Komponen permintaan web yang terlalu besar di AWS WAF - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Memblokir komponen yang terlalu besar

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Komponen permintaan web yang terlalu besar di AWS WAF

Bagian ini menjelaskan cara mengelola batas ukuran saat memeriksa badan permintaan web, header, dan cookie di. AWS WAF

AWS WAF tidak mendukung pemeriksaan konten yang sangat besar untuk badan komponen permintaan web, header, atau cookie. Layanan host yang mendasarinya memiliki batasan jumlah dan ukuran pada apa yang diteruskannya AWS WAF untuk diperiksa. Misalnya, layanan host tidak mengirim lebih dari 200 header ke AWS WAF, jadi untuk permintaan web dengan 205 header, tidak AWS WAF dapat memeriksa 5 header terakhir.

Ketika AWS WAF memungkinkan permintaan web untuk melanjutkan ke sumber daya Anda yang dilindungi, seluruh permintaan web dikirim, termasuk konten apa pun yang berada di luar batas hitungan dan ukuran yang AWS WAF dapat diperiksa.

Batas ukuran inspeksi komponen

Batas ukuran inspeksi komponen adalah sebagai berikut:

  • Bodydan JSON Body — Untuk Application Load Balancer dan AWS AppSync, AWS WAF dapat memeriksa 8 KB pertama dari badan permintaan. Untuk CloudFront, API Gateway, Amazon Cognito, App Runner, dan Akses Terverifikasi, secara default, AWS WAF dapat memeriksa 16 KB pertama, dan Anda dapat meningkatkan batas hingga 64 KB dalam konfigurasi ACL web Anda. Untuk informasi selengkapnya, lihat Mengelola batas ukuran inspeksi tubuh untuk AWS WAF.

  • Headers— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari header permintaan dan paling banyak 200 header pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai.

  • Cookies— AWS WAF dapat memeriksa paling banyak 8 KB pertama (8.192 byte) dari cookie permintaan dan paling banyak 200 cookie pertama. Konten tersedia untuk diperiksa AWS WAF hingga batas pertama yang tercapai.

Opsi penanganan ukuran besar untuk pernyataan aturan Anda

Saat Anda menulis pernyataan aturan yang memeriksa salah satu jenis komponen permintaan ini, Anda menentukan cara menangani komponen yang terlalu besar. Penanganan oversize memberi tahu AWS WAF apa yang harus dilakukan dengan permintaan web ketika komponen permintaan yang diperiksa aturan melebihi batas ukuran.

Opsi untuk menangani komponen kebesaran adalah sebagai berikut:

  • Continue— Periksa komponen permintaan secara normal sesuai dengan kriteria inspeksi aturan. AWS WAF akan memeriksa isi komponen permintaan yang berada dalam batas ukuran.

  • Match— Perlakukan permintaan web sebagai pencocokan pernyataan aturan. AWS WAF menerapkan tindakan aturan untuk permintaan tanpa mengevaluasinya terhadap kriteria inspeksi aturan.

  • No match— Perlakukan permintaan web sebagai tidak cocok dengan pernyataan aturan tanpa mengevaluasinya terhadap kriteria inspeksi aturan. AWS WAF melanjutkan inspeksi permintaan web menggunakan sisa aturan di ACL web seperti yang akan dilakukan untuk aturan yang tidak cocok.

Di AWS WAF konsol, Anda harus memilih salah satu opsi penanganan ini. Di luar konsol, opsi defaultnya adalah Continue.

Jika Anda menggunakan Match opsi dalam aturan yang tindakannya diatur ke Block, aturan akan memblokir permintaan yang komponen yang diperiksa terlalu besar. Dengan konfigurasi lainnya, disposisi akhir permintaan tergantung pada berbagai faktor, seperti konfigurasi aturan lain di ACL web Anda dan pengaturan tindakan default ACL web.

Penanganan kebesaran dalam grup aturan yang tidak Anda miliki

Batasan ukuran dan jumlah komponen berlaku untuk semua aturan yang Anda gunakan di ACL web Anda. Ini termasuk aturan apa pun yang Anda gunakan tetapi tidak dikelola, di grup aturan terkelola dan dalam grup aturan yang dibagikan dengan Anda oleh akun lain.

Bila Anda menggunakan grup aturan yang tidak Anda kelola, grup aturan mungkin memiliki aturan yang memeriksa komponen permintaan terbatas tetapi tidak menangani konten berukuran besar seperti yang Anda butuhkan untuk ditangani. Untuk informasi tentang cara Aturan AWS Terkelola mengelola komponen yang terlalu besar, lihatAWS Daftar grup aturan Aturan Terkelola. Untuk informasi tentang grup aturan lain, tanyakan kepada penyedia grup aturan Anda.

Pedoman untuk mengelola komponen yang terlalu besar di ACL web Anda

Cara Anda menangani komponen oversize di ACL web Anda dapat bergantung pada sejumlah faktor seperti ukuran yang diharapkan dari konten komponen permintaan Anda, penanganan permintaan default ACL web Anda, dan bagaimana aturan lain di ACL web Anda cocok dan menangani permintaan.

Pedoman umum untuk mengelola komponen permintaan web berukuran besar adalah sebagai berikut:

  • Jika Anda perlu mengizinkan beberapa permintaan dengan konten komponen yang terlalu besar, jika memungkinkan, tambahkan aturan untuk secara eksplisit hanya mengizinkan permintaan tersebut. Prioritaskan aturan tersebut sehingga mereka berjalan sebelum aturan lain di ACL web yang memeriksa jenis komponen yang sama. Dengan pendekatan ini, Anda tidak akan dapat menggunakannya AWS WAF untuk memeriksa seluruh konten komponen kebesaran yang Anda izinkan untuk diteruskan ke sumber daya yang dilindungi.

  • Untuk semua permintaan lainnya, Anda dapat mencegah byte tambahan lewat dengan memblokir permintaan yang melampaui batas:

    • Aturan dan grup aturan Anda — Dalam aturan yang memeriksa komponen dengan batas ukuran, konfigurasikan penanganan ukuran besar sehingga Anda memblokir permintaan yang melampaui batas. Misalnya, jika aturan Anda memblokir permintaan dengan konten header tertentu, setel penanganan ukuran besar agar sesuai dengan permintaan yang memiliki konten header yang terlalu besar. Sebagai alternatif, jika ACL web Anda memblokir permintaan secara default dan aturan Anda mengizinkan konten header tertentu, maka konfigurasikan penanganan ukuran besar aturan Anda agar tidak cocok dengan permintaan apa pun yang memiliki konten header yang terlalu besar.

    • Grup aturan yang tidak Anda kelola — Untuk mencegah grup aturan yang tidak Anda kelola mengizinkan komponen permintaan yang terlalu besar, Anda dapat menambahkan aturan terpisah yang memeriksa jenis komponen permintaan dan memblokir permintaan yang melampaui batas. Prioritaskan aturan di ACL web Anda sehingga berjalan sebelum grup aturan. Misalnya, Anda dapat memblokir permintaan dengan konten tubuh yang terlalu besar sebelum aturan inspeksi tubuh Anda dijalankan di ACL web. Prosedur berikut menjelaskan cara menambahkan jenis aturan ini.

Memblokir komponen permintaan web yang terlalu besar

Anda dapat menambahkan aturan di ACL web Anda yang memblokir permintaan dengan komponen yang terlalu besar.

Untuk menambahkan aturan yang memblokir konten berukuran besar

  1. Saat Anda membuat atau mengedit ACL web Anda, dalam pengaturan aturan, pilih Tambahkan aturan, Tambahkan aturan dan grup aturan saya sendiri, Pembuat aturan, lalu Editor visual Aturan. Untuk panduan tentang membuat atau mengedit ACL web, lihatMelihat metrik lalu lintas web di AWS WAF.

  2. Masukkan nama untuk aturan Anda, dan biarkan pengaturan Type pada aturan Regular.

  3. Ubah pengaturan kecocokan berikut dari defaultnya:

    1. Pada Pernyataan, untuk Inspect, buka dropdown dan pilih komponen permintaan web yang Anda butuhkan, baik Body, Header, atau Cookies.

    2. Untuk jenis Match, pilih Ukuran lebih besar dari.

    3. Untuk Ukuran, ketikkan angka yang setidaknya ukuran minimum untuk jenis komponen. Untuk header dan cookie, ketik8192. Dalam Application Load Balancer atau AWS AppSync web ACLs, untuk badan, tipe. 8192 Untuk badan di CloudFront, API Gateway, Amazon Cognito, App Runner, atau web Akses Terverifikasi ACLs, jika Anda menggunakan batas ukuran badan default, ketik. 16384 Jika tidak, ketikkan batas ukuran tubuh yang telah Anda tetapkan untuk ACL web Anda.

    4. Untuk penanganan Oversize, pilih Match.

  4. Untuk Tindakan, pilih Blokir.

  5. Pilih Tambahkan aturan.

  6. Setelah Anda menambahkan aturan, pada halaman prioritas aturan Set, pindahkan ke atas aturan atau grup aturan apa pun di ACL web Anda yang memeriksa jenis komponen yang sama. Ini memberi aturan baru pengaturan prioritas numerik yang lebih rendah, yang menyebabkan AWS WAF untuk mengevaluasinya terlebih dahulu. Untuk informasi selengkapnya, lihat Menetapkan prioritas aturan di ACL web.