AWS WAF에 대한 새로운 콘솔 환경 소개

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

Autonomous System Number(ASN) 일치 규칙 문

AWS WAF의 ASN 일치 규칙 문을 사용하면 요청의 IP 주소와 연결된 Autonomous System Number(ASN)를 기반으로 웹 트래픽을 검사할 수 있습니다. ASN은 인터넷 서비스 제공업체, 엔터프라이즈, 대학 또는 정부 기관과 같은 조직에서 관리하는 대규모 인터넷 네트워크에 할당된 고유 식별자입니다. ASN 일치 문을 사용하면 개별 IP 주소를 관리할 필요 없이 특정 네트워크 조직의 트래픽을 허용하거나 차단할 수 있습니다. 이 접근 방식은 ASN이 IP 범위보다 덜 자주 변경되므로 IP 기반 규칙에 비해 액세스를 제어하는 보다 안정적이고 효율적인 방법을 제공합니다.

ASN 일치는 알려진 문제가 있는 네트워크의 트래픽을 차단하거나 신뢰할 수 있는 파트너 네트워크에서만 액세스를 허용하는 등의 시나리오에 특히 유용합니다. ASN 일치 문은 전달된 IP 구성 옵션을 통해 클라이언트 IP 주소를 유연하게 결정할 수 있으므로 콘텐츠 전송 네트워크(CDN) 또는 역방향 프록시를 사용하는 설정 등 다양한 네트워크 설정과 호환됩니다.

ASN 일치 문 작동 방식

AWS WAF는 IP 주소를 기반으로 요청의 ASN을 결정합니다. 기본적으로 AWS WAF는 웹 요청 오리진의 IP 주소를 사용합니다. 예를 들어, AWS WAF에 규칙 문 설정에서 전달된 IP 구성을 활성화하여 X-Forwarded-For와 같이 대체 요청 헤더의 IP 주소를 사용하도록 구성할 수 있습니다.

ASN 일치 문은 요청의 ASN을 규칙에 지정된 ASN 목록과 비교합니다. ASN이 목록의 ASN과 일치하면 문이 true로 평가되고 관련 규칙 작업이 적용됩니다.

매핑되지 않은 ASN 처리

AWS WAF가 유효한 IP 주소에 대한 ASN을 확인할 수 없는 경우에는 ASN 0을 할당합니다. 이러한 사례를 명시적으로 처리하기 위해 규칙에 ASN 0을 포함할 수 있습니다.

잘못된 IP 주소에 대한 폴백 동작

전달된 IP 주소를 사용하도록 ASN 일치 문을 구성할 때 지정된 헤더에 유효하지 않거나 누락된 IP 주소가 있는 요청에 대해 일치 또는 일치하지 않음의 폴백 동작을 지정할 수 있습니다.

규칙 문 특성

중첩 가능 – 이러한 문 유형을 중첩할 수 있습니다.

WCUs – 1WCU

이 문은 다음 설정을 사용합니다.

이 규칙 문을 찾을 수 있는 위치

예시

이 예제에서는 X-Forwarded-For 헤더에서 파생된 두 개의 특정 ASN에서 발생하는 요청을 차단합니다. 헤더의 IP 주소 형식이 잘못된 경우 구성된 폴백 동작은 NO_MATCH입니다.

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}