Wie erlaube ich eine legitime IP-Adresse, wenn ich die IP-Reputationsliste oder anonyme IP-Liste in AWS WAF verwende?
Meine legitimen Anfragen werden von einer der von Amazon-IP-Reputationslisten verwalteten Regelgruppe oder einer verwalteten Regelgruppe für anonyme IP-Listen blockiert. Wie erlaube ich meine IP-Adresse in AWS WAF?
Kurzbeschreibung
Legitime Anfragen können von einer der folgenden von AWS verwalteten Regelgruppen blockiert werden:
- Mit von Amazon-IP-Reputationslisten verwalteten Regelgruppen können Sie Anfragen basierend auf ihrer Quell-IP-Adresse blockieren, die normalerweise mit Bots oder anderen Bedrohungen in Verbindung gebracht werden.
- Verwaltete Regelgruppen für anonyme IP-Listen enthalten Regeln zum Blockieren von Anfragen von Services, die die Verschleierung der Vieweridentität wie VPNs oder Proxys ermöglichen.
Um eine oder mehrere bestimmte IP-Adressen zuzulassen, verwenden Sie eine der folgenden Methoden, um dieses Problem zu lösen:
- Scope-Down-Anweisungen zur Eingrenzung des Umfangs der Anforderungen, die die Regel auswertet. Wählen Sie diese Option für Adressierungslogik in einer einzelnen Regelgruppe.
- Beschriftungen in Webanforderungen, damit eine Regel, die mit der Anforderung übereinstimmt, die Übereinstimmungsergebnisse an Regeln weitergeben kann, die später im gleichen Web-ACL ausgewertet werden. Wählen Sie diese Option, um dieselbe Logik über mehrere Regeln hinweg wiederzuverwenden.
Lösung
Option 1: Verwendung von Scope-Down-Anweisungen
Erstellen Sie zunächst ein IP-Set.
- Öffnen Sie die AWS WAF-Konsole.
- Wählen Sie im Navigationsbereich IP-Sets und dann IP-Set erstellen aus.
- Geben Sie einen Namen des IP-Sets und eine Beschreibung ein – optional für das IP-Set. Zum Beispiel: MyTrustedIPs.
Hinweis: Sie können den Namen des IP-Sets nicht ändern, nachdem Sie das IP-Set erstellt haben. - Wählen Sie für Region die AWS-Region aus, in der Sie das IP-Set speichern möchten. Um ein IP-Set in Web-ACLs zu verwenden, die Amazon CloudFront-Verteilungen schützen, müssen Sie Global (CloudFront) verwenden.
- Wählen Sie für die IP-Version die Version aus, die Sie verwenden möchten.
- Geben Sie für IP-Adressen eine IP-Adresse oder einen IP-Adressbereich pro Zeile ein, die Sie in CIDR-Notation zulassen möchten.
Hinweis: AWS WAF unterstützt alle IPv4- und IPv6-CIDR-Bereiche mit Ausnahme von /0.
Beispiele:
Geben Sie 192.168.0.26 ein, um die IPv4-Adresse 192.168.0.26/32 anzugeben.
Um die IPv6-Adresse 0:0:0:0:0:ffff:c000:22c anzugeben, geben Sie 0:0:0:0:0:ffff:c000:22c/128 ein.
Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2d0:200::/64 ein.
Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 2620:0:2d0:200::/64 ein. - Überprüfen Sie die Einstellungen für das IP-Set. Wenn es Ihren Spezifikationen entspricht, wählen Sie IP-Set erstellen.
Fügen Sie dann der spezifischen verwalteten AWS-Regel eine Scope-Down-Anweisung hinzu, die Ihre Anfragen blockiert.
- Wählen Sie im Navigationsbereich unter AWS WAF Web ACLs aus.
- Wählen Sie für Region die AWS-Region aus, in der Sie Ihre Web-ACL erstellt haben.
Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist. - Wählen Sie Ihre Web-ACL.
- Wählen Sie auf der Registerkarte Web-ACL-Regeln die spezifische AWS-verwaltete Regelgruppe aus, die Ihre Anfrage blockiert, und klicken Sie dann auf Bearbeiten.
- Wählen Sie für Scope-down-Anweisung - optional die Option Scope-down-Anweisung aktivieren aus.
- Wählen Sie für Wenn eine Anfrage nicht mit der Anweisung übereinstimmt (NICHT).
- Wählen Sie unter Anweisung für Untersuchen die Option Stammt von IP-Adresse in aus.
- Wählen Sie für IP-Set das IP-Set aus, das Sie zuvor erstellt haben. Zum Beispiel: MyTrustedIPs.
- Wählen Sie Quell-IP-Adresse aus, damit die IP-Adresse als Ursprungsadresse verwendet werden soll.
- Wählen Sie Regel speichern.
Option 2: Verwenden von Labels bei Webanfragen
Erstellen Sie zunächst ein IP-Set.
- Öffnen Sie die AWS WAF-Konsole.
- Wählen Sie im Navigationsbereich IP-Sets und dann IP-Set erstellen aus.
- Geben Sie einen Namen des IP-Sets und eine Beschreibung ein – optional für das IP-Set. Zum Beispiel: MyTrustedIPs.
Hinweis: Sie können den Namen des IP-Sets nicht ändern, nachdem Sie das IP-Set erstellt haben. - Wählen Sie für Region die AWS-Region aus, in der Sie das IP-Set speichern möchten. Um ein IP-Set in Web-ACLs zu verwenden, die Amazon CloudFront-Verteilungen schützen, müssen Sie Global (CloudFront) verwenden.
- Wählen Sie für die IP-Version die Version aus, die Sie verwenden möchten.
- Geben Sie für IP-Adressen eine IP-Adresse oder einen IP-Adressbereich pro Zeile ein, die Sie in CIDR-Notation zulassen möchten.
Hinweis: AWS WAF unterstützt alle IPv4- und IPv6-CIDR-Bereiche mit Ausnahme von /0.
Beispiele:
Geben Sie 192.168.0.26 ein, um die IPv4-Adresse 192.168.0.26/32 anzugeben.
Um die IPv6-Adresse 0:0:0:0:0:ffff:c000:22c anzugeben, geben Sie 0:0:0:0:0:ffff:c000:22c/128 ein.
Um den Bereich der IPv4-Adressen von 192.168.20.0 bis 192.168.20.255 anzugeben, geben Sie 192.168.20.0/24 ein.
Um den Bereich der IPv6-Adressen von 2620:0:2d0:200:0:0:0:0 bis 2620:0:2d0:200:ffff:ffff:ffff:ffff anzugeben, geben Sie 22620:0:2d0:200::/64 ein. - Überprüfen Sie die Einstellungen für das IP-Set. Wenn es Ihren Spezifikationen entspricht, wählen Sie IP-Set erstellen.
Ändern Sie dann die Regelaktionen so, dass sie in einer Regelgruppe zählen.
- Wählen Sie auf der Registerkarte Regeln auf der Web-ACL-Seite die AWS-verwaltete Regelgruppe aus, die Ihre Anfrage blockiert, und wählen Sie dann Bearbeiten.
- Führen Sie im Abschnitt Regeln für die Regelgruppe einen der folgenden Schritte aus:
Aktivieren Sie für AWSManagedIPReputationList die Option Anzahl.
Aktivieren Sie für Regel für AnonymousIPList die Option Anzahl. - Wählen Sie Regel speichern.
Erstellen Sie abschließend eine Regel mit höherer numerischer Priorität als die spezifische verwaltete AWS-Regel, die die Anforderung blockiert.
- Wählen Sie im Navigationsbereich unter AWS WAF Web ACLs aus.
- Wählen Sie für Region die AWS-Region, in der Sie Ihre Web-ACL erstellt haben. Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist.
- Wählen Sie Ihre Web-ACL.
- Wählen Sie Regeln.
- Wählen Sie Regeln hinzufügen und dann Eigene Regeln und Regelgruppen hinzufügen aus.
- Geben Sie für Name einen Regelnamen ein, und wählen Sie dann Reguläre Regel aus.
- Wählen Sie für Wenn eine Anfrage mit allen Anweisungen übereinstimmt (UND).
- Bei Anweisung 1:
Wählen Sie für Untersuchen die Option Hat eine Bezeichnung aus.
Wählen Sie für Übereinstimmungsbereich die Option Bezeichnung aus.
Wählen Sie für Vergleichsschlüssel entweder awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList oder awswaf:managed:aws:anonymous-ip-list:AnonymousIPList, basierend darauf aus, auf welcher Managed Rule Ihre Anfrage blockiert hat - Bei Anweisung 2:
Wählen Sie für Anweisung negieren (NICHT) die Option Ausstellungsergebnisse negieren aus.
Wählen Sie für Untersuchen die Option Stammt von IP-Adresse in aus.
Wählen Sie für IP-Set das IP-Set aus, den Sie zuvor erstellt haben.
Wählen Sie Quell-IP-Adresse aus, damit die IP-Adresse als Ursprungsadresse verwendet werden soll. - Wählen Sie für Aktion Blockieren aus.
- Wählen Sie Regel hinzufügen.
- Verschieben Sie für Regelpriorität festlegen die Regel unter die von AWS verwaltete Regel, die die Anforderung blockiert hat.
- Wählen Sie Speichern aus.
Wichtig: Es ist eine bewährte Methode, Regeln in einer Nicht-Produktionsumgebung zu testen, in der Aktion auf Zählen gesetzt ist. Bewerten Sie die Regel mithilfe von Amazon CloudWatch-Metriken in Kombination mit AWS WAF-Beispielanforderungen oder AWS WAF-Protokollen. Wenn Sie überzeugt sind, dass die Regel das tut, was Sie wollen, ändern Sie die Aktion in Blockieren.
Relevante Informationen
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren