Componentes de solicitudes web con tamaño excesivo en AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Bloqueo de componentes sobredimensionados

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Componentes de solicitudes web con tamaño excesivo en AWS WAF

En esta sección se explica cómo administrar los límites de tamaño al inspeccionar el cuerpo, los encabezados y las cookies de la solicitud web en AWS WAF.

AWS WAF no admite la inspección de contenidos muy grandes para el cuerpo, los encabezados o las cookies de los componentes de las solicitudes web. El servicio de host subyacente tiene límites de recuento y tamaño en cuanto a lo que reenvía a AWS WAF para su inspección. Por ejemplo, el servicio de host no envía más de 200 encabezados a AWS WAF, por lo que, en el caso de una solicitud web con 205 encabezados, AWS WAF no puede inspeccionar los últimos 5 encabezados.

Cuando AWS WAF permite que una solicitud web pase a su recurso protegido, se envía la solicitud web completa, incluido el contenido que se encuentra fuera de los límites de recuento y tamaño que AWS WAF pudo inspeccionar.

Límites de tamaño de inspección de componentes

Los límites de tamaño de inspección de los componentes son los siguientes:

  • Body y JSON Body: en el caso de los equilibradores de carga de aplicación y AWS AppSync, AWS WAF puede inspeccionar los primeros 8 KB del cuerpo de una solicitud. Para CloudFront, API Gateway, Amazon Cognito, App Runner y Verified Access, de forma predeterminada, AWS WAF puede inspeccionar los primeros 16 KB y puede aumentar el límite hasta 64 KB en la configuración del paquete de protección (ACL web). Para obtener más información, consulte Consideraciones para gestionar la inspección corporal en AWS WAF.

  • Headers – AWS WAF puede inspeccionar, como máximo, los primeros 8 KB (8192 bytes) de los encabezados de las solicitudes y, como máximo, los primeros 200 encabezados. El contenido está disponible para su inspección por AWS WAF hasta que se alcance el primer límite.

  • Cookies – AWS WAF puede inspeccionar, como máximo, los primeros 8 KB (8192 bytes) de las cookies de las solicitudes y, como máximo, las primeros 200 cookies. El contenido está disponible para su inspección por AWS WAF hasta que se alcance el primer límite.

Opciones de gestión del sobredimensionamiento para sus instrucciones de reglas

Cuando escriba una instrucción de regla que inspecciona uno de estos tipos de componentes de solicitud, especifique cómo gestionar los componentes sobredimensionados. El manejo del tamaño excesivo indica a AWS WAF qué hacer con una solicitud web cuando el componente de la solicitud que inspecciona la regla supera los límites de tamaño.

Las opciones de gestión de componentes sobredimensionados son las siguientes:

  • Continue: inspeccione el componente de solicitud normalmente de acuerdo con los criterios de inspección de reglas. AWS WAF inspeccionará el contenido del componente de la solicitud que se encuentre dentro de los límites de tamaño.

  • Match: trate la solicitud web como coincidente con la declaración de regla. AWS WAF aplica la acción de la regla a la solicitud.

  • No match: trate la solicitud web como no coincidente con la instrucción de regla sin evaluarla con respecto a los criterios de inspección de la regla. AWS WAF continúa la inspección de la solicitud web con el resto de las reglas del paquete de protección (ACL web), como lo haría con cualquier regla que no coincida.

En la consola de AWS WAF, debe elegir una de estas opciones de gestión. Fuera de la consola, la opción predeterminada es Continue.

Si utiliza la opción Match en una regla cuya acción esté establecida en Block, la regla bloqueará una solicitud cuyo componente inspeccionado esté sobredimensionado. Con cualquier otra configuración, la disposición final de la solicitud depende de varios factores, como la configuración de las demás reglas del paquete de protección (ACL web) y la acción predeterminada del paquete de protección (ACL web).

Gestión de sobredimensionamiento en grupos de reglas que no le pertenecen

Las limitaciones de tamaño y cantidad de componentes aplican a todas las reglas que utilice en su paquete de protección (ACL web). Esto incluye todas las reglas que utilice pero no administre en los grupos de reglas administradas y en los grupos de reglas que otra cuenta comparta con usted.

Cuando utilice un grupo de reglas que no administre, es posible que el grupo de reglas tenga una regla que inspeccione un componente de solicitud limitado, pero que no gestione el contenido sobredimensionado de la forma en que necesita que se gestione. Para obtener información sobre cómo las reglas administradas de AWS administran los componentes sobredimensionados, consulte Lista de grupos de reglas administradas de AWS. Para obtener información sobre otros grupos de reglas, pregunte a su proveedor de grupos de reglas.

Pautas para administrar componentes de tamaño excesivo en su paquete de protección (ACL web)

La forma en que maneje componentes de tamaño excesivo en su paquete de protección (ACL web) puede depender de varios factores, como el tamaño esperado del contenido del componente de la solicitud, el manejo predeterminado de solicitudes del paquete de protección (ACL web) y cómo coinciden y manejan las solicitudes otras reglas del paquete de protección (ACL web).

Las pautas generales para administrar los componentes sobredimensionados de solicitudes web son las siguientes:

  • Si necesita permitir algunas solicitudes con un contenido de componentes sobredimensionados, si es posible, añada reglas para permitir explícitamente solo esas solicitudes. Priorice esas reglas para que se ejecuten antes que cualquier otra regla del paquete de protección (ACL web) que inspeccione los mismos tipos de componentes. Con este enfoque, no podrá usar AWS WAF para inspeccionar todo el contenido de los componentes sobredimensionados que permite pasar a su recurso protegido.

  • Para todas las demás solicitudes, puede evitar que pasen bytes adicionales bloqueando las solicitudes que superen el límite:

    • Sus reglas y grupos de reglas: en las reglas que inspeccionan los componentes con límites de tamaño, configure la gestión del sobredimensionamiento para bloquear las solicitudes que superen el límite. Por ejemplo, si su regla bloquea las solicitudes con un contenido de encabezado específico, configure la gestión del sobredimensionamiento para que coincida con las solicitudes que tienen un contenido de encabezado sobredimensionado. Como alternativa, si su paquete de protección (ACL web) bloquea solicitudes de manera predeterminada y su regla permite contenido específico de encabezados, configure el manejo de componentes excesivos de su regla para que no coincida con ninguna solicitud que tenga encabezados de tamaño excesivo.

    • Grupos de reglas que no administra: para evitar que los grupos de reglas que no administra permitan componentes de solicitudes sobredimensionados, puede agregar una regla independiente que inspeccione el tipo de componente de solicitud y bloquee las solicitudes que sobrepasen los límites. Priorice la regla en su paquete de protección (ACL web) para que se ejecute antes que los grupos de reglas. Por ejemplo, puede bloquear solicitudes con cuerpos de tamaño excesivo antes de que se ejecute cualquiera de sus reglas de inspección de cuerpo en el paquete de protección (ACL web). El siguiente procedimiento describe cómo agregar este tipo de regla.

Bloqueo de componentes de solicitudes web sobredimensionados

Puede agregar una regla en su paquete de protección (ACL web) que bloquee solicitudes con componentes excesivos.

Cómo agregar una regla que bloquee el contenido sobredimensionado

  1. Cuando cree o edite su paquete de protección (ACL web), en la configuración de reglas, elija Agregar reglas, Agregar mis propias reglas y grupos de reglas, Generador de reglas y, a continuación, Editor visual de reglas. Para obtener orientación sobre cómo crear o editar un paquete de protección (ACL web), consulte Cómo ver las métricas de tráfico web en AWS WAF.

  2. Introduzca un nombre para la regla y deje la opción Tipo en Regla normal.

  3. Cambia las siguientes configuraciones de coincidencia de sus valores predeterminados:

    1. En Instrucción, en Inspeccionar, abra el menú desplegable y elija el componente de solicitud web que necesite: Cuerpo, Encabezados o Cookies.

    2. En Tipo de coincidencia, seleccione Tamaño mayor que.

    3. En Tamaño, escriba un número que sea al menos el tamaño mínimo para el tipo de componente. En encabezados y cookies, escriba 8192. En paquetes de protección (ACL web) del equilibrador de carga de la red AWS AppSync, para cuerpo, escriba 8192. Para cuerpo en paquetes de protección (ACL web) de CloudFront, API Gateway, Amazon Cognito, App Runner o Verified Access, si usa el límite de tamaño de cuerpo predeterminado, escriba 16384. De lo contrario, escriba el límite de tamaño de cuerpo que haya definido para su paquete de protección (ACL web).

    4. Para Administrar sobredimensionamiento, seleccione Coincidencia.

  4. En Acción, seleccione Bloquear.

  5. Seleccione Agregar regla.

  6. Después de agregar la regla, en la página Establecer la prioridad de la regla, muévala por encima de cualquier regla o grupo de reglas del paquete de protección (ACL web) que inspeccione el mismo tipo de componente. Esto brinda a la regla nueva una configuración de prioridad numérica más baja, lo que hace que AWS WAF la evalúe primero. Para obtener más información, consulte Cómo establecer la prioridad de las reglas.