Declaração da regra de correspondência do Número do Sistema Autônomo (ASN) - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede
Como funciona a declaração de correspondência da ASNCaracterísticas das instruções de regrasOnde encontrar essa instrução de regraExemplos

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Declaração da regra de correspondência do Número do Sistema Autônomo (ASN)

Uma declaração de regra de correspondência de ASN AWS WAF permite que você inspecione o tráfego da web com base no Número do Sistema Autônomo (ASN) associado ao endereço IP da solicitação. ASNs são identificadores exclusivos atribuídos a grandes redes de Internet gerenciadas por organizações como provedores de serviços de Internet, empresas, universidades ou agências governamentais. Ao usar instruções de correspondência ASN, você pode permitir ou bloquear o tráfego de organizações de rede específicas sem precisar gerenciar endereços IP individuais. Essa abordagem oferece uma maneira mais estável e eficiente de controlar o acesso em comparação com as regras baseadas em IP, pois ASNs mudam com menos frequência do que os intervalos de IP.

A correspondência de ASN é particularmente útil para cenários como bloquear o tráfego de redes problemáticas conhecidas ou permitir o acesso somente de redes de parceiros confiáveis. A instrução de correspondência do ASN fornece flexibilidade na determinação do endereço IP do cliente por meio da configuração opcional de IP encaminhado, tornando-a compatível com várias configurações de rede, incluindo aquelas que usam redes de distribuição de conteúdo (CDNs) ou proxies reversos.

nota

A correspondência de ASN complementa, mas não substitui, os controles padrão de autenticação e autorização. Recomendamos que você implemente mecanismos de autenticação e autorização, como o IAM, para verificar a identidade de todas as solicitações em seus aplicativos.

Como funciona a declaração de correspondência da ASN

AWS WAF determina o ASN de uma solicitação com base em seu endereço IP. Por padrão, AWS WAF usa o endereço IP da origem da solicitação da web. Você pode configurar AWS WAF para usar um endereço IP de um cabeçalho de solicitação alternativo, por exemploX-Forwarded-For, habilitando a configuração de IP encaminhado nas configurações da declaração de regra.

A declaração de correspondência de ASN compara o ASN da solicitação com a lista ASNs especificada na regra. Se o ASN corresponder a um na lista, a declaração será avaliada como verdadeira e a ação da regra associada será aplicada.

Manipulação não mapeada ASNs

Se AWS WAF não for possível determinar um ASN para um endereço IP válido, ele atribuirá o ASN 0. Você pode incluir o ASN 0 em sua regra para lidar com esses casos explicitamente.

Comportamento alternativo para endereços IP inválidos

Ao configurar a instrução de correspondência ASN para usar endereços IP encaminhados, você pode especificar um comportamento alternativo de Match ou No match para solicitações com endereços IP inválidos ou ausentes no cabeçalho designado.

Características das instruções de regras

Aninhável: você pode aninhar esse tipo de instrução.

WCUs— 1 WCU

Essa instrução usa as seguintes configurações:

  • Lista de ASN — Uma matriz de números de ASN para comparar uma correspondência de ASN. Os valores válidos variam de 0 a 4294967295. Você pode especificar até 100 ASNs para cada regra.

  • (Opcional) Configuração de IP encaminhada — Por padrão, AWS WAF usa o endereço IP na origem da solicitação da web para determinar o ASN. Como alternativa, você pode configurar a regra para usar um IP encaminhado em um cabeçalho HTTP, como X-Forwarded-For alternativa. Você especifica se deseja usar o primeiro, o último ou qualquer endereço no cabeçalho. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Para obter mais informações, consulte Usando endereços IP encaminhados.

Onde encontrar essa instrução de regra

  • Construtor de regras no console — Para a opção Solicitação, escolha Originas do ASN em.

  • API: AsnMatchStatement

Exemplos

Este exemplo bloqueia solicitações originadas de duas específicas ASNs derivadas de um X-Forwarded-For cabeçalho. Se o endereço IP no cabeçalho estiver malformado, o comportamento de fallback configurado será. NO_MATCH

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}