Declaración de la regla de coincidencia del número de sistema autónomo (ASN) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, y director AWS Shield de seguridad de red
Cómo funciona la sentencia ASN MatchCaracterísticas de la instrucción de reglasDónde encontrar esta instrucción de reglaEjemplos

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulta Trabajar con la experiencia de consola actualizada.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaración de la regla de coincidencia del número de sistema autónomo (ASN)

Una declaración de la regla de coincidencia de ASN AWS WAF permite inspeccionar el tráfico web en función del número de sistema autónomo (ASN) asociado a la dirección IP de la solicitud. ASNs son identificadores únicos que se asignan a grandes redes de Internet administradas por organizaciones como proveedores de servicios de Internet, empresas, universidades o agencias gubernamentales. Al utilizar las instrucciones de coincidencia de ASN, puede permitir o bloquear el tráfico de organizaciones de red específicas sin tener que administrar direcciones IP individuales. Este enfoque ofrece una forma más estable y eficiente de controlar el acceso en comparación con las reglas basadas en IP, ya que ASNs cambian con menos frecuencia que los rangos de IP.

La coincidencia de ASN resulta especialmente útil en situaciones como bloquear el tráfico procedente de redes problemáticas conocidas o permitir el acceso únicamente desde redes asociadas de confianza. La declaración de coincidencia de ASN proporciona flexibilidad a la hora de determinar la dirección IP del cliente mediante una configuración de IP reenviada opcional, lo que la hace compatible con diversas configuraciones de red, incluidas las que utilizan redes de entrega de contenido (CDNs) o proxies inversos.

nota

La coincidencia de ASN complementa, pero no reemplaza, los controles de autenticación y autorización estándar. Le recomendamos que implemente mecanismos de autenticación y autorización, como la IAM, para verificar la identidad de todas las solicitudes de sus aplicaciones.

Cómo funciona la sentencia ASN Match

AWS WAF determina el ASN de una solicitud en función de su dirección IP. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Puedes configurarlo AWS WAF para usar una dirección IP de un encabezado de solicitud alternativo, por ejemploX-Forwarded-For, habilitando la configuración de IP reenviada en la configuración de la declaración de reglas.

La sentencia de coincidencia de ASN compara el ASN de la solicitud con la lista ASNs especificada en la regla. Si el ASN coincide con uno de los de la lista, la sentencia se evalúa como verdadera y se aplica la acción de regla asociada.

Manejo de datos no mapeados ASNs

Si AWS WAF no puede determinar un ASN para una dirección IP válida, asigna el ASN 0. Puede incluir el ASN 0 en la regla para gestionar estos casos de forma explícita.

Comportamiento alternativo para direcciones IP no válidas

Cuando configuras la sentencia ASN Match para que utilice direcciones IP reenviadas, puedes especificar un comportamiento alternativo de Match o No match para las solicitudes en las que falten direcciones IP o no sean válidas en el encabezado designado.

Características de la instrucción de reglas

Se puede anidar: puede anidar este tipo de instrucción.

WCUs— 1 WCU

Esta instrucción utiliza la siguiente configuración:

  • Lista de ASN: una matriz de números de ASN para comparar una coincidencia de ASN. Los valores válidos oscilan entre 0 y 4294967295. Puede especificar hasta 100 ASNs para cada regla.

  • (Opcional) Configuración de IP reenviada: de forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web para determinar el ASN. Como alternativa, puedes configurar la regla para que utilice una IP reenviada en un encabezado HTTP, como en X-Forwarded-For su lugar. Puede especificar si desea utilizar la primera, la última o cualquier dirección del encabezado. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte Uso de direcciones IP reenviadas.

Dónde encontrar esta instrucción de regla

  • Creador de reglas en la consola: en la opción Solicitud, selecciona Se origina en ASN en.

  • API: AsnMatchStatement

Ejemplos

Este ejemplo bloquea las solicitudes que se originan a partir de dos datos específicos ASNs derivados de un X-Forwarded-For encabezado. Si la dirección IP del encabezado tiene un formato incorrecto, el comportamiento alternativo configurado sí lo es. NO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}