Declaración de coincidencia de número de sistema autónomo (ASN) - AWS WAF, AWS Firewall Manager AWS Shield Advanced, y director AWS Shield de seguridad de red
Cómo funciona la declaración de coincidencia de ASNCaracterísticas de la instrucción de reglasDónde encontrar esta instrucción de reglaEjemplos

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaración de coincidencia de número de sistema autónomo (ASN)

Una declaración de la regla de coincidencia de ASN AWS WAF permite inspeccionar el tráfico web en función del número de sistema autónomo (ASN) asociado a la dirección IP de la solicitud. ASNs son identificadores únicos que se asignan a grandes redes de Internet administradas por organizaciones como proveedores de servicios de Internet, empresas, universidades o agencias gubernamentales. Mediante declaraciones de coincidencia de ASN, usted puede permitir o bloquear tráfico de organizaciones de red específicas sin tener que administrar direcciones IP individuales. Este enfoque ofrece una forma más estable y eficiente de controlar el acceso en comparación con las reglas basadas en IP, ya que ASNs cambian con menos frecuencia que los rangos de IP.

La coincidencia de ASN es especialmente útil en escenarios como bloquear tráfico de redes problemáticas conocidas o permitir acceso solo desde redes asociadas confiables. La sentencia ASN Match proporciona flexibilidad a la hora de determinar la dirección IP del cliente mediante una configuración de IP reenviada opcional, lo que la hace compatible con diversas configuraciones de red, incluidas las que utilizan redes de entrega de contenido (CDNs) o proxies inversos.

nota

La coincidencia de ASN complementa, pero no reemplaza, los controles estándar de autenticación y autorización. Recomendamos implementar mecanismos de autenticación y autorización, como IAM, para verificar la identidad de todas las solicitudes en sus aplicaciones.

Cómo funciona la declaración de coincidencia de ASN

AWS WAF determina el ASN de una solicitud en función de su dirección IP. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Puedes configurarlo AWS WAF para usar una dirección IP de un encabezado de solicitud alternativo, por ejemploX-Forwarded-For, habilitando la configuración de IP reenviada en la configuración de la declaración de reglas.

La sentencia de coincidencia de ASN compara el ASN de la solicitud con la lista ASNs especificada en la regla. Si el ASN coincide con uno de la lista, la declaración se evalúa como verdadera y se aplica la acción de regla asociada.

Manejo de datos no mapeados ASNs

Si AWS WAF no puede determinar un ASN para una dirección IP válida, asigna el ASN 0. Puede incluir el ASN 0 en su regla para manejar estos casos de forma explícita.

Comportamiento de reserva para direcciones IP no válidas

Cuando configura la declaración de coincidencia de ASN para usar direcciones IP reenviadas, puede especificar un comportamiento de reserva de Coincide o No coincide para solicitudes con direcciones IP no válidas o ausentes en el encabezado designado.

Características de la instrucción de reglas

Se puede anidar: puede anidar este tipo de instrucción.

WCUs— 1 WCU

Esta instrucción utiliza la siguiente configuración:

  • Lista de ASN: una matriz de números ASN para comparar en una coincidencia de ASN. Los valores válidos oscilan entre 0 y 4294967295. Puede especificar hasta 100 ASNs para cada regla.

  • (Opcional) Configuración de IP reenviada: de forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web para determinar el ASN. Como puede configurar la regla para usar una IP reenviada en un encabezado HTTP como X-Forwarded-For. Debe indicar si desea usar la primera, la última o cualquier dirección del encabezado. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte Uso de direcciones IP reenviadas.

Dónde encontrar esta instrucción de regla

  • Generador de reglas en la consola: en Opción de la solicitud, elija Se origina desde un ASN en.

  • API: AsnMatchStatement

Ejemplos

Este ejemplo bloquea las solicitudes que se originan en dos direcciones específicas ASNs derivadas de un X-Forwarded-For encabezado. Si la dirección IP del encabezado está mal formada, el comportamiento de reserva configurado es NO_MATCH.

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}