Como faço para permitir ou bloquear solicitações de um país ou geolocalização específica usando o AWS WAF?

Breve descrição

Use a Declaração de regra de correspondência geográfica para bloquear o acesso ao seu site em um países específicos ou para permitir o acesso somente de países específicos.

Para permitir algumas solicitações da Web com base no país de origem, adicione uma declaração de regra de correspondência geográfica para os países que você deseja permitir. Em seguida, adicione uma segunda declaração de regra de correspondência geográfica para os países que você deseja bloquear.

Observação: se você usar a CloudFront geographic restriction (restrição geográfica do CloudFront) para impedir que um país acesse seu conteúdo, qualquer solicitação desse país será bloqueada e não será encaminhada para o AWS WAF. Se você quiser permitir ou bloquear solicitações com base na geografia com outros critérios do AWS WAF, use uma declaração de regra de correspondência geográfica do AWS WAF.

Resolução

Para permitir ou bloquear solicitações de um país ou geolocalização específica usando o AWS WAF, faça o seguinte:

1.    Abra o console do AWS WAF.

2.    No painel de navegação, em AWS WAF, escolha Web ACLs (ACLs da Web).

3.    Em Região, selecione a região da AWS em que você criou sua ACL da Web.

       Observação: selecione Global se a sua ACL da Web estiver configurada para o Amazon CloudFront.

4.    Selecione a ACL da Web.

5.    Escolha Rules (Regras) e depois escolha Add Rules, Add my own rules and rule groups (Adicionar regras, Adicionar minhas próprias regras e grupos de regras).

6.    Para Rule Builder (Construtor de regras), insira um nome para sua regra.

       Nota: o nome deve ter de um a 128 caracteres válidos, como A a Z, a a z, 0 a 9, - (hífen) e _ (sublinhado).

7.    Em If a request (Se uma solicitação), escolha matches the statement (corresponde à instrução).

8.    Para Choose an inspection (Escolher uma opção de inspeção), escolha Originates from a country (Origina de um país).

9.    Em Choose country code (Escolher códigos de país), escolha o país para o qual você deseja que as solicitações sejam inspecionadas.

10.  (Opcional) Escolha o Source IP address (endereço IP de origem) ou o IP address in header (endereço IP no cabeçalho) para uso na determinação do país de origem.

       Aviso: quando uma solicitação é roteada por meio de uma CDN ou outra rede proxy, o endereço IP de origem identifica o proxy. Em seguida, o endereço IP original é enviado em um
cabeçalho. Tenha cuidado ao usar o IP address in header (endereço IP no cabeçalho), pois os cabeçalhos podem ser manipulados de forma inconsistente por proxies e podem ser modificados para ignorar a inspeção.

11.   Para Action (Ação), escolha Allow (Permitir) para permitir solicitações ou Block (Bloquear) para bloquear solicitações do país escolhido na etapa 9.

Nota: ao escolher bloquear ou permitir solicitações, considere o conjunto de ações padrão para a ACL da web. Se a ação padrão for Block (Bloquear), as solicitações provenientes de todos os países serão bloqueadas, exceto para países explicitamente permitidos nesta etapa. Essa é a configuração mais simples para gerenciar as solicitações geográficas permitidas, mas essa configuração não oferece a oportunidade de inspecionar o conteúdo das solicitações.

Se a ação padrão for Allow (Permitir), você poderá criar uma regra de negação (NOT) (NÃO) para especificar os países que não devem ser bloqueados. A ação nessa regra deve ser bloqueada. Isso cria uma regra que não bloqueia solicitações dos países que você deseja permitir, mas também não as permite explicitamente. As solicitações devem esperar para serem aprovadas por outras regras definidas pelo usuário, como inspeções de conteúdo malicioso, antes de serem permitidas pela ação padrão. Essa é uma configuração mais robusta.

12.   Selecione Add Rule (Adicionar regra).

13.   (Opcional) Para Set Rule Priority (Definir prioridade da regra), selecione sua regra e mova sua prioridade. As regras são processadas na ordem em que aparecem.
Para obter mais informações, consulte Ordem de processamento de regras e grupos de regras em uma ACL da Web.

14.   Escolha Save (Salvar).

---