Gestion des composants de requête Web surdimensionnés dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Blocage de composants surdimensionnés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des composants de requête Web surdimensionnés dans AWS WAF

Cette section explique comment gérer les limites de taille lors de l'inspection du corps de la requête Web, des en-têtes et des cookies dans AWS WAF.

AWS WAF ne prend pas en charge l'inspection de contenus très volumineux pour le corps des composants de la requête Web, les en-têtes ou les cookies. Le service hôte sous-jacent est soumis à des limites de nombre et de taille pour ce à quoi il transmet AWS WAF pour inspection. Par exemple, le service hôte n'envoie pas plus de 200 en-têtes à AWS WAF, donc pour une requête Web avec 205 en-têtes, AWS WAF Impossible d'inspecter les 5 derniers en-têtes.

Lorsque AWS WAF permet à une requête Web d'accéder à votre ressource protégée, l'intégralité de la demande Web est envoyée, y compris tout contenu dépassant les limites de nombre et de taille AWS WAF a pu inspecter.

Limites de taille pour l'inspection des composants

Les limites de taille d'inspection des composants sont les suivantes :

  • Bodyet JSON Body — Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une demande. Pour API Gateway CloudFront, Amazon Cognito, App Runner et Verified Access, par défaut, AWS WAF peut inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans votre ACL configuration Web. Pour de plus amples informations, veuillez consulter Gestion des limites de taille des organismes inspectés pour AWS WAF.

  • Headers – AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté par AWS WAF jusqu'à la première limite atteinte.

  • Cookies – AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des cookies de demande et au plus les 200 premiers cookies. Le contenu peut être consulté par AWS WAF jusqu'à la première limite atteinte.

Options de gestion surdimensionnées pour vos déclarations de règles

Lorsque vous rédigez une instruction de règle qui inspecte l'un de ces types de composants de demande, vous spécifiez comment gérer les composants surdimensionnés. La gestion des surdimensionnements indique AWS WAF que faire avec une requête Web lorsque le composant de demande inspecté par la règle dépasse les limites de taille.

Les options de gestion des composants surdimensionnés sont les suivantes :

  • Continue— Inspectez le composant de demande normalement conformément aux critères d'inspection des règles. AWS WAF inspectera le contenu du composant de la demande qui respecte les limites de taille.

  • Match— Traitez la requête Web comme correspondant à l'énoncé de règle. AWS WAF applique l'action de règle à la demande sans l'évaluer par rapport aux critères d'inspection de la règle.

  • No match— Traitez la requête Web comme ne correspondant pas à l'énoncé de règle sans l'évaluer par rapport aux critères d'inspection de la règle. AWS WAF poursuit son inspection de la requête Web en utilisant le reste des règles du Web, ACL comme il le ferait pour toute règle non correspondante.

Dans le volet AWS WAF console, vous devez choisir l'une de ces options de gestion. En dehors de la console, l'option par défaut est Continue.

Si vous utilisez le plugin Match option dans une règle dont l'action est définie sur Block, la règle bloquera une demande dont le composant inspecté est surdimensionné. Quelle que soit la configuration, la disposition finale de la demande dépend de divers facteurs, tels que la configuration des autres règles de votre site Web ACL et le paramètre d'action par défaut ACL du site Web.

Gestion des surdimensionnements dans des groupes de règles dont vous n'êtes pas le propriétaire

Les limites de taille et de nombre de composants s'appliquent à toutes les règles que vous utilisez sur votre site WebACL. Cela inclut toutes les règles que vous utilisez mais que vous ne gérez pas, dans les groupes de règles gérés et dans les groupes de règles partagés avec vous par un autre compte.

Lorsque vous utilisez un groupe de règles que vous ne gérez pas, celui-ci peut comporter une règle qui inspecte un composant de demande limité, mais qui ne gère pas les contenus surdimensionnés comme vous le souhaitez. Pour plus d'informations sur la façon dont AWS Les règles gérées gèrent les composants surdimensionnés, voirAWS Liste des groupes de règles gérées. Pour plus d'informations sur les autres groupes de règles, adressez-vous à votre fournisseur de groupes de règles.

Directives relatives à la gestion des composants surdimensionnés sur votre site Web ACL

La façon dont vous gérez les composants surdimensionnés sur votre site Web ACL peut dépendre d'un certain nombre de facteurs tels que la taille attendue du contenu des composants de votre demande, le traitement des demandes par défaut ACL de votre site Web et la manière dont les autres règles de votre site Web ACL correspondent et traitent les demandes.

Les directives générales relatives à la gestion des composants de requêtes Web surdimensionnés sont les suivantes :

  • Si vous devez autoriser certaines demandes dont le contenu des composants est surdimensionné, ajoutez si possible des règles pour n'autoriser explicitement que ces demandes. Priorisez ces règles afin qu'elles s'exécutent avant toutes les autres règles du Web ACL qui inspectent les mêmes types de composants. Avec cette approche, vous ne pourrez pas utiliser AWS WAF pour inspecter l'intégralité du contenu des composants surdimensionnés que vous autorisez à transmettre à votre ressource protégée.

  • Pour toutes les autres demandes, vous pouvez empêcher tout octet supplémentaire de passer en bloquant les demandes qui dépassent la limite :

    • Vos règles et groupes de règles : dans vos règles qui inspectent les composants soumis à des limites de taille, configurez la gestion des surdimensionnements afin de bloquer les demandes dépassant cette limite. Par exemple, si votre règle bloque les demandes dont le contenu d'en-tête est spécifique, définissez la gestion des en-têtes surdimensionnés de manière à ce qu'elle corresponde aux demandes dont le contenu d'en-tête est surdimensionné. Sinon, si votre site Web ACL bloque les demandes par défaut et que votre règle autorise un contenu d'en-tête spécifique, configurez la gestion des surdimensionnements de votre règle pour qu'elle ne corresponde à aucune demande dont le contenu d'en-tête est surdimensionné.

    • Groupes de règles que vous ne gérez pas : pour empêcher les groupes de règles que vous ne gérez pas d'autoriser des composants de demande surdimensionnés, vous pouvez ajouter une règle distincte qui inspecte le type de composant de demande et bloque les demandes qui dépassent les limites. Priorisez la règle sur votre site Web ACL afin qu'elle s'exécute avant les groupes de règles. Par exemple, vous pouvez bloquer les demandes dont le contenu du corps est surdimensionné avant que l'une de vos règles d'inspection corporelle ne soit exécutée sur le WebACL. La procédure suivante décrit comment ajouter ce type de règle.

Blocage des composants de requête Web surdimensionnés

Vous pouvez ajouter une règle sur votre site Web ACL qui bloque les demandes contenant des composants surdimensionnés.

Pour ajouter une règle bloquant les contenus surdimensionnés

  1. Lorsque vous créez ou modifiez votre site WebACL, dans les paramètres des règles, choisissez Ajouter des règles, Ajouter mes propres règles et groupes de règles, Générateur de règles, puis Éditeur visuel de règles. Pour obtenir des conseils sur la création ou la modification d'un site WebACL, consultezAffichage des statistiques du trafic Web dans AWS WAF.

  2. Entrez un nom pour votre règle et laissez le paramètre Type sur Règle normale.

  3. Modifiez les paramètres de correspondance suivants par rapport à leurs valeurs par défaut :

    1. Dans Statement, pour Inspect, ouvrez le menu déroulant et choisissez le composant de requête Web dont vous avez besoin, soit Body, Headers, soit Cookies.

    2. Pour Type de correspondance, choisissez Taille supérieure à.

    3. Pour Taille, tapez un nombre correspondant au moins à la taille minimale pour le type de composant. Pour les en-têtes et les cookies, tapez8192. Dans Application Load Balancer ou AWS AppSync webACLs, pour les corps, tapez8192. Pour les corps sur le Web API Gateway CloudFront, Amazon Cognito, App Runner ou Verified AccessACLs, si vous utilisez la limite de taille par défaut, tapez. 16384 Sinon, saisissez la limite de taille que vous avez définie pour votre site WebACL.

    4. Pour la gestion des objets surdimensionnés, sélectionnez Faire correspondre.

  4. Pour Action, sélectionnez Bloquer.

  5. Choisissez Ajouter une règle.

  6. Après avoir ajouté la règle, sur la page Définir la priorité des règles, déplacez-la au-dessus des règles ou des groupes de règles de votre site Web ACL qui inspectent le même type de composant. Cela donne à la nouvelle règle un paramètre de priorité numérique inférieur, ce qui entraîne AWS WAF pour l'évaluer d'abord. Pour de plus amples informations, veuillez consulter Définition de la priorité des règles sur un site Web ACL.