Comment utiliser AWS WAF pour créer des règles d'ensemble d'adresses IP afin de restreindre l'accès IPv4 et IPv6 ?

Résolution

AWS WAF peut inspecter l'adresse IP source d'une requête Web par rapport à un ensemble d'adresses IP et de plages d'adresses. Vous pouvez créer une règle qui bloque les requêtes provenant de toutes les adresses IP, à l'exception des adresses IP spécifiques d'un ensemble d'adresses IP.

Créer une règle d'ensemble d'adresses IP pour restreindre l'accès IPv4 et IPv6

Procédez comme suit :

1. Ouvrez la console AWS WAF.
2. Dans le volet de navigation, choisissez Ensembles d'adresses IP, puis choisissez Créer un ensemble d'adresses IP.
3. Dans Nom de l’ensemble d’adresses IP, saisissez un nom, par exemple MyTrustedIPs.
   Remarque : Vous ne pouvez pas modifier le nom de l’ensemble d'adresses IP après l'avoir créé.
4. (Facultatif) Dans Description, saisissez une description pour l’ensemble d’adresses IP.
5. Dans Région, choisissez la région AWS dans laquelle vous souhaitez stocker l'ensemble d'adresses IP.
   Remarque : Pour utiliser une adresse IP définie dans des listes de contrôle d'accès Web (ACL Web) qui protègent les distributions Amazon CloudFront, vous devez utiliser Global (CloudFront).
6. Dans Version IP, choisissez la version que vous souhaitez utiliser.
7. Dans Adresses IP, saisissez une adresse IP ou une plage d'adresses IP par ligne que vous souhaitez autoriser dans la notation CIDR.
   Remarque : AWS WAF prend en charge toutes les plages d'adresses CIDR IPv4 et IPv6 à l'exception de /0.
   Exemples :
   Pour spécifier l'adresse IPv4 10.20.0.5, saisissez 10.20.0.5/32.
   Pour spécifier l'adresse IPv6 0:0:0:0:0:ff:c 000:22 c, saisissez 0:0:0:0:0:ffff:c000:22c/128.
   Pour spécifier la plage d'adresses IPv4 comprise entre 10.20.0.0 et 10.20.0.255, saisissez 10.20.0.0/24.
   Pour spécifier la plage d'adresses IPv6 comprise entre 2620:0:2 d 0:200:0:0:0 et 2620:0:2 d 0:200:ffff:ffff:ffff:ffff, saisissez 2620:0:2d0:200::/64.
8. Vérifiez les paramètres de l'ensemble d'adresses IP, puis choisissez Créer un ensemble d'adresses IP.

Créer une règle de correspondance d’adresses IP

Procédez comme suit :

1. Dans le volet de navigation, sous AWS WAF, sélectionnez Liste ACL Web.
2. Dans Région, sélectionnez la région AWS dans laquelle vous avez créé votre liste ACL Web.
   Remarque : Si votre liste ACL Web est configurée pour CloudFront, sélectionnez Global.
3. Sélectionnez votre liste ACL Web.
4. Choisissez Règles, puis Ajouter des règles, Ajouter mes propres règles et groupes de règles.
5. Dans Nom, saisissez un nom permettant d'identifier cette règle, par exemple Block-Other-IPs.
6. Dans Type, sélectionnez Règle régulière.
7. Dans S’il s’agit d’une requête, sélectionnez ne correspond pas à l’instruction (NOT).
8. Dans Instruction, pour Inspecter, sélectionnez Provient de l'adresse IP dans.
9. Dans Ensemble d’adresses IP, choisissez votre ensemble IP, par exemple MyTrustedIPs.
10. Dans Adresse IP à utiliser comme adresse d’origine, choisissez Adresse IP source.
    Remarque : Si votre trafic passe par un réseau de diffusion de contenu (CDN) ou un autre réseau proxy, utilisez une adresse IP dans l'en-tête. Pour plus d'informations, consultez la section Utilisation d'adresses IP transférées dans AWS WAF.
11. Dans Action, choisissez Bloquer.
12. Sélectionnez Ajouter une règle.
13. Sélectionnez Enregistrer.

La règle de correspondance IP bloque toute adresse IP qui n'est pas ajoutée à l'ensemble d'adresses IP. Pour les adresses IP que vous avez ajoutées à un ensemble d'adresses IP, d'autres règles situées en dessous de la règle évaluent la requête. Si aucune correspondance n’est détectée, AWS WAF applique l'action par défaut de l'ACL Web.

Pour plus d'informations, consultez la section Définition de la priorité d’une règle.

Informations connexes

Comment utiliser AWS WAF pour bloquer les requêtes HTTP qui ne contiennent pas d’en-tête user-agent ?