Pernyataan aturan pencocokan Autonomous System Number (ASN) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan
Cara kerja pernyataan pencocokan ASNKarakteristik pernyataan aturanDi mana menemukan pernyataan aturan iniContoh

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pernyataan aturan pencocokan Autonomous System Number (ASN)

Pernyataan aturan pencocokan ASN AWS WAF memungkinkan Anda untuk memeriksa lalu lintas web berdasarkan Nomor Sistem Otonom (ASN) yang terkait dengan alamat IP permintaan. ASNs adalah pengidentifikasi unik yang ditugaskan ke jaringan internet besar yang dikelola oleh organisasi seperti penyedia layanan internet, perusahaan, universitas, atau lembaga pemerintah. Dengan menggunakan pernyataan pencocokan ASN, Anda dapat mengizinkan atau memblokir lalu lintas dari organisasi jaringan tertentu tanpa harus mengelola alamat IP individual. Pendekatan ini menawarkan cara yang lebih stabil dan efisien untuk mengontrol akses dibandingkan dengan aturan berbasis IP, karena ASNs perubahan lebih jarang daripada rentang IP.

Pencocokan ASN sangat berguna untuk skenario seperti memblokir lalu lintas dari jaringan bermasalah yang diketahui atau mengizinkan akses hanya dari jaringan mitra tepercaya. Pernyataan pencocokan ASN memberikan fleksibilitas dalam menentukan alamat IP klien melalui konfigurasi IP yang diteruskan opsional, membuatnya kompatibel dengan berbagai pengaturan jaringan termasuk yang menggunakan jaringan pengiriman konten () CDNs atau proxy terbalik.

catatan

Suplemen pencocokan ASN, tetapi tidak menggantikan, otentikasi standar dan kontrol otorisasi. Kami menyarankan Anda menerapkan mekanisme otentikasi dan otorisasi, seperti IAM, untuk memverifikasi identitas semua permintaan dalam aplikasi Anda.

Cara kerja pernyataan pencocokan ASN

AWS WAF menentukan ASN permintaan berdasarkan alamat IP-nya. Secara default, AWS WAF menggunakan alamat IP asal permintaan web. Anda dapat mengonfigurasi AWS WAF untuk menggunakan alamat IP dari header permintaan alternatif, sepertiX-Forwarded-For, dengan mengaktifkan konfigurasi IP yang diteruskan dalam pengaturan pernyataan aturan.

Pernyataan pencocokan ASN membandingkan ASN permintaan dengan daftar yang ASNs ditentukan dalam aturan. Jika ASN cocok dengan satu dalam daftar, pernyataan mengevaluasi ke true, dan tindakan aturan terkait diterapkan.

Penanganan tidak dipetakan ASNs

Jika AWS WAF tidak dapat menentukan ASN untuk alamat IP yang valid, ia menetapkan ASN 0. Anda dapat menyertakan ASN 0 dalam aturan Anda untuk menangani kasus ini secara eksplisit.

Perilaku Fallback untuk Alamat IP Tidak Valid

Saat mengonfigurasi pernyataan pencocokan ASN untuk menggunakan alamat IP yang diteruskan, Anda dapat menentukan perilaku fallback dari Match or No match for request dengan alamat IP yang tidak valid atau hilang di header yang ditentukan.

Karakteristik pernyataan aturan

Nestable - Anda dapat membuat jenis pernyataan ini.

WCUs— 1 WCU

Pernyataan ini menggunakan pengaturan berikut:

  • Daftar ASN — Array nomor ASN untuk membandingkan kecocokan ASN. Nilai yang valid berkisar dari 0 hingga 4294967295. Anda dapat menentukan hingga 100 ASNs untuk setiap aturan.

  • (Opsional) Konfigurasi IP yang diteruskan — Secara default, AWS WAF menggunakan alamat IP di asal permintaan web untuk menentukan ASN. Atau, Anda dapat mengonfigurasi aturan untuk menggunakan IP yang diteruskan di header HTTP seperti X-Forwarded-For sebagai gantinya. Anda menentukan apakah akan menggunakan alamat pertama, terakhir, atau alamat apa pun di header. Dengan konfigurasi ini, Anda juga menentukan perilaku fallback untuk diterapkan ke permintaan web dengan alamat IP cacat di header. Perilaku fallback menetapkan hasil pencocokan untuk permintaan, agar cocok atau tidak cocok. Untuk informasi selengkapnya, lihat Menggunakan alamat IP yang diteruskan.

Di mana menemukan pernyataan aturan ini

  • Pembuat aturan di konsol — Untuk opsi Permintaan, pilih Berasal dari ASN di.

  • APIAsnMatchStatement

Contoh

Contoh ini memblokir permintaan yang berasal dari dua spesifik ASNs yang berasal dari X-Forwarded-For header. Jika alamat IP di header salah bentuk, perilaku fallback yang dikonfigurasi adalah. NO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}