Como uso o AWS WAF para criar regras de conjunto de IP para restringir o acesso IPv4 e IPv6?

Resolução

O AWS WAF pode inspecionar o endereço IP de origem de uma solicitação da web em relação a um conjunto de endereços IP e intervalos de endereços. É possível criar uma regra que bloqueie solicitações de todos os endereços IP, exceto os endereços IP específicos em um conjunto de IP.

Crie uma regra de conjunto de IP para restringir o acesso IPv4 e IPv6

Conclua as etapas a seguir:

1. Abra o console do AWS WAF.
2. No painel de navegação, selecione Conjuntos de IP e, em seguida, clique em Criar conjunto de IP.
3. Em Nome do conjunto de IP, insira um nome, por exemplo, MyTrustedIPs.
   Observação: Não é possível alterar o nome do conjunto de IP depois de criá-lo.
4. (Opcional) Em Descrição, insira uma descrição para o conjunto de IP.
5. Em Região, escolha a região da AWS onde você deseja armazenar o conjunto de IP.
   Observação: Para usar um IP definido em listas de controle de acesso à web (ACL da web) que protegem as distribuições do Amazon CloudFront, você deve usar Global (CloudFront).
6. Em versão do IP, escolha a versão que você deseja usar.
7. Em endereços IP, insira um endereço IP ou um intervalo de endereços IP por linha que você deseja permitir na notação CIDR.
   Observação: O AWS WAF oferece suporte a todos os intervalos CIDR IPv4 e IPv6, exceto /0.
   Exemplos:
   Para especificar o endereço IPv4 10.20.0.5, digite 10.20.0.5/32.
   Para especificar o endereço IPv6 0:0:0:0:0:ffff:c000:22c, digite 0:0:0:0:0:ffff:c000:22c/128.
   Para especificar o intervalo de endereços IPv4 de 10.20.0.0 a 10.20.0.255, digite 10.20.0.0/24.
   Para especificar o intervalo de endereços IPv6 de 2620:0:2d0:200:0:0:0:0 a 2620:0:2d0:200:ffff:ffff:ffff:ffff, digite 2620:0:2d0:200::/64.
8. Consulte as configurações do conjunto de IP e selecione Criar conjunto de IP.

Crie uma regra de correspondência de IP

Conclua as etapas a seguir:

1. No painel de navegação, em AWS WAF, selecione ACL da web.
2. Em Região, selecione a região em que você criou sua ACL da web.
   Observação: se sua ACL da web estiver configurada para o CloudFront, selecione Global.
3. Selecione sua ACL da web.
4. Selecione Regras e depois clique em Adicionar regras, Adicionar minhas próprias regras e grupos de regras.
5. Em Nome, insira um nome para identificar essa regra, por exemplo, Bloquear outros IPs.
6. Em Tipo, escolha Regra regular.
7. Em Se for uma solicitação, selecione não corresponde à declaração (NOT).
8. Em Declaração, em Inspecionar, selecione Origina-se do endereço IP em.
9. Em Conjunto de IP, escolha seu conjunto de IP, por exemplo, MyTrustedIPs.
10. Em Endereço IP para usar como endereço de origem, selecione Endereço IP de origem.
    Observação: Se seu tráfego passar por uma rede de entrega de conteúdo (CDN) ou outra rede proxy, use um endereço IP no cabeçalho. Para obter mais informações, consulte Usando endereços IP encaminhados em AWS WAF.
11. Em Ação, selecione Bloquear.
12. Selecione Adicionar regra.
13. Clique em Salvar.

A regra de correspondência de IP bloqueia qualquer endereço IP que não seja adicionado ao conjunto de IP. Para endereços IP que você adicionou a um conjunto de IP, outras regras abaixo da regra avaliam a solicitação. Se não houver uma correspondência, o AWS WAF aplicará a ação padrão da ACL da web.

Para obter mais informações, consulte Definindo a prioridade da regra.

Informações relacionadas

Como uso o AWS WAF para bloquear solicitações HTTP que não contêm um cabeçalho de agente de usuário?