引入全新的主机体验 AWS WAF
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
自治系统编号 (ASN) 匹配规则声明
中的 ASN 匹配规则语句 AWS WAF 允许您根据与请求的 IP 地址关联的自治系统编号 (ASN) 来检查 Web 流量。 ASNs 是分配给互联网服务提供商、企业、大学或政府机构等组织管理的大型互联网网络的唯一标识符。通过使用 ASN 匹配语句,您可以允许或阻止来自特定网络组织的流量,而无需管理单个 IP 地址。与基于 IP 的规则相比,这种方法提供了一种更稳定、更有效的访问控制方式,因为ASNs 更改频率低于 IP 范围。
ASN 匹配对于屏蔽来自已知问题网络的流量或仅允许来自可信合作伙伴网络的访问等场景特别有用。ASN match 语句提供了通过可选的转发 IP 配置来确定客户端 IP 地址的灵活性,使其与各种网络设置兼容,包括使用内容交付网络 (CDNs) 或反向代理的网络设置。
注意
ASN 匹配是对标准身份验证和授权控制的补充,但不能取代标准身份验证和授权控制。我们建议您实施身份验证和授权机制(例如 IAM),以验证应用程序中所有请求的身份。
ASN 匹配语句的工作原理
AWS WAF 根据请求的 IP 地址确定请求的 ASN。默认情况下, AWS WAF 使用 Web 请求来源的 IP 地址。您可以配置 AWS WAF 为使用备用请求标头中的 IP 地址X-Forwarded-For,例如在规则语句设置中启用转发 IP 配置。
ASN 匹配语句将请求的 ASN 与规则中 ASNs 指定的列表进行比较。如果 ASN 与列表中的一个 ASN 相匹配,则该语句的计算结果为 true,并应用相关的规则操作。
处理未映射的 ASNs
如果 AWS WAF 无法确定有效 IP 地址的 ASN,它会分配 ASN 0。您可以在规则中包含 ASN 0,以明确处理这些情况。
无效 IP 地址的回退行为
将 ASN 匹配语句配置为使用转发的 IP 地址时,可以为指定标头中包含无效或缺少 IP 地址的请求指定 “匹配” 或 “不匹配” 的回退行为。
规则语句特征
嵌套 – 您可以嵌套此语句类型。
WCUs— 1 个 WCU
此语句使用以下设置:
-
ASN 列表 — 一组 ASN 编号进行比较,以确定是否匹配 ASN。有效值的范围从 0 到 4294967295。您最多可以 ASNs 为每条规则指定 100。
-
(可选)转发 IP 配置-默认情况下, AWS WAF 使用 Web 请求源中的 IP 地址来确定 ASN。或者,您可以将规则配置为在 HTTP 标头中使用转发的 IP,如下所
X-Forwarded-For示。您可以指定是使用标头中的第一个、最后一个地址还是任何地址。使用此配置,您还可以指定一种回退行为,以应用于标头中包含格式错误的 IP 地址的 Web 请求。回退行为将请求的匹配结果设置为匹配或不匹配。有关更多信息,请参阅使用转发的 IP 地址。
在何处查找规则语句
-
控制台上的@@ 规则生成器-在 “请求” 选项中,选择 “源自 ASN”。
-
API – AsnMatchStatement
示例
此示例阻止了源自两个特定 ASNs X-Forwarded-For标头的请求。如果标头中的 IP 地址格式不正确,则配置的回退行为为。NO_MATCH
{ "Action": { "Block": {} }, "Name": "AsnMatchStatementRule", "Priority": 1, "Statement": { "AsnMatchStatement": { "AsnList": [64496, 64500] }, "ForwardedIPConfig": { "FallbackBehavior": "NO_MATCH", "HeaderName": "X-Forwarded-For" } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "AsnMatchRuleMetrics", "SampledRequestsEnabled": true } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "WebAclMetrics", "SampledRequestsEnabled": true } }
