介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
自治系统编号(ASN)匹配规则语句
借助 AWS WAF 中的 ASN 匹配规则语句,您可以根据与请求的 IP 地址关联的自治系统编号(ASN)检查 web 流量。ASN 是分配给大型互联网网络的唯一标识符,这些网络由互联网服务提供商、企业、大学或政府机构等组织进行管理。通过使用 ASN 匹配语句,可以允许或阻止特定网络组织的流量,而无需管理单个 IP 地址。与基于 IP 的规则相比,这种方法提供更稳定、更有效的访问控制方式,因为 ASN 的变化频率低于 IP 范围的变化频率。
对于阻止来自已知问题网络的流量,或仅允许来自可信合作伙伴网络的访问等场景,ASN 匹配格外有用。ASN 匹配语句提供灵活性,通过可选的转发 IP 配置确定客户端 IP 地址,使其与各种网络设置兼容,包括使用内容分发网络(CDN)或反向代理的网络设置。
注意
ASN 匹配是对标准身份验证和授权控制的补充,但不会取代标准身份验证和授权控制。我们建议您实施 IAM 等身份验证和授权机制,以验证应用程序中所有请求的身份。
ASN 匹配语句的工作原理
AWS WAF 根据请求的 IP 地址确定请求的 ASN。默认情况下,AWS WAF 使用 web 请求来源的 IP 地址。您可以配置 AWS WAF,使用备用请求标头中的 IP 地址,如 X-Forwarded-For,在规则语句设置中启用转发的 IP 配置。
ASN 匹配语句将请求的 ASN 与规则中指定的 ASN 列表进行比较。如果 ASN 与列表中的一个 ASN 匹配,则该语句的计算结果为 true,且应用相关联的规则操作。
处理未映射的 ASN
如果 AWS WAF 无法确定有效 IP 地址的 ASN,则会分配 ASN 0。您可以在规则中包含 ASN 0,以明确处理这些情况。
无效 IP 地址的回退行为
当配置 ASN 匹配语句以使用转发的 IP 地址时,可以对指定标头中包含无效或缺少 IP 地址的请求指定《匹配》或《不匹配》的回退行为。
规则语句特征
嵌套:您可以嵌套此语句类型。
WCU:1 WCU
此语句使用以下设置:
-
ASN 列表:用于比较 ASN 匹配的 ASN 编号组。有效值范围为 0 至 4294967295。您最多可以为每个规则指定 100 个 ASN。
-
(可选)转发 IP 配置:默认情况下,AWS WAF 使用 web 请求来源中的 IP 地址,以确定 ASN。或者,您可以将规则配置为在 HTTP 标头中使用转发 IP,如
X-Forwarded-For。您可以指定是使用标头中的第一个地址、最后一个地址还是任何地址。使用此配置,您还可以指定一种回退行为,以应用于标头中包含格式错误的 IP 地址的 web 请求。回退行为将请求的匹配结果设置为匹配或不匹配。有关更多信息,请参阅使用转发的 IP 地址。
在何处查找规则语句
-
控制台上的规则生成器:在请求选项中,选择来源 ASN。
示例
此示例阻止来自两个特定 ASN 的请求,这些 ASN 派生自 X-Forwarded-For 标头。如果标头中的 IP 地址格式不正确,则配置的回退行为是 NO_MATCH 。
{ "Action": { "Block": {} }, "Name": "AsnMatchStatementRule", "Priority": 1, "Statement": { "AsnMatchStatement": { "AsnList": [64496, 64500] }, "ForwardedIPConfig": { "FallbackBehavior": "NO_MATCH", "HeaderName": "X-Forwarded-For" } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "AsnMatchRuleMetrics", "SampledRequestsEnabled": true } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "WebAclMetrics", "SampledRequestsEnabled": true } }
