AWS WAF의 과대 웹 요청 구성 요소 - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, 및 AWS Shield 네트워크 보안 디렉터
과대 구성 요소 차단

AWS WAF에 대한 새로운 콘솔 환경 소개

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

AWS WAF의 과대 웹 요청 구성 요소

이 섹션에서는 AWS WAF에서 웹 요청 본문, 헤더, 쿠키 검사 시 크기 제한을 관리하는 방법을 설명합니다.

AWS WAF는 웹 요청 구성 요소 본문, 헤더 또는 쿠키의 매우 큰 콘텐츠에 대한 검사를 지원하지 않습니다. 기본 호스트 서비스에는 검사를 위해 AWS WAF로 전달되는 대상에 대한 개수 및 크기 제한이 있습니다. 예를 들어 호스트 서비스는 200개가 넘는 헤더를 AWS WAF로 전송하지 않으므로 헤더가 205개인 웹 요청의 경우 AWS WAF는 마지막 5개 헤더를 검사할 수 없습니다.

AWS WAF에서 보호된 리소스로 이동하도록 웹 요청을 허용하는 경우 AWS WAF에서 검사할 수 있었던 개수 및 크기 제한을 벗어나는 콘텐츠를 포함하여 전체 웹 요청이 전송됩니다.

구성 요소 검사 크기 제한

구성 요소 검사 크기 제한은 다음과 같습니다.

  • BodyJSON Body - Application Load Balancer, AWS AppSync및 AWS WAF의 경우는 요청 본문의 처음 8KB를 검사할 수 있습니다. CloudFront, API Gateway, Amazon Cognito, App Runner 및 Verified Access의 경우는 기본적으로 AWS WAF가 처음 16KB를 검사할 수 있으며 보호 팩(웹 ACL) 구성에서 제한을 최대 64KB까지 늘릴 수 있습니다. 자세한 내용은 AWS WAF에서 본문 검사 관리에 대한 고려 사항 섹션을 참조하세요.

  • Headers -AWS WAF 는 요청 헤더의 처음 8KB(8,192바이트)까지 그리고 처음 200개까지 헤더를 검사할 수 있습니다. 첫 번째 제한에 도달할 때까지 AWS WAF에서 콘텐츠를 검사할 수 있습니다.

  • Cookies -AWS WAF 는 요청 쿠키의 처음 8KB(8,192바이트)까지 그리고 처음 200개까지 쿠키를 검사할 수 있습니다. 첫 번째 제한에 도달할 때까지 AWS WAF에서 콘텐츠를 검사할 수 있습니다.

규칙 문에 대한 과대 처리 옵션

이러한 요청 구성 요소 유형 중 하나를 검사하는 규칙 문을 작성할 때 과대 구성 요소를 처리하는 방법을 지정합니다. 과대 처리는 규칙이 검사하는 요청 구성 요소가 크기 제한을 초과하는 경우 웹 요청을 어떻게 처리할지를 AWS WAF에 알려줍니다.

과대 처리 구성 요소의 옵션은 다음과 같습니다.

  • Continue - 규칙 검사 기준에 따라 요청 구성 요소를 정상적으로 검사합니다. AWS WAF는 크기 제한 이내인 요청 구성 요소의 내용을 검사합니다.

  • Match - 웹 요청을 규칙 문과 일치하는 것으로 처리합니다. AWS WAF는 규칙의 검사 기준에 따라 평가하지 않고 규칙 동작을 요청에 적용합니다.

  • No match - 웹 요청을 규칙 검사 기준에 따라 평가하지 않고 규칙 문과 일치하지 않는 것으로 처리합니다. AWS WAF는 일치하지 않는 규칙의 경우처럼 보호 팩(웹 ACL)의 나머지 규칙을 사용하여 웹 요청을 계속 검사합니다.

AWS WAF 콘솔에서 이러한 처리 옵션 중 하나를 선택해야 합니다. 콘솔 외부에서 기본 옵션은 Continue입니다.

동작이 Block로 설정된 규칙에서 Match 옵션을 사용하는 경우 규칙은 검사한 구성 요소의 크기가 너무 큰 요청을 차단합니다. 다른 구성을 사용할 경우 요청의 최종 처리는 보호 팩(웹 ACL)의 다른 규칙 구성, 보호 팩(웹 ACL)의 기본 작업 설정 등 다양한 요인에 따라 달라집니다.

사용자가 소유하지 않는 규칙 그룹의 과대 처리

구성 요소 크기 및 개수 제한은 사용자가 보호 팩(웹 ACL)에서 사용하는 모든 규칙에 적용됩니다. 여기에는 관리형 규칙 그룹과 다른 계정이 사용자와 공유하는 규칙 그룹에서 사용자가 사용하지만 관리하지 않는 모든 규칙이 포함됩니다.

관리하지 않는 규칙 그룹을 사용하는 경우 제한된 요청 구성 요소를 검사하지만 사용자가 원하는 처리 방식으로 과대 콘텐츠를 처리하지 않는 규칙이 규칙 그룹에 있을 수 있습니다. AWS 관리형 규칙이 과대 구성 요소를 관리하는 방식에 대한 자세한 내용은 AWS Managed Rules rule groups list 섹션을 참조하세요. 다른 규칙 그룹에 대한 자세한 내용은 규칙 그룹 공급자에게 문의하십시오.

보호 팩(웹 ACL)에서 과대 구성 요소를 관리하기 위한 지침

보호 팩(웹 ACL)에서 과대 구성 요소를 처리하는 방법은 요청 구성 요소 콘텐츠의 예상 크기, 보호 팩(웹 ACL)의 기본 요청 처리, 보호 팩(웹 ACL)의 다른 규칙이 요청을 일치시키고 처리하는 방법 등 여러 요인에 따라 달라질 수 있습니다.

과대 웹 요청 구성 요소를 관리하기 위한 일반 지침은 다음과 같습니다.

  • 과대 구성 요소 콘텐츠를 포함하는 일부 요청을 허용해야 하는 경우 가능하면 그러한 요청만 명시적으로 허용하는 규칙을 추가합니다. 동일한 구성 요소 유형을 검사하는 다른 규칙보다 먼저 실행되도록 보호 팩(웹 ACL)에서 해당 규칙의 우선 순위를 지정합니다. 이 방법의 경우 AWS WAF를 사용하여 보호된 리소스로 전달되도록 허용된 과대 구성 요소의 전체 콘텐츠를 검사할 수 없습니다.

  • 다른 모든 요청의 경우 제한을 초과하는 요청을 차단하여 추가 바이트가 전달되지 않도록 할 수 있습니다.

    • 규칙 및 규칙 그룹 - 크기 제한이 있는 구성 요소를 검사하는 규칙에서 제한을 초과하는 요청을 차단하도록 과대 처리를 구성합니다. 예를 들어, 규칙이 특정 헤더 콘텐츠를 포함하는 요청을 차단하는 경우 과대 처리를 과대 헤더 콘텐츠가 있는 요청과 일치하도록 설정합니다. 또는 보호 팩(웹 ACL)이 기본적으로 요청을 차단하고 규칙에서 특정 헤더 콘텐츠를 허용하는 경우, 과대 헤더 콘텐츠가 있는 어떠한 요청과도 일치하지 않도록 규칙의 과대 처리를 구성합니다.

    • 관리하지 않는 규칙 그룹 - 관리하지 않는 규칙 그룹이 과대 요청 구성 요소를 허용하지 않도록 하려면 요청 구성 요소 유형을 검사하고 제한을 초과하는 요청을 차단하는 별도의 규칙을 추가할 수 있습니다. 규칙 그룹보다 먼저 실행되도록 보호 팩(웹 ACL)에서 규칙의 우선 순위를 지정합니다. 예를 들어 본문 검사 규칙을 보호 팩(웹 ACL)에서 실행하기 전에 과대 본문 콘텐츠가 있는 요청을 차단할 수 있습니다. 다음 절차에서 이 규칙 유형을 추가하는 방법을 설명합니다.

과대 웹 요청 구성 요소 차단

보호 팩(웹 ACL)에 과대 구성 요소가 있는 요청을 차단하는 규칙을 추가할 수 있습니다.

과대 콘텐츠를 차단하는 규칙을 추가하려면

  1. 보호 팩(웹 ACL)을 만들거나 편집할 때 규칙 설정에서 규칙 추가, 자체 규칙 및 규칙 그룹 추가, 규칙 빌더, 규칙 시각 편집기를 순서대로 선택합니다. 보호 팩(웹 ACL) 생성 또는 편집에 대한 지침은 AWS WAF에서 웹 트래픽 지표 보기 섹션을 참조하세요.

  2. 규칙의 이름을 입력하고 유형 설정은 일반 규칙으로 그대로 둡니다.

  3. 다음 일치 설정을 기본값에서 다른 값ㅇ로 변경합니다.

    1. 명령문에서 검사의 드롭다운을 열고 필요한 웹 요청 구성 요소(본문, 헤더 또는 쿠키)를 선택합니다.

    2. 검색 유형에서 크기 초과를 선택합니다.

    3. 크기에는 구성 요소 유형의 최소 크기 이상인 숫자를 입력합니다. 헤더 및 쿠키에 8192를 입력합니다. Application Load Balancer 또는 AWS AppSync 보호 팩(웹 ACL) 본문에 8192를 입력합니다. CloudFront, API Gateway, Amazon Cognito, App Runner 또는 Verified Access 보호 팩(웹 ACL) 본문에 기본 본문 크기 제한을 사용하는 경우 16384를 입력합니다. 그렇지 않으면 보호 팩(웹 ACL)에 대해 정의한 본문 크기 제한을 입력합니다.

    4. 과대를 처리하려면 일치를 선택합니다.

  4. 작업에서 차단을 선택합니다.

  5. 규칙 추가를 선택합니다.

  6. 규칙을 추가한 후에는 규칙 우선순위 설정 페이지에서 해당 규칙을 동일한 구성 요소 유형을 검사하는 보호 팩(웹 ACL)의 모든 규칙 또는 규칙 그룹 위로 이동합니다. 이렇게 하면 새 규칙의 숫자 우선 순위 설정이 낮아져 AWS WAF에서 해당 규칙을 먼저 평가하게 됩니다. 자세한 내용은 규칙 우선 순위 설정 섹션을 참조하세요.