Déclaration de règle de correspondance ASN (Autonomous System Number) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, et directeur de la sécurité AWS Shield réseau
Comment fonctionne le relevé de match de l'ASNCaractéristiques de l'énoncé des règlesOù trouver cette déclaration de règleExemples

Présentation d'une nouvelle expérience de console pour AWS WAF

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour en savoir plus, consultez Utilisation de l'expérience de console mise à jour.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déclaration de règle de correspondance ASN (Autonomous System Number)

Une déclaration de règle de correspondance ASN vous AWS WAF permet d'inspecter le trafic Web en fonction du numéro de système autonome (ASN) associé à l'adresse IP de la demande. ASNs sont des identifiants uniques attribués à de grands réseaux Internet gérés par des organisations telles que des fournisseurs de services Internet, des entreprises, des universités ou des agences gouvernementales. En utilisant les instructions de correspondance ASN, vous pouvez autoriser ou bloquer le trafic provenant d'organisations réseau spécifiques sans avoir à gérer des adresses IP individuelles. Cette approche offre un moyen plus stable et plus efficace de contrôler l'accès par rapport aux règles basées sur l'IP, car elles ASNs changent moins fréquemment que les plages d'adresses IP.

La correspondance ASN est particulièrement utile pour les scénarios tels que le blocage du trafic en provenance de réseaux problématiques connus ou l'autorisation d'accès uniquement à partir de réseaux partenaires fiables. L'instruction ASN match permet de déterminer avec flexibilité l'adresse IP du client grâce à une configuration IP transférée optionnelle, ce qui la rend compatible avec diverses configurations réseau, y compris celles utilisant des réseaux de diffusion de contenu (CDNs) ou des proxys inverses.

Note

La correspondance ASN complète, mais ne remplace pas, les contrôles d'authentification et d'autorisation standard. Nous vous recommandons de mettre en œuvre des mécanismes d'authentification et d'autorisation, tels que l'IAM, pour vérifier l'identité de toutes les demandes dans vos applications.

Comment fonctionne le relevé de match de l'ASN

AWS WAF détermine l'ASN d'une demande en fonction de son adresse IP. Par défaut, AWS WAF utilise l'adresse IP d'origine de la requête Web. Vous pouvez configurer AWS WAF pour utiliser une adresse IP provenant d'un autre en-tête de demandeX-Forwarded-For, par exemple en activant la configuration IP transférée dans les paramètres de l'énoncé de règle.

L'instruction ASN match compare l'ASN de la demande à la liste ASNs spécifiée dans la règle. Si l'ASN correspond à l'un des numéros de la liste, l'instruction est considérée comme vraie et l'action de règle associée est appliquée.

Gestion des données non mappées ASNs

S'il AWS WAF n'est pas possible de déterminer un ASN pour une adresse IP valide, il attribue un ASN 0. Vous pouvez inclure l'ASN 0 dans votre règle pour traiter ces cas de manière explicite.

Comportement de secours en cas d'adresses IP non valides

Lorsque vous configurez l'instruction ASN match pour utiliser des adresses IP transférées, vous pouvez définir un comportement de secours Match ou No match pour les demandes dont les adresses IP sont invalides ou manquantes dans l'en-tête désigné.

Caractéristiques de l'énoncé des règles

Imbriquable : vous pouvez imbriquer ce type de déclaration.

WCUs— 1 ECU

Cette instruction utilise les paramètres suivants :

  • Liste ASN : tableau de numéros ASN à comparer pour une correspondance ASN. Les valeurs valides sont comprises entre 0 et 4294967295. Vous pouvez spécifier jusqu'à 100 ASNs pour chaque règle.

  • (Facultatif) Configuration IP transférée — Par défaut, AWS WAF utilise l'adresse IP dans l'origine de la demande Web pour déterminer l'ASN. Vous pouvez également configurer la règle pour utiliser une adresse IP transférée dans un en-tête HTTP à la X-Forwarded-For place. Vous spécifiez si vous souhaitez utiliser la première, la dernière ou n'importe quelle adresse dans l'en-tête. Avec cette configuration, vous spécifiez également un comportement de secours à appliquer à une requête Web dont l'en-tête contient une adresse IP mal formée. Le comportement de remplacement définit le résultat correspondant à la demande, qu'il corresponde ou non. Pour plus d'informations, consultez la section Utilisation d'adresses IP transférées.

Où trouver cette déclaration de règle

  • Générateur de règles sur la console : pour l'option Demande, choisissez Provient de l'ASN dans.

  • APIAsnMatchStatement

Exemples

Cet exemple bloque les demandes provenant de deux requêtes spécifiques ASNs dérivées d'un X-Forwarded-For en-tête. Si l'adresse IP dans l'en-tête est mal formée, le comportement de secours configuré est le suivant. NO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}