Menangani komponen permintaan web yang terlalu besar di AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Memblokir komponen yang terlalu besar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menangani komponen permintaan web yang terlalu besar di AWS WAF

Bagian ini menjelaskan cara mengelola batas ukuran saat memeriksa badan permintaan web, header, dan cookie di AWS WAF.

AWS WAF tidak mendukung pemeriksaan konten yang sangat besar untuk badan komponen permintaan web, header, atau cookie. Layanan host yang mendasarinya memiliki batasan jumlah dan ukuran pada apa yang diteruskannya AWS WAF untuk inspeksi. Misalnya, layanan host tidak mengirim lebih dari 200 header AWS WAF, jadi untuk permintaan web dengan 205 header, AWS WAF tidak dapat memeriksa 5 header terakhir.

Saat AWS WAF memungkinkan permintaan web untuk melanjutkan ke sumber daya Anda yang dilindungi, seluruh permintaan web dikirim, termasuk konten apa pun yang berada di luar batas hitungan dan ukuran yang AWS WAF mampu memeriksa.

Batas ukuran inspeksi komponen

Batas ukuran inspeksi komponen adalah sebagai berikut:

  • Bodydan JSON Body - Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam ACL konfigurasi web Anda. Untuk informasi selengkapnya, lihat Mengelola batas ukuran inspeksi tubuh untuk AWS WAF.

  • Headers – AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa oleh AWS WAF sampai batas pertama yang tercapai.

  • Cookies – AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari cookie permintaan dan paling banyak 200 cookie pertama. Konten tersedia untuk diperiksa oleh AWS WAF sampai batas pertama yang tercapai.

Opsi penanganan ukuran besar untuk pernyataan aturan Anda

Saat Anda menulis pernyataan aturan yang memeriksa salah satu jenis komponen permintaan ini, Anda menentukan cara menangani komponen yang terlalu besar. Penanganan kebesaran memberi tahu AWS WAF apa yang harus dilakukan dengan permintaan web ketika komponen permintaan yang diperiksa aturan melebihi batas ukuran.

Opsi untuk menangani komponen kebesaran adalah sebagai berikut:

  • Continue— Periksa komponen permintaan secara normal sesuai dengan kriteria inspeksi aturan. AWS WAF akan memeriksa isi komponen permintaan yang berada dalam batas ukuran.

  • Match— Perlakukan permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan tanpa mengevaluasinya terhadap kriteria inspeksi aturan.

  • No match— Perlakukan permintaan web sebagai tidak cocok dengan pernyataan aturan tanpa mengevaluasinya terhadap kriteria inspeksi aturan. AWS WAF melanjutkan inspeksi permintaan web menggunakan sisa aturan di web ACL seperti yang akan dilakukan untuk aturan yang tidak cocok.

Dalam AWS WAF konsol, Anda diminta untuk memilih salah satu opsi penanganan ini. Di luar konsol, opsi defaultnya adalah Continue.

Jika Anda menggunakan Match opsi dalam aturan yang tindakannya disetel ke Block, aturan akan memblokir permintaan yang komponen yang diperiksa terlalu besar. Dengan konfigurasi lain, disposisi akhir permintaan tergantung pada berbagai faktor, seperti konfigurasi aturan lain di web Anda ACL dan pengaturan tindakan default webACL.

Penanganan kebesaran dalam grup aturan yang tidak Anda miliki

Batasan ukuran dan jumlah komponen berlaku untuk semua aturan yang Anda gunakan di web AndaACL. Ini termasuk aturan apa pun yang Anda gunakan tetapi tidak dikelola, di grup aturan terkelola dan dalam grup aturan yang dibagikan dengan Anda oleh akun lain.

Bila Anda menggunakan grup aturan yang tidak Anda kelola, grup aturan mungkin memiliki aturan yang memeriksa komponen permintaan terbatas tetapi tidak menangani konten berukuran besar seperti yang Anda butuhkan untuk ditangani. Untuk informasi tentang bagaimana AWS Aturan Terkelola mengelola komponen yang terlalu besar, lihatAWS Daftar grup aturan Aturan Terkelola. Untuk informasi tentang grup aturan lain, tanyakan kepada penyedia grup aturan Anda.

Pedoman untuk mengelola komponen yang terlalu besar di web Anda ACL

Cara Anda menangani komponen oversize di web Anda ACL dapat bergantung pada sejumlah faktor seperti ukuran yang diharapkan dari konten komponen permintaan Anda, penanganan permintaan default web ACL Anda, dan bagaimana aturan lain di web Anda ACL cocok dan menangani permintaan.

Pedoman umum untuk mengelola komponen permintaan web berukuran besar adalah sebagai berikut:

  • Jika Anda perlu mengizinkan beberapa permintaan dengan konten komponen yang terlalu besar, jika memungkinkan, tambahkan aturan untuk secara eksplisit hanya mengizinkan permintaan tersebut. Prioritaskan aturan tersebut sehingga mereka berjalan sebelum aturan lain di web ACL yang memeriksa jenis komponen yang sama. Dengan pendekatan ini, Anda tidak akan dapat menggunakan AWS WAF untuk memeriksa seluruh konten komponen kebesaran yang Anda izinkan untuk diteruskan ke sumber daya yang dilindungi.

  • Untuk semua permintaan lainnya, Anda dapat mencegah byte tambahan lewat dengan memblokir permintaan yang melampaui batas:

    • Aturan dan grup aturan Anda — Dalam aturan yang memeriksa komponen dengan batas ukuran, konfigurasikan penanganan ukuran besar sehingga Anda memblokir permintaan yang melampaui batas. Misalnya, jika aturan Anda memblokir permintaan dengan konten header tertentu, setel penanganan ukuran besar agar sesuai dengan permintaan yang memiliki konten header yang terlalu besar. Sebagai alternatif, jika web Anda ACL memblokir permintaan secara default dan aturan Anda mengizinkan konten header tertentu, maka konfigurasikan penanganan ukuran besar aturan Anda agar tidak cocok dengan permintaan apa pun yang memiliki konten header yang terlalu besar.

    • Grup aturan yang tidak Anda kelola — Untuk mencegah grup aturan yang tidak Anda kelola mengizinkan komponen permintaan yang terlalu besar, Anda dapat menambahkan aturan terpisah yang memeriksa jenis komponen permintaan dan memblokir permintaan yang melampaui batas. Prioritaskan aturan di web Anda ACL sehingga berjalan sebelum grup aturan. Misalnya, Anda dapat memblokir permintaan dengan konten isi yang terlalu besar sebelum aturan inspeksi tubuh Anda dijalankan di webACL. Prosedur berikut menjelaskan cara menambahkan jenis aturan ini.

Memblokir komponen permintaan web yang terlalu besar

Anda dapat menambahkan aturan di web Anda ACL yang memblokir permintaan dengan komponen besar.

Untuk menambahkan aturan yang memblokir konten yang terlalu besar

  1. Saat Anda membuat atau mengedit web AndaACL, dalam pengaturan aturan, pilih Tambahkan aturan, Tambahkan aturan dan grup aturan saya sendiri, Pembuat aturan, lalu Editor visual Aturan. Untuk panduan tentang membuat atau mengedit webACL, lihatMelihat metrik lalu lintas web di AWS WAF.

  2. Masukkan nama untuk aturan Anda, dan biarkan pengaturan Type pada aturan Regular.

  3. Ubah pengaturan kecocokan berikut dari defaultnya:

    1. Pada Pernyataan, untuk Inspect, buka dropdown dan pilih komponen permintaan web yang Anda butuhkan, baik Body, Header, atau Cookies.

    2. Untuk jenis Match, pilih Ukuran lebih besar dari.

    3. Untuk Ukuran, ketikkan angka yang setidaknya ukuran minimum untuk jenis komponen. Untuk header dan cookie, ketik8192. Dalam Application Load Balancer atau AWS AppSync webACLs, untuk tubuh, tipe8192. Untuk badan di CloudFront, API Gateway, Amazon Cognito, App Runner, atau Web Akses TerverifikasiACLs, jika Anda menggunakan batas ukuran badan default, ketik. 16384 Jika tidak, ketikkan batas ukuran tubuh yang telah Anda tetapkan untuk web AndaACL.

    4. Untuk penanganan Oversize, pilih Match.

  4. Untuk Tindakan, pilih Blokir.

  5. Pilih Tambahkan aturan.

  6. Setelah Anda menambahkan aturan, pada halaman prioritas aturan Set, pindahkan ke atas aturan atau grup aturan apa pun di web Anda ACL yang memeriksa jenis komponen yang sama. Ini memberi aturan baru pengaturan prioritas numerik yang lebih rendah, yang menyebabkan AWS WAF untuk mengevaluasinya terlebih dahulu. Untuk informasi selengkapnya, lihat Menetapkan prioritas aturan di web ACL.