技术分享丨将精细的地理匹配规则与 AWS WAF 结合使用

2023-04-12 11:30


许可协议可能会阻止您在某些地理位置、地区、州或整个国家/地区分发内容。可以部署以下设置来对特定区域中的内容进行地理阻止,以帮助满足这些要求。您可以使用该功能根据国际标准化组织 (ISO) 3166 国家和地区代码构建精确的地理规则。

本文演示了如何使用此新功能自定义 AWS WAF 实施并改善受保护应用程序的安全状况。


此服务的好处

1. 精细的地理匹配规则对于许可和法律法规等用例至关重要,在某些地区因法律法规问题不能提供应用,需要设置WAF规则以屏蔽该地区访问。


2. 此功能在所有支持AWS WAF的亚马逊云科技区域及所有 AWS WAF 支持的服务中可用。




精细地理匹配规则

工作流程


在此示例中,我们将使用 绑定ALB资源的 AWS WAF Web ACL。Web ACL 包含一个地理匹配规则,用于使用标签标记来自China的请求,然后包含一个标签匹配规则,用于阻止来自江苏区域的请求。允许使用源自China的源 IP 的所有其他请求。

PS:全球各地区的代码可以下链接中在找到:https://en.wikipedia.org/wiki/ISO_3166-2


打开WAF&Shield面板,点击创建Web Acls


确认web acls名称并添加资源,您可以添加包含Cloudfront,ALB在内的其他5种资源类型


创建两个地理匹配规则;用于使用标签标记来自中国的请求,然后包含一个标签匹配规则(awswaf:clientip:geo:region:CN-JS),用于阻止来自江苏区域的请求。允许使用源自中国的源 IP 的所有其他请求。

拒绝江苏地区的请求:


允许源IP为中国的请求:


确认两条规则的优先级



创建完成   进入测试阶段

测试中国各地区对于应用服务的访问情况


测试江苏本地对于应用服务的访问情况,可以打开AWF的日志功能查找相关访问日志,测试结果为无法访问应用


测试上海地区对于应用服务的访问情况,可以打开AWF的日志功能查找相关访问日志,测试结果为正常访问应用



云与应用现代化
——
扫描关注微信公众号
获取更多云端资讯
联系我们
——

模板表单-2(1)

  • 姓名*

  • 电话*

  • 邮箱*

  • 公司*

  • 职称*

  • 地址*

  • 需求*