AWS WAF를 사용하여 특정 국가 또는 지리적 위치로부터의 요청을 허용하거나 차단하려면 어떻게 해야 합니까?

간략한 설명

특정 국가의 사이트 액세스를 차단하거나 특정 국가에서만 액세스하도록 허용하려면 지리적 일치 규칙 문을 사용합니다.

기원 국가를 기준으로 일부 웹 요청을 허용하려면 허용하려는 국가에 대한 지리적 일치 규칙 문을 추가합니다. 그런 다음 차단하려는 국가에 대한 두 번째 지리적 일치 규칙 문을 추가합니다.

참고: CloudFront 지역 제한을 사용하여 어느 국가에서 콘텐츠에 액세스하지 못하도록 차단하면 해당 국가의 모든 요청이 차단되어 AWS WAF로 전달되지 않습니다. 다른 AWS WAF 기준을 사용하여 지역에 따라 요청을 허용하거나 차단하려면 AWS WAF 지리적 일치 규칙 문을 대신 사용하세요.

해결 방법

AWS WAF를 사용하여 특정 국가 또는 지리적 위치로부터의 요청을 허용하거나 차단하려면 다음을 수행합니다.

1.    AWS WAF 콘솔을 엽니다.

2.    탐색 창의 AWS WAF에서 웹 ACL을 선택합니다.

3.    리전에서 웹 ACL을 생성한 AWS 리전을 선택합니다.

       참고: 웹 ACL이 Amazon CloudFront에 대해 설정된 경우 전역을 선택합니다.

4.    웹 ACL을 선택합니다.

5.    규칙을 선택하고, 규칙 추가, 자체 규칙 및 규칙 그룹 추가를 순차적으로 선택합니다.

6.    규칙 빌더에 규칙 이름을 입력합니다.

       참고: 이름은 1128자로 구성하며 AZ, az, 09, -(하이픈) 및 _(밑줄)과 같은 유효한 문자가 있어야 합니다.

7.    요청 조건에서 문과 일치함을 선택합니다.

8.    검사 선택 옵션에서 국가에서 기원을 선택합니다.

9.    국가 코드 선택에서 요청을 검사할 국가를 선택합니다.

10.  (선택 사항) 기원 국가를 결정하는 데 사용할 소스 IP 주소 또는 헤더의 IP 주소를 선택합니다.

       경고: 요청이 CDN 또는 다른 프록시 네트워크를 통해 라우팅되면 소스 IP 주소가 프록시를 식별합니다. 그러면 원래 IP 주소가
헤더로 전송됩니다. 헤더의 IP 주소를 사용할 경우 헤더가 프록시에 의해 일관되지 않게 처리될 수 있고 검사를 우회하도록 수정될 수 있으므로 주의해야 합니다.

11.   9단계에서 선택한 국가의 요청을 허용하려면 작업에서 허용을 선택하고, 차단하려면 차단을 선택합니다.

참고: 요청을 차단 또는 허용하도록 선택할 때는 웹 ACL에 대한 기본 작업 세트를 고려합니다. 기본 작업이 Block인 경우 이 단계에서 명시적으로 허용된 국가를 제외하고 모든 국가의 요청을 차단합니다. 이 구성은 허용되는 지리적 요청을 관리하는 가장 단순한 구성이지만, 요청 콘텐츠를 검사할 기회를 제공하지는 않습니다.

기본 동작이 Allow인 경우 부정(NOT) 규칙을 생성하여 차단해서는 안 되는 국가를 지정할 수 있습니다. 이 규칙에 대한 동작은 차단해야 합니다. 이렇게 하면 사용자가 허용하려는 국가의 요청을 차단하지 않으면서 동시에 명시적으로 허용하지는 않는 규칙이 생성됩니다. 요청의 경우 악성 콘텐츠 검사 등의 다른 사용자 정의 규칙을 통과할 때까지 기다려야 기본 동작으로 허용됩니다. 이는 더욱 강력한 구성입니다.

12.   규칙 추가를 선택합니다.

13.   (선택 사항) 규칙 우선 순위 설정에서 규칙을 선택하고 우선 순위를 조정합니다. 규칙은 표시된 순서대로 처리됩니다.
자세한 내용은 웹 ACL에서 규칙 및 규칙 그룹의 처리 순서를 참조하세요.

14.   저장을 선택합니다.

---