AWSWAF 예외처리 문의 드립니다.

Question

안녕하세요.

/aaa 경로는 Sizerestrictions_Body 또는 Sizerestrictions_Body, CrossSiteScripting_BODY로 탐지되고 있습니다. SizeRestrictions_Body 단일 label이 있을 경우에만 AWSWAF scope로 예외처리를 하고, Sizerestrictions_Body, CrossSiteScripting_BODY label인 경우는 AWSWAF를 통과하도록 설정할 수 있나요?

AWSWAF Scope of inspection으로 불가하다면, 어떤 방법이 있을까요?

re:Post Agent · Answer

네, AWS WAF에서 특정 경로에 대한 예외 처리를 구성할 수 있습니다. 하지만 귀하가 요청하신 정확한 조건을 구현하기 위해서는 몇 가지 단계가 필요할 것 같습니다.

1. SizeRestrictions_Body 단일 라벨에 대한 예외 처리:
   이는 WAF의 규칙 그룹 내에서 직접 구성할 수 있습니다. '/aaa' 경로에 대해 SizeRestrictions_Body 규칙을 무시하도록 설정할 수 있습니다.

2. SizeRestrictions_Body와 CrossSiteScripting_BODY 라벨이 동시에 있는 경우 통과:
   이 경우는 조금 더 복잡합니다. WAF에서 직접적으로 이러한 조건부 로직을 구현하기는 어렵습니다. 대신 다음과 같은 접근 방식을 고려해볼 수 있습니다:

a. 사용자 정의 규칙 생성: '/aaa' 경로에 대해 두 라벨이 모두 있는 경우를 감지하는 사용자 정의 규칙을 만들고, 이 경우 요청을 허용하도록 설정합니다.

b. 규칙 우선순위 조정: 사용자 정의 규칙의 우선순위를 기존 규칙보다 높게 설정하여, 두 라벨이 모두 있는 경우 먼저 평가되도록 합니다.

c. 로깅 및 모니터링: 이러한 예외 케이스에 대한 로깅을 설정하여 예상대로 작동하는지 모니터링합니다.

WAF의 Scope of inspection만으로는 이러한 복잡한 조건을 완전히 구현하기 어려울 수 있습니다. 따라서 사용자 정의 규칙과 기존 규칙의 조합을 통해 원하는 동작을 구현하는 것이 가장 효과적인 방법일 것 같습니다.

이 접근 방식을 사용하면 원하는 예외 처리를 구현할 수 있지만, 구성이 복잡해질 수 있으므로 주의 깊게 테스트하고 모니터링해야 합니다.  
**Sources**  
[Baseline rule groups - AWS WAF, AWS Firewall Manager, and AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-baseline.html)  
[How do I allow requests from an oversized request body to pass through WAF? | AWS re:Post](https://repost.aws/questions/QU9ZgY5LBlQXiFWxaTvlGm5A/how-do-i-allow-requests-from-an-oversized-request-body-to-pass-through-waf)

AWSWAF 예외처리 문의 드립니다.

답변 추가

관련 콘텐츠