Dichiarazione della regola di corrispondenza dei numeri di sistema autonomi (ASN) - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Come funziona l'istruzione ASN MatchCaratteristiche della dichiarazione delle regoleDove trovare questa dichiarazione sulle regoleEsempi

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Dichiarazione della regola di corrispondenza dei numeri di sistema autonomi (ASN)

Un'istruzione ASN match rule AWS WAF consente di ispezionare il traffico web in base all'Autonomous System Number (ASN) associato all'indirizzo IP della richiesta. ASNs sono identificatori univoci assegnati a reti Internet di grandi dimensioni gestite da organizzazioni quali provider di servizi Internet, imprese, università o agenzie governative. Utilizzando le istruzioni ASN Match, è possibile consentire o bloccare il traffico proveniente da organizzazioni di rete specifiche senza dover gestire singoli indirizzi IP. Questo approccio offre un modo più stabile ed efficiente per controllare l'accesso rispetto alle regole basate su IP, poiché le modifiche vengono ASNs modificate meno frequentemente rispetto agli intervalli IP.

La corrispondenza ASN è particolarmente utile in scenari come bloccare il traffico proveniente da reti problematiche note o consentire l'accesso solo da reti di partner affidabili. L'istruzione ASN match offre flessibilità nella determinazione dell'indirizzo IP del client tramite una configurazione IP inoltrata opzionale, rendendola compatibile con varie configurazioni di rete, comprese quelle che utilizzano reti di distribuzione dei contenuti () o proxy inversi. CDNs

Nota

ASN Matching integra, ma non sostituisce, i controlli standard di autenticazione e autorizzazione. Ti consigliamo di implementare meccanismi di autenticazione e autorizzazione, come IAM, per verificare l'identità di tutte le richieste nelle tue applicazioni.

Come funziona l'istruzione ASN Match

AWS WAF determina l'ASN di una richiesta in base al relativo indirizzo IP. Per impostazione predefinita, AWS WAF utilizza l'indirizzo IP dell'origine della richiesta Web. È possibile AWS WAF configurare l'utilizzo di un indirizzo IP da un'intestazione di richiesta alternativa, ad esempio X-Forwarded-For abilitando la configurazione IP inoltrata nelle impostazioni della dichiarazione delle regole.

L'istruzione ASN match confronta l'ASN della richiesta con l'elenco specificato nella regola. ASNs Se l'ASN corrisponde a uno nell'elenco, l'istruzione restituisce true e viene applicata l'azione associata alla regola.

Gestione non mappata ASNs

Se AWS WAF non riesce a determinare un ASN per un indirizzo IP valido, assegna ASN 0. Puoi includere ASN 0 nella tua regola per gestire questi casi in modo esplicito.

Comportamento di riserva per indirizzi IP non validi

Quando configuri l'istruzione ASN Match per utilizzare gli indirizzi IP inoltrati, puoi specificare un comportamento di fallback di Match o No match per le richieste con indirizzi IP non validi o mancanti nell'intestazione designata.

Caratteristiche della dichiarazione delle regole

Nestable: puoi annidare questo tipo di istruzione.

WCUs— 1 WCU

Questa dichiarazione utilizza le seguenti impostazioni:

  • Elenco ASN: una matrice di numeri ASN da confrontare per una corrispondenza ASN. I valori validi sono compresi tra 0 e 4294967295. È possibile specificare fino a 100 ASNs per ogni regola.

  • (Facoltativo) Configurazione IP inoltrata: per impostazione predefinita, AWS WAF utilizza l'indirizzo IP nell'origine della richiesta Web per determinare l'ASN. In alternativa, puoi configurare la regola per utilizzare un IP inoltrato in un'intestazione HTTP come invece. X-Forwarded-For Specificate se utilizzare il primo, l'ultimo o qualsiasi indirizzo nell'intestazione. Con questa configurazione, specificate anche un comportamento di fallback da applicare a una richiesta web con un indirizzo IP non valido nell'intestazione. Il comportamento di fallback imposta il risultato corrispondente per la richiesta, in modo che corrisponda o non corrisponda. Per ulteriori informazioni, vedere Utilizzo degli indirizzi IP inoltrati.

Dove trovare questa dichiarazione sulle regole

  • Generatore di regole sulla console: per l'opzione Request, scegli Origines from ASN in.

  • API — AsnMatchStatement

Esempi

Questo esempio blocca le richieste provenienti da due specifiche ASNs derivate da un'X-Forwarded-Forintestazione. Se l'indirizzo IP nell'intestazione non è corretto, il comportamento di fallback configurato è. NO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}