Sobredimensionar los componentes de solicitudes web en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Bloqueo de componentes sobredimensionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sobredimensionar los componentes de solicitudes web en AWS WAF

En esta sección se explica cómo administrar los límites de tamaño al inspeccionar el cuerpo, los encabezados y las cookies de la solicitud web en AWS WAF.

AWS WAF no admite la inspección de contenidos muy grandes para el cuerpo, los encabezados o las cookies de los componentes de las solicitudes web. El servicio de alojamiento subyacente tiene límites de recuento y tamaño en cuanto a lo que reenvía para AWS WAF su inspección. Por ejemplo, el servicio de alojamiento no envía más de 200 encabezados, por lo que AWS WAF, en el caso de una solicitud web con 205 encabezados, no AWS WAF puede inspeccionar los últimos 5 encabezados.

Cuando se AWS WAF permite que una solicitud web pase a tu recurso protegido, se envía la solicitud web completa, incluido el contenido que se encuentra fuera de los límites de recuento y tamaño que AWS WAF se pudieron inspeccionar.

Límites de tamaño de inspección de componentes

Los límites de tamaño de inspección de los componentes son los siguientes:

  • Bodyy JSON Body — Para Application Load Balancer y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Pues API Gateway CloudFront, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF pueden inspeccionar los primeros 16 KB y usted puede aumentar el límite hasta 64 KB en su configuración webACL. Para obtener más información, consulte Gestión de límites de tamaño de inspección del cuerpo para AWS WAF.

  • Headers— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

  • Cookies— AWS WAF puede inspeccionar como máximo los primeros 8 KB (8.192 bytes) de las cookies solicitadas y, como máximo, las 200 primeras cookies. El contenido está disponible para su inspección AWS WAF hasta que se alcance el primer límite.

Opciones de gestión del sobredimensionamiento para sus instrucciones de reglas

Cuando escriba una instrucción de regla que inspecciona uno de estos tipos de componentes de solicitud, especifique cómo gestionar los componentes sobredimensionados. El manejo del tamaño excesivo indica AWS WAF qué hacer con una solicitud web cuando el componente de la solicitud que la regla inspecciona supera los límites de tamaño.

Las opciones de gestión de componentes sobredimensionados son las siguientes:

  • Continue— Inspeccione el componente de la solicitud normalmente de acuerdo con los criterios de inspección de la regla. AWS WAF inspeccionará el contenido del componente solicitado que se encuentre dentro de los límites de tamaño.

  • Match— Considera que la solicitud web coincide con la declaración de la regla. AWS WAF aplica la acción de la regla a la solicitud sin evaluarla en función de los criterios de inspección de la regla.

  • No match— Considera que la solicitud web no coincide con la declaración de la regla sin evaluarla en función de los criterios de inspección de la regla. AWS WAF continúa inspeccionando la solicitud web utilizando el resto de las reglas de la web ACL como lo haría con cualquier regla que no coincida.

En la AWS WAF consola, debes elegir una de estas opciones de gestión. Fuera de la consola, la opción predeterminada es Continue.

Si utiliza el Match opción en una regla cuya acción está establecida en Block, la regla bloqueará una solicitud cuyo componente inspeccionado esté sobredimensionado. Con cualquier otra configuración, la disposición final de la solicitud depende de varios factores, como la configuración de las demás reglas de la web ACL y la configuración de acción predeterminada ACL de la web.

Gestión de sobredimensionamiento en grupos de reglas que no le pertenecen

Las limitaciones de tamaño y número de componentes se aplican a todas las reglas que utilices en tu webACL. Esto incluye todas las reglas que utilice pero no administre en los grupos de reglas administradas y en los grupos de reglas que otra cuenta comparta con usted.

Cuando utilice un grupo de reglas que no administre, es posible que el grupo de reglas tenga una regla que inspeccione un componente de solicitud limitado, pero que no gestione el contenido sobredimensionado de la forma en que necesita que se gestione. Para obtener información sobre cómo las reglas AWS administradas administran los componentes de gran tamaño, consulteAWS Lista de grupos de reglas de Managed Rules. Para obtener información sobre otros grupos de reglas, pregunte a su proveedor de grupos de reglas.

Directrices para gestionar componentes sobredimensionados en la web ACL

La forma de gestionar los componentes de gran tamaño en la web ACL puede depender de varios factores, como el tamaño esperado del contenido de los componentes de la solicitud, la gestión predeterminada de las solicitudes ACL de la web y la forma en que otras reglas de la web ACL asignan y gestionan las solicitudes.

Las pautas generales para administrar los componentes sobredimensionados de solicitudes web son las siguientes:

  • Si necesita permitir algunas solicitudes con un contenido de componentes sobredimensionados, si es posible, añada reglas para permitir explícitamente solo esas solicitudes. Priorice esas reglas para que se ejecuten antes que cualquier otra regla de la web ACL que inspeccione los mismos tipos de componentes. Con este enfoque, no podrá AWS WAF inspeccionar todo el contenido de los componentes de gran tamaño que permite pasar a su recurso protegido.

  • Para todas las demás solicitudes, puede evitar que pasen bytes adicionales bloqueando las solicitudes que superen el límite:

    • Sus reglas y grupos de reglas: en las reglas que inspeccionan los componentes con límites de tamaño, configure la gestión del sobredimensionamiento para bloquear las solicitudes que superen el límite. Por ejemplo, si su regla bloquea las solicitudes con un contenido de encabezado específico, configure la gestión del sobredimensionamiento para que coincida con las solicitudes que tienen un contenido de encabezado sobredimensionado. Como alternativa, si tu web ACL bloquea las solicitudes de forma predeterminada y tu regla permite un contenido de encabezado específico, configura el manejo del tamaño excesivo de la regla para que no coincida con ninguna solicitud que tenga un contenido de encabezado sobredimensionado.

    • Grupos de reglas que no administra: para evitar que los grupos de reglas que no administra permitan componentes de solicitudes sobredimensionados, puede agregar una regla independiente que inspeccione el tipo de componente de solicitud y bloquee las solicitudes que sobrepasen los límites. Prioriza la regla en tu web ACL para que se ejecute antes que los grupos de reglas. Por ejemplo, puede bloquear las solicitudes con un contenido demasiado grande antes de que se publique en la web ACL ninguna de sus normas de inspección corporal. El siguiente procedimiento describe cómo agregar este tipo de regla.

Bloqueo de componentes de solicitudes web sobredimensionados

Puedes añadir una regla en tu web ACL que bloquee las solicitudes con componentes sobredimensionados.

Cómo agregar una regla que bloquee el contenido sobredimensionado

  1. Cuando crees o edites tu webACL, en la configuración de reglas, selecciona Añadir reglas, Añadir mis propias reglas y grupos de reglas, Creador de reglas y, por último, Editor visual de reglas. Para obtener información sobre cómo crear o editar una webACL, consulteCómo ver las métricas de tráfico web en AWS WAF.

  2. Introduzca un nombre para la regla y deje la opción Tipo en Regla normal.

  3. Cambia las siguientes configuraciones de coincidencia de sus valores predeterminados:

    1. En Instrucción, en Inspeccionar, abra el menú desplegable y elija el componente de solicitud web que necesite: Cuerpo, Encabezados o Cookies.

    2. En Tipo de coincidencia, seleccione Tamaño mayor que.

    3. En Tamaño, escriba un número que sea al menos el tamaño mínimo para el tipo de componente. En encabezados y cookies, escriba 8192. En Application Load Balancer o AWS AppSync webACLs, para cuerpos, escriba. 8192 Para cuerpos en API Gateway CloudFront, Amazon Cognito, App Runner o Verified Access webACLs, si utilizas el límite de tamaño corporal predeterminado, escribe. 16384 De lo contrario, escriba el límite de tamaño corporal que ha definido para su webACL.

    4. Para Administrar sobredimensionamiento, seleccione Coincidencia.

  4. En Acción, seleccione Bloquear.

  5. Seleccione Agregar regla.

  6. Después de añadir la regla, en la página Definir la prioridad de la regla, colócala sobre cualquier regla o grupo de reglas de la web ACL que inspeccione el mismo tipo de componente. Esto le da a la nueva regla una configuración de prioridad numérica más baja, lo que hace AWS WAF que la evalúe primero. Para obtener más información, consulte Configuración de la prioridad de las reglas en una ACL web.