACL web, di pengaturan aturan, pilih Tambahkan aturan, Tambahkan aturan dan grup aturan saya sendiri, Pembuat aturan, lalu Editor visual Aturan. Untuk panduan tentang membuat atau mengedit paket perlindungan atau ACL web, lihatMelihat metrik lalu lintas web di AWS WAF.

  2. Masukkan nama untuk aturan Anda, dan biarkan pengaturan Type pada aturan Regular.

  3. Ubah pengaturan kecocokan berikut dari defaultnya:

    1. Pada Pernyataan, untuk Inspect, buka dropdown dan pilih komponen permintaan web yang Anda butuhkan, baik Body, Header, atau Cookies.

    2. Untuk jenis Match, pilih Ukuran lebih besar dari.

    3. Untuk Ukuran, ketikkan angka yang setidaknya ukuran minimum untuk jenis komponen. Untuk header dan cookie, ketik8192. Dalam Application Load Balancer atau paket AWS AppSync perlindungan atau web ACLs, untuk badan, jenis. 8192 Untuk badan di CloudFront, API Gateway, Amazon Cognito, App Runner, atau paket perlindungan Akses Terverifikasi atau web ACLs, jika Anda menggunakan batas ukuran badan default, ketik. 16384 Jika tidak, ketikkan batas ukuran tubuh yang telah Anda tetapkan untuk paket perlindungan atau ACL web Anda.

    4. Untuk penanganan Oversize, pilih Match.

  4. Untuk Tindakan, pilih Blokir.

  5. Pilih Tambahkan aturan.

  6. Setelah Anda menambahkan aturan, pada halaman prioritas aturan Set, pindahkan ke atas aturan atau grup aturan apa pun dalam paket perlindungan atau ACL web yang memeriksa jenis komponen yang sama. Ini memberi aturan baru pengaturan prioritas numerik yang lebih rendah, yang menyebabkan AWS WAF untuk mengevaluasinya terlebih dahulu. Lihat informasi yang lebih lengkap di Menetapkan prioritas aturan.