So funktioniert die ASN-Match-Anweisung Eigenschaften der Regelanweisung Wo finde ich diese Regelaussage Beispiele

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anweisung zur Übereinstimmungsregel für autonome Systemnummern (ASN)

Eine ASN-Match-Rule-Anweisung in AWS WAF ermöglicht es Ihnen, den Webverkehr anhand der Autonomen Systemnummer (ASN) zu überprüfen, die der IP-Adresse der Anfrage zugeordnet ist. ASNs sind eindeutige Kennungen, die großen Internetnetzwerken zugewiesen werden, die von Organisationen wie Internetdienstanbietern, Unternehmen, Universitäten oder Regierungsbehörden verwaltet werden. Mithilfe von ASN Match Statements können Sie Datenverkehr von bestimmten Netzwerkorganisationen zulassen oder blockieren, ohne einzelne IP-Adressen verwalten zu müssen. Dieser Ansatz bietet eine stabilere und effizientere Methode zur Zugriffskontrolle als IP-basierte Regeln, da sie ASNs sich seltener ändern als IP-Bereiche.

Der ASN-Abgleich ist besonders nützlich, wenn es darum geht, Datenverkehr aus bekannten problematischen Netzwerken zu blockieren oder den Zugriff nur über vertrauenswürdige Partnernetzwerke zuzulassen. Die ASN-Match-Anweisung bietet Flexibilität bei der Bestimmung der Client-IP-Adresse durch eine optionale Konfiguration für weitergeleitete IP-Adressen. Dadurch ist sie mit verschiedenen Netzwerkkonfigurationen kompatibel, einschließlich solcher, die Content Delivery Networks (CDNs) oder Reverse-Proxys verwenden.

Anmerkung

ASN Matching ergänzt die standardmäßigen Authentifizierungs- und Autorisierungskontrollen, ersetzt sie jedoch nicht. Wir empfehlen Ihnen, Authentifizierungs- und Autorisierungsmechanismen wie IAM zu implementieren, um die Identität aller Anfragen in Ihren Anwendungen zu überprüfen.

So funktioniert die ASN-Match-Anweisung

AWS WAF bestimmt die ASN einer Anfrage anhand ihrer IP-Adresse. AWS WAF Verwendet standardmäßig die IP-Adresse des Ursprungs der Webanfrage. Sie können so konfigurieren AWS WAF , dass eine IP-Adresse aus einem alternativen Anforderungsheader verwendet wirdX-Forwarded-For, indem Sie beispielsweise die Konfiguration für weitergeleitete IP-Adressen in den Einstellungen für die Regelanweisung aktivieren.

Die ASN Match-Anweisung vergleicht die ASN der Anfrage mit der in der Regel ASNs angegebenen Liste. Wenn die ASN mit einer in der Liste übereinstimmt, wird die Anweisung als wahr ausgewertet und die zugehörige Regelaktion wird angewendet.

Behandlung nicht zugeordnet ASNs

Wenn AWS WAF keine ASN für eine gültige IP-Adresse ermittelt werden kann, wird ASN 0 zugewiesen. Sie können ASN 0 in Ihre Regel aufnehmen, um diese Fälle explizit zu behandeln.

Fallback-Verhalten für ungültige IP-Adressen

Wenn Sie die ASN-Match-Anweisung so konfigurieren, dass weitergeleitete IP-Adressen verwendet werden, können Sie für Anfragen mit ungültigen oder fehlenden IP-Adressen im angegebenen Header das Fallback-Verhalten „Match“ oder „No match“ angeben.

Eigenschaften der Regelanweisung

Verschachtelung – Sie können diesen Anweisungstyp verschachteln.

WCUs— 1 ECU

Diese Anweisung verwendet die folgenden Einstellungen:

ASN-Liste — Eine Reihe von ASN-Nummern, die im Hinblick auf eine ASN-Übereinstimmung verglichen werden sollen. Gültige Werte liegen im Bereich von 0 bis 4294967295. Sie können für jede Regel bis zu 100 ASNs angeben.
(Optional) Konfiguration für weitergeleitete IP-Adressen — AWS WAF Verwendet standardmäßig die IP-Adresse im Ursprung der Webanfrage, um die ASN zu ermitteln. Alternativ können Sie die Regel so konfigurieren, dass X-Forwarded-For stattdessen eine weitergeleitete IP in einem HTTP-Header verwendet wird. Sie geben an, ob die erste, letzte oder eine beliebige Adresse im Header verwendet werden soll. Mit dieser Konfiguration geben Sie auch ein Fallback-Verhalten an, das auf eine Webanfrage mit einer falsch formatierten IP-Adresse im Header angewendet wird. Das Fallback-Verhalten legt das Übereinstimmungsergebnis für die Anforderung fest, auf Übereinstimmgung oder keine Übereinstimmung. Weitere Informationen finden Sie unter Weitergeleitete IP-Adressen verwenden.

Wo finde ich diese Regelaussage

Rule Builder auf der Konsole — Wählen Sie für die Option Anfrage die Option Stammt von ASN in aus.
API – AsnMatchStatement

Beispiele

In diesem Beispiel werden Anfragen blockiert, die von zwei bestimmten, aus einem X-Forwarded-For Header ASNs abgeleiteten Anfragen stammen. Wenn die IP-Adresse im Header falsch formatiert ist, gilt das konfigurierte Fallback-Verhalten. NO_MATCH


{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IP-Set-Übereinstimmung

Bezeichnungsübereinstimmung