AS 番号 (ASN) 一致ルールステートメント - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ASN 一致ステートメントの仕組みルールステートメントの特性このルールステートメントの場所

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AS 番号 (ASN) 一致ルールステートメント

AWS WAF の ASN 一致ルールステートメントを使用すると、リクエストの IP アドレスに関連付けられた AS 番号 (ASN) に基づいてウェブトラフィックを検査できます。ASN は、インターネットサービスプロバイダー、企業、大学、政府機関などの組織が管理する大規模なインターネットネットワークに割り当てられる一意の識別子です。ASN 一致ステートメントを使用すると、個々の IP アドレスを管理することなく、特定のネットワーク組織からのトラフィックを許可またはブロックできます。このアプローチでは、ASN は IP 範囲より変化の頻度が低くなるため、IP ベースのルールと比較して、より安定して効率的にアクセスを制御できます。

ASN マッチングは、既知の問題のあるネットワークからのトラフィックをブロックしたり、信頼できるパートナーネットワークからのアクセスのみを許可したりするなどのシナリオで特に役立ちます。ASN 一致ステートメントは、オプションの転送された IP 設定を使用してクライアント IP アドレスを柔軟に判断できるため、コンテンツ配信ネットワーク (CDN) やリバースプロキシを使用するネットワーク設定など、さまざまなネットワーク設定との互換性を確保します。

注記

ASN マッチングは、標準の認証と認可のコントロールを補完しますが、置き換えるものではありません。アプリケーション内のすべてのリクエストの ID を検証するために、IAM などの認証および認可メカニズムを実装することをお勧めします。

ASN 一致ステートメントの仕組み

AWS WAF は、IP アドレスに基づいてリクエストの ASN を判別します。デフォルトでは、AWS WAF はウェブリクエストの発信元の IP アドレスを使用します。ルールステートメントの設定で転送 IP 設定を有効にし、X-Forwarded-For など、代替リクエストヘッダーの IP アドレスを使用するように AWS WAF を設定できます。

ASN 一致ステートメントは、リクエストの ASN をルールで指定された ASN のリストと比較します。ASN がリスト内の ASN と一致する場合、ステートメントは true と評価され、関連付けられたルールアクションが適用されます。

マッピングされていない ASN の処理

AWS WAF が有効な IP アドレスの ASN を判別できない場合、ASN 0 が割り当てられます。これらのケースを明示的に処理するために、ルールに ASN 0 を含めることができます。

無効な IP アドレスのフォールバック動作

転送された IP アドレスを使用するように ASN 一致ステートメントを設定する場合、指定されたヘッダーに無効または欠落している IP アドレスを持つリクエストに対して、一致 または 一致なし のフォールバック動作を指定できます。

ルールステートメントの特性

ネスト可能 - このステートメントタイプはネスト可能です。

WCU - 1 つの WCU

このステートメントには、次の設定を使用します。

  • ASN リスト – ASN 一致と比較する ASN 番号の配列。有効な値の範囲は 0 ~ 4294967295 です。ルールごとに最大 100 個の ASN を指定できます。

  • (オプション) 転送された IP 設定 – デフォルトでは、AWS WAF はウェブリクエストの発信元の IP アドレスを使用して、ASN を判別します。または、代わりに X-Forwarded-For などの HTTP ヘッダーで転送された IP を使用するようにルールを設定することもできます。ヘッダーの最初のアドレス、最後のアドレス、または任意のアドレスを使用するかどうかを指定します。この設定では、ヘッダーに不正な形式の IP アドレスを持つウェブリクエストに適用するフォールバック動作も指定します。フォールバック動作は、リクエストの一致結果を、一致または不一致のいずれにするかを設定します。詳細については、「転送した IP アドレスの使用」を参照してください。

このルールステートメントの場所

  • コンソールの ルールビルダー - [リクエストオプション] では、[次の ASN からの送信] を選択します。

  • APIAsnMatchStatement

この例では、X-Forwarded-For ヘッダーから派生した 2 つの特定の ASN からのリクエストをブロックします。ヘッダーの IP アドレスの形式が正しくない場合、設定されたフォールバック動作は NO_MATCH です。

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}