自律システム番号 (ASN) 一致ルールステートメント - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ASN 一致ステートメントの仕組みルールステートメントの特性このルールステートメントの場所

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

自律システム番号 (ASN) 一致ルールステートメント

の ASN 一致ルールステートメント AWS WAF を使用すると、リクエストの IP アドレスに関連付けられた自律システム番号 (ASN) に基づいてウェブトラフィックを検査できます。ASNsは、インターネットサービスプロバイダー、企業、大学、政府機関などの組織が管理する大規模なインターネットネットワークに割り当てられる一意の識別子です。ASN 一致ステートメントを使用すると、個々の IP アドレスを管理することなく、特定のネットワーク組織からのトラフィックを許可またはブロックできます。このアプローチは、ASNs範囲よりも頻繁に変更されないため、IP ベースのルールと比較してアクセスを制御するためのより安定した効率的な方法を提供します。

ASN マッチングは、既知の問題のあるネットワークからのトラフィックをブロックしたり、信頼できるパートナーネットワークからのアクセスのみを許可したりするシナリオで特に役立ちます。ASN 一致ステートメントは、オプションの転送された IP 設定を通じてクライアントの IP アドレスを柔軟に判断できるため、コンテンツ配信ネットワーク (CDNs) やリバースプロキシを使用するネットワーク設定など、さまざまなネットワーク設定と互換性があります。

注記

ASN マッチングは、標準の認証と認可のコントロールを補完しますが、置き換えるものではありません。アプリケーション内のすべてのリクエストの ID を検証するために、IAM などの認証および認可メカニズムを実装することをお勧めします。

ASN 一致ステートメントの仕組み

AWS WAF は、IP アドレスに基づいてリクエストの ASN を決定します。デフォルトでは、 はウェブリクエストのオリジンの IP アドレス AWS WAF を使用します。ルールステートメント設定で転送された IP 設定を有効にするX-Forwarded-Forことで、 などの代替リクエストヘッダーから IP アドレスを使用する AWS WAF ように を設定できます。

ASN 一致ステートメントは、リクエストの ASN をルールで指定された ASNs のリストと比較します。ASN がリスト内の ASN と一致する場合、ステートメントは true と評価され、関連するルールアクションが適用されます。

マッピングされていない ASNs の処理

が有効な IP アドレスの ASN を決定 AWS WAF できない場合、ASN 0 が割り当てられます。これらのケースを明示的に処理するために、ルールに ASN 0 を含めることができます。

無効な IP アドレスのフォールバック動作

転送された IP アドレスを使用するように ASN 一致ステートメントを設定する場合、指定されたヘッダーに無効または欠落している IP アドレスを持つリクエストに対して、一致または一致なしのフォールバック動作を指定できます。

ルールステートメントの特性

ネスト可能 - このステートメントタイプはネスト可能です。

WCU - 1 つの WCU

このステートメントには、次の設定を使用します。

  • ASN リスト – ASN 一致と比較する ASN 番号の配列。有効な値の範囲は 0~4294967295 です。ルールごとに最大 100 ASNs を指定できます。

  • (オプション) 転送された IP 設定 – デフォルトでは、 はウェブリクエストオリジンの IP アドレス AWS WAF を使用して ASN を決定します。または、X-Forwarded-For代わりに などの HTTP ヘッダーで転送された IP を使用するようにルールを設定することもできます。ヘッダーで、最初、最後のアドレス、または任意のアドレスを使用するかどうかを指定します。この設定では、ヘッダーに不正な形式の IP アドレスを持つウェブリクエストに適用するフォールバック動作も指定します。フォールバック動作は、リクエストの一致結果を、一致または不一致のいずれにするかを設定します。詳細については、「転送された IP アドレスの使用」を参照してください。

このルールステートメントの場所

  • コンソールのルールビルダーリクエストオプションで、ASN からオリジンを選択します。

  • APIAsnMatchStatement

この例では、 X-Forwarded-Forヘッダーから派生した 2 つの特定の ASNs からのリクエストをブロックします。ヘッダーの IP アドレスの形式が正しくない場合、設定されたフォールバック動作は ですNO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}