Declaración de coincidencia de número de sistema autónomo (ASN) - AWS WAF, AWS Firewall Manager, AWS Shield Advanced y director de seguridad de red AWS Shield
Cómo funciona la declaración de coincidencia de ASNCaracterísticas de la instrucción de reglasDónde encontrar esta instrucción de reglaEjemplos

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.

Declaración de coincidencia de número de sistema autónomo (ASN)

Una declaración de la regla de coincidencia de ASN en AWS WAF le permite inspeccionar el tráfico web según el número de sistema autónomo (ASN) asociado con la dirección IP de la solicitud. Los ASN son identificadores únicos asignados a grandes redes de Internet administradas por organizaciones como proveedores de servicios de Internet, empresas, universidades o agencias gubernamentales. Mediante declaraciones de coincidencia de ASN, usted puede permitir o bloquear tráfico de organizaciones de red específicas sin tener que administrar direcciones IP individuales. Este enfoque ofrece una forma más estable y eficiente de controlar el acceso comparado con reglas basadas en IP, ya que los ASN cambian con mucha menor frecuencia que los rangos de IP.

La coincidencia de ASN es especialmente útil en escenarios como bloquear tráfico de redes problemáticas conocidas o permitir acceso solo desde redes asociadas confiables. La declaración de coincidencia de ASN proporciona flexibilidad para determinar la dirección IP del cliente mediante una configuración opcional de IP reenviada, lo que la hace compatible con diversas configuraciones de red, incluidas aquellas que usan redes de distribución de contenido (CDN) o proxies inversos.

nota

La coincidencia de ASN complementa, pero no reemplaza, los controles estándar de autenticación y autorización. Recomendamos implementar mecanismos de autenticación y autorización, como IAM, para verificar la identidad de todas las solicitudes en sus aplicaciones.

Cómo funciona la declaración de coincidencia de ASN

AWS WAF determina el ASN de una solicitud según su dirección IP. De forma predeterminada, AWS WAF utiliza la dirección IP del origen de la solicitud web. Puede configurar AWS WAF para usar una dirección IP de un encabezado de solicitud alternativo, como X-Forwarded-For, si habilita la configuración de IP reenviada en los ajustes de la declaración.

La declaración de coincidencia de ASN compara el ASN de la solicitud con la lista de ASN especificada en la regla. Si el ASN coincide con uno de la lista, la declaración se evalúa como verdadera y se aplica la acción de regla asociada.

Manejo de ASN sin asignación

Si AWS WAF no puede determinar un ASN para una dirección IP válida, asigna el ASN 0. Puede incluir el ASN 0 en su regla para manejar estos casos de forma explícita.

Comportamiento de reserva para direcciones IP no válidas

Cuando configura la declaración de coincidencia de ASN para usar direcciones IP reenviadas, puede especificar un comportamiento de reserva de Coincide o No coincide para solicitudes con direcciones IP no válidas o ausentes en el encabezado designado.

Características de la instrucción de reglas

Se puede anidar: puede anidar este tipo de instrucción.

WCU: 1 WCU

Esta instrucción utiliza la siguiente configuración:

  • Lista de ASN: una matriz de números ASN para comparar en una coincidencia de ASN. Los valores válidos están comprendidos entre 0 y 4294967295. Puede especificar hasta 100 ASN por regla.

  • (Opcional) Configuración de IP reenviada: de forma predeterminada, AWS WAF usa la dirección IP de origen de la solicitud web para determinar el ASN. Como puede configurar la regla para usar una IP reenviada en un encabezado HTTP como X-Forwarded-For. Debe indicar si desea usar la primera, la última o cualquier dirección del encabezado. Con esta configuración, también se especifica un comportamiento alternativo para aplicarlo a una solicitud web con una dirección IP con un formato incorrecto en el encabezado. El comportamiento alternativo establece que el resultado de la solicitud coincide o no coincide. Para obtener más información, consulte Uso de direcciones IP reenviadas.

Dónde encontrar esta instrucción de regla

  • Generador de reglas en la consola: en Opción de la solicitud, elija Se origina desde un ASN en.

  • API: ASNMatchStatement

Ejemplos

Este ejemplo bloquea solicitudes que se originan en dos ASN específicos derivados de un encabezado X-Forwarded-For. Si la dirección IP del encabezado está mal formada, el comportamiento de reserva configurado es NO_MATCH.

{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}