Instrução de regra de correspondência de número de sistema autônomo (ASN) - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Como funciona a instrução de correspondência de ASNCaracterísticas das instruções de regrasOnde encontrar essa instrução de regraExemplos

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Instrução de regra de correspondência de número de sistema autônomo (ASN)

Uma instrução de regra de correspondência de ASN no AWS WAF permite que você inspecione o tráfego da Web com base no número de sistema autônomo (ASN) associado ao endereço IP da solicitação. Os ASNs são identificadores exclusivos atribuídos a grandes redes de Internet gerenciadas por organizações como provedores de serviços de Internet, empresas, universidades ou agências governamentais. Ao usar instruções de correspondência de ASN, você pode permitir ou bloquear o tráfego de organizações de rede específicas sem precisar gerenciar endereços IP individuais. Essa abordagem oferece uma maneira mais estável e eficiente de controlar o acesso em comparação com as regras baseadas em IP, pois os ASNs mudam com menos frequência do que os intervalos de IP.

A correspondência de ASN é particularmente útil para cenários como bloquear o tráfego de redes problemáticas conhecidas ou permitir o acesso somente de redes de parceiros confiáveis. A instrução de correspondência de ASN fornece flexibilidade na determinação do endereço IP do cliente por meio da configuração opcional de IP encaminhado, tornando-a compatível com várias configurações de rede, incluindo aquelas que usam redes de entrega de conteúdo (CDN) ou proxies reversos.

nota

A correspondência de ASN complementa, mas não substitui, os controles padrão de autenticação e autorização. Recomendamos que você implemente mecanismos de autenticação e autorização, como o IAM, para verificar a identidade de todas as solicitações em suas aplicações.

Como funciona a instrução de correspondência de ASN

O AWS WAF determina o ASN de uma solicitação com base em seu endereço IP. Por padrão, o AWS WAF usa o endereço IP da origem da solicitação da web. Você pode instruir o AWS WAF a usar um endereço IP de um cabeçalho de solicitação alternativo, como X-Forwarded-For, habilitando a configuração de IP encaminhado nas configurações da instrução da regra.

A instrução de correspondência de ASN compara o ASN da solicitação com a lista de ASNs especificados na regra. Se o ASN corresponder a um na lista, a instrução será avaliada como verdadeira e a ação da regra associada será aplicada.

Tratamento de ASNs não mapeados

Se o AWS WAF não puder determinar um ASN para um endereço IP válido, ele atribuirá o ASN 0. Você pode incluir o ASN 0 em sua regra para lidar com esses casos explicitamente.

Comportamento de fallback para endereços IP inválidos

Ao configurar a instrução de correspondência de ASN para usar endereços IP encaminhados, você pode especificar um comportamento alternativo de Corresponder ou Não corresponder para solicitações com endereços IP inválidos ou ausentes no cabeçalho designado.

Características das instruções de regras

Aninhável: você pode aninhar esse tipo de instrução.

WCUs: 1 WCU.

Essa instrução usa as seguintes configurações:

  • Lista de ASN: uma matriz de números de ASN para comparar para uma correspondência de ASN. Os valores válidos variam de 0 a 4294967295. É possível especificar até 100 ASNs para cada regra.

  • (Opcional) Configuração de IP encaminhado: por padrão, o AWS WAF usa o endereço IP na origem da solicitação da Web para determinar o país de origem. Como alternativa, você pode configurar a regra para usar um IP encaminhado em um cabeçalho HTTP, como X-Forwarded-For. . Você especifica se deseja usar o primeiro, o último ou qualquer endereço no cabeçalho. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Para obter mais informações, consulte Usar endereços IP encaminhados.

Onde encontrar essa instrução de regra

  • Criador de regras no console: em Opção de solicitação, escolha Originado de ASN em.

  • API: AsnMatchStatement

Exemplos

Este exemplo bloqueia as solicitações originadas de dois ASNs específicos derivados de um cabeçalho X-Forwarded-For. Se o endereço IP no cabeçalho estiver malformado, o comportamento de fallback configurado será NO_MATCH.

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}