でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced
オーバーサイズコンポーネントのブロック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのオーバーサイズのウェブリクエストコンポーネントの処理 AWS WAF

このセクションでは、 でウェブリクエストボディ、ヘッダー、Cookie の検査に関するサイズ制限を管理する方法について説明します。 AWS WAF.

AWS WAF は、ウェブリクエストコンポーネント本文、ヘッダー、または Cookie の非常に大きなコンテンツの検査をサポートしていません。基盤となるホストサービスには、転送先のカウントとサイズの制限があります。 AWS WAF 検査用。例えば、ホストサービスは 200 を超えるヘッダーを に送信しません。 AWS WAFそのため、205 ヘッダーのウェブリクエストの場合、 AWS WAF は、最後の 5 つのヘッダーを検査できません。

メトリック AWS WAF は、保護されたリソースにウェブリクエストを続行することを許可し、ウェブリクエスト全体が送信されます。これには、 AWS WAF は検査できました。

コンポーネント検査のサイズ制限

コンポーネント検査のサイズ制限は次のとおりです。

  • Body および JSON Body — Application Load Balancer および の場合 AWS AppSync, AWS WAF は、リクエストの本文の最初の 8 KB を検査できます。 CloudFront、APIGateway、Amazon CognitoApp Runner、Verified Access の場合、デフォルトでは、 AWS WAF は最初の 16 KB を検査でき、ウェブACL設定の制限を最大 64 KB まで増やすことができます。詳細については、「の本文検査のサイズ制限の管理 AWS WAF」を参照してください。

  • Headers – AWS WAF は、リクエストヘッダーの最初の 8 KB (8,192 バイト) まで、および最初の 200 個のヘッダーまで検査できます。コンテンツは による検査に使用できます。 AWS WAF は、最初の制限に達しました。

  • Cookies – AWS WAF は、リクエスト Cookie の最初の 8 KB (8,192 バイト) まで、および最初の 200 個の Cookie までを検査できます。コンテンツは による検査に使用できます。 AWS WAF は、最初の制限に達しました。

ルールステートメントのオーバーサイズの処理オプション

これらのリクエストコンポーネントタイプのいずれかを検査するルールステートメントを記述するときは、オーバーサイズコンポーネントの処理方法を指定します。オーバーサイズの処理指示 AWS WAF ルールが検査するリクエストコンポーネントがサイズ制限を超えている場合のウェブリクエストの処理方法。

オーバーサイズコンポーネントを処理するためのオプションは次のとおりです。

  • Continue – ルール検査基準に従って、リクエストコンポーネントを正常に検査します。 AWS WAF は、サイズ制限内のリクエストコンポーネントの内容を検査します。

  • Match - ウェブリクエストをルールステートメントと一致するものとして扱います。 AWS WAF は、ルールの検査基準に照らして評価することなく、ルールアクションをリクエストに適用します。

  • No match — ウェブリクエストをルールの検査基準に照らして評価せずに、ルールステートメントと一致しないものとして扱います。 AWS WAF は、一致しないルールACLの場合と同様に、ウェブ内の残りのルールを使用してウェブリクエストの検査を続行します。

左 AWS WAF コンソールでは、これらの処理オプションのいずれかを選択する必要があります。コンソールの外では、デフォルトのオプションは です。Continue.

を使用する場合 Match アクションが に設定されているルールの オプション Block、ルールは検査済みコンポーネントがオーバーサイズであるリクエストをブロックします。他の設定では、リクエストの最終処理は、ウェブ内の他のルールの設定ACLやウェブACLの のデフォルトのアクション設定など、さまざまな要因によって異なります。

ユーザーが所有していないルールグループでのオーバーサイズの処理

コンポーネントのサイズと数の制限は、ウェブ で使用するすべてのルールに適用されますACL。これには、マネージドルールグループ内および別のアカウントと共有しているルールグループ内にある、使用しているが管理されていないルールが含まれます。

ユーザーが管理していないルールグループを使用する場合、ルールグループに制限されたリクエストコンポーネントを検査するルールがあっても、そのルールではオーバーサイズのコンテンツが必要な方法で処理されない場合があります。方法の詳細については、「」を参照してください。 AWS マネージドルールはオーバーサイズコンポーネントを管理します。「」を参照してくださいAWS マネージドルールのルールグループリスト。他のルールグループの詳細については、ルールグループプロバイダーにお問い合わせください。

ウェブ内のオーバーサイズコンポーネントを管理するためのガイドライン ACL

ウェブ内のオーバーサイズコンポーネントを処理する方法はACL、リクエストコンポーネントの内容の予想サイズ、ウェブACLの のデフォルトのリクエスト処理、ウェブ内の他のルールがリクエストをACL照合して処理する方法など、さまざまな要因によって異なります。

オーバーサイズのウェブリクエストコンポーネントを管理するための一般的なガイドラインは、以下のとおりです。

  • オーバーサイズのコンポーネントコンテンツを含む一部のリクエストを許可する必要がある場合は、可能な場合は、それらのリクエストのみを明示的に許可するルールを追加します。同じコンポーネントタイプを検査するウェブ内の他のルールよりも先に実行されるようにACL、これらのルールに優先順位を付けます。この方法では、 を使用することはできません。 AWS WAF は、保護されたリソースに渡すことを許可するオーバーサイズコンポーネントのコンテンツ全体を検査します。

  • 他のすべてのリクエストでは、次のように、制限を超えるリクエストをブロックすることで、余計なバイトが通過するのを防ぐことができます。

    • ルールとルールグループ – サイズ制限のあるコンポーネントを検査するルールで、制限を超過するリクエストをブロックするようにオーバーサイズの処理を設定します。例えば、ルールで特定のヘッダーコンテンツを含むリクエストをブロックする場合、オーバーサイズのヘッダーコンテンツを持つリクエストと一致するようにオーバーサイズの処理を設定できます。または、ウェブがデフォルトでリクエストをACLブロックし、ルールで特定のヘッダーコンテンツが許可されている場合は、オーバーサイズのヘッダーコンテンツを持つリクエストで一致しないようにルールのオーバーサイズ処理を設定します。

    • 管理していないルールグループ – 管理していないルールグループでオーバーサイズのリクエストコンポーネントを許可しないようにするには、リクエストコンポーネントタイプを検査して制限を超えるリクエストをブロックする別のルールを追加します。ルールグループの前に実行ACLされるように、ウェブでルールを優先します。例えば、ウェブ で本文検査ルールを実行する前に、オーバーサイズの本文コンテンツを含むリクエストをブロックできますACL。次の手順では、このタイプのルールを追加する方法について説明します。

オーバーサイズのウェブリクエストコンポーネントのブロック

オーバーサイズのコンポーネントを含むリクエストをブロックACLするルールをウェブに追加できます。

オーバーサイズのコンテンツをブロックするルールを追加するには

  1. ウェブ を作成または編集するときACL、ルール設定で、ルールの追加、独自のルールとルールグループの追加ルールビルダー ルールビジュアルエディタ を選択します。ウェブ を作成または編集するガイダンスについては、ACL「」を参照してくださいでのウェブトラフィックメトリクスの表示 AWS WAF

  2. ルールの名前を入力し、[Type] (タイプ) 設定を [Regular rule] (通常のルール) のままにします。

  3. 次の一致設定をデフォルトから変更します。

    1. [Statement] (ステートメント) の [Inspect] (検査) で、ドロップダウンを開き、必要なウェブリクエストコンポーネント ([Body] (本文)、[Headers] (ヘッダー)、[Cookies] (cookie) のいずれか) を選択します。

    2. [Match type] (一致タイプ) で、[Size greater than] (次より大きいサイズ:) を選択します。

    3. [サイズ] で、コンポーネントタイプの最小サイズ以上の数値を入力します。ヘッダーと Cookie の場合は、 と入力します8192。Application Load Balancer または AWS AppSync ウェブACLs、本文の場合は、 と入力します8192。 CloudFront、APIGateway、Amazon CognitoApp Runner、または Verified Access ウェブ の本文でACLs、デフォルトの本文サイズ制限を使用している場合は、「」と入力します16384。それ以外の場合は、ウェブ に定義した本文のサイズ制限を入力しますACL。

    4. [Oversize handling] (オーバーサイズ処理) で、[Match] (一致) を選択します。

  4. [Action] (アクション) で、[Block] (ブロック) を選択します。

  5. [Add Rule] (ルールの追加) を選択します。

  6. ルールを追加したら、ルールの優先度の設定ページで、同じコンポーネントタイプを検査ACLするウェブ内のルールまたはルールグループの上に移動します。これにより、新しいルールの優先順位の数値が低くなるため、 AWS WAF 最初に評価します。詳細については、「ウェブでのルール優先度の設定 ACL」を参照してください。