**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 自治系統編號 (ASN) 比對規則陳述式
<a name="waf-rule-statement-type-asn-match"></a>

中的 ASN 比對規則陳述式 AWS WAF 可讓您根據與請求 IP 地址相關聯的自治系統編號 (ASN) 來檢查 Web 流量。ASNs是指派給大型網際網路網路的唯一識別符，由網際網路服務供應商、企業、大學或政府機構等組織管理。透過使用 ASN 比對陳述式，您可以允許或封鎖來自特定網路組織的流量，而無需管理個別 IP 地址。相較於以 IP 為基礎的規則，此方法提供更穩定且更有效率的方法來控制存取，因為 ASNs變更的頻率低於 IP 範圍。

ASN 比對特別適用於封鎖來自已知有問題網路的流量，或僅允許來自信任合作夥伴網路的存取等案例。ASN 比對陳述式提供透過選用的轉送 IP 組態來判斷用戶端 IP 地址的彈性，使其與各種網路設定相容，包括使用內容交付網路 (CDNs) 或反向代理的網路設定。

**注意**  
ASN 比對補充，但不取代標準身分驗證和授權控制。我們建議您實作身分驗證和授權機制，例如 IAM，以驗證應用程式中所有請求的身分。

## ASN 比對陳述式的運作方式
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF 根據請求的 IP 地址決定請求的 ASN。根據預設， AWS WAF 會使用 Web 請求原始伺服器的 IP 地址。您可以透過在規則陳述式設定中啟用轉送的 IP 組態`X-Forwarded-For`， AWS WAF 將 設定為使用來自替代請求標頭的 IP 地址，例如 。

ASN 比對陳述式會將請求的 ASN 與規則中指定的 ASNs 清單進行比較。如果 ASN 符合清單中的 ASN，則陳述式會評估為 true，並套用相關聯的規則動作。

### 處理未映射ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

如果 AWS WAF 無法判斷有效 IP 地址的 ASN，則會指派 ASN 0。您可以在規則中包含 ASN 0，以明確地處理這些案例。

### 無效的 IP 地址的備用行為
<a name="waf-rule-statement-type-asn-match-fallback"></a>

當您將 ASN 比對陳述式設定為使用轉送的 IP 地址時，您可以為指定標頭中 IP 地址無效或遺失的請求指定*相符*或*不相符*的備用行為。

## 規則陳述式特性
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**可巢**狀 – 您可以巢狀化此陳述式類型。

**WCUs** – 1 個 WCU

此陳述式使用以下設定：
+ **ASN 清單** – 要比較 ASN 比對的 ASN 編號陣列。有效值的範圍從 0 到 4294967295。您可以為每個規則指定最多 100 ASNs。
+ **（選用） 轉送 IP 組態** – 預設 AWS WAF 會使用 Web 請求原始伺服器中的 IP 地址來判斷 ASN。或者，您可以改為將規則設定為在 HTTP 標頭中使用轉送的 IP`X-Forwarded-For`。您可以指定是否使用 標頭中的第一個、最後一個或任何地址。使用此組態，您也可以指定後援行為，以套用至標頭中 IP 地址格式不正確的 Web 請求。備用行為會將請求的相符結果設定為相符或不相符。如需詳細資訊，請參閱[使用轉送的 IP 地址](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html)。

## 尋找此規則陳述式的位置
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ 主控台上的**規則建置器** – 針對**請求選項**，選擇**來自 ASN 的原始伺服器**。
+ **API** – [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## 範例
<a name="waf-rule-statement-type-asn-match-examples"></a>

此範例會封鎖源自 `X-Forwarded-For`標頭之兩個特定 ASNs 的請求。如果標頭中的 IP 地址格式不正確，則設定的備用行為為 `NO_MATCH`。

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```