通过将支持 Amazon WAF 的应用程序负载均衡器和 Amazon Global Accelerator 配合使用,如果请求方法为 POST 或者 user-agent 标头值与 curl/7.79 匹配,我想阻止对我应用程序的请求。
简短描述
您可以将 Amazon WAF 与应用程序负载均衡器和 Global Accelerator 配合使用,以便阻止对第 7 层 HTTP 方法和标头的访问。在此架构中,Amazon WAF 会将 Web 访问控制列表 (Web ACL, Web Access Control List) 规则与应用程序负载均衡器配合使用。负载均衡器将变成 Global Accelerator 的端点。
**注意:**Amazon Global Accelerator 本身不支持 Amazon WAF。
与负载均衡器关联的 Web ACL 规则会评估传入流量,并且只会将符合规则的请求转发给端点。
解决方法
Web ACL 规则会对发往受保护资源的所有 HTTP(S) Web 请求加以精细控制。使用该规则来配置与一个或多个请求属性匹配的字符串或正则表达式,例如统一资源标识符 (URI, Uniform Resource Identifier)、查询字符串、HTTP 方法或标头键。
先决条件
创建基于规则的 Web ACL
使用以下 3 步过程创建基于规则的 Web ACL。有关详细信息,请参阅创建 Web ACL。
创建 Web ACL
- 导航到 Amazon WAF 控制台以创建 Web ACL。
- 选择创建 Web ACL。
- 为 Web ACL 命名。选择应用程序负载均衡器的区域。
- 将应用程序负载均衡器与 Web ACL 关联。
- 选择下一步。
向 Web ACL 添加自定义规则
继续按如下步骤进行配置:
- 选择添加规则。从下拉列表中选择添加我自己的规则和规则组。
- 在规则生成器下,添加规则。
- 为规则命名(例如,deny_User-Agent_with_POST)。
- 在类型下,选择常规规则。
为规则配置匹配条件
完成其余步骤:
-
选择至少匹配其中一个语句 (OR)。
-
在 statement1 下,按如下所示进行填写:
**检查:**单个标头
**标头字段名称:**User-Agent
**匹配类型:**完全匹配字符串
**要匹配的字符串:**curl/7.79.0
在 statement2 下,按如下所示进行填写:
**检查:**HTTP 方法
**匹配类型:**完全匹配字符串
**要匹配的字符串:**POST
-
对于“操作”,选择阻止。
使用 user-agent 标头值来测试结果
通过 GET 请求方法,使用 Global Accelerator 的 URL 和 user-agent 标头值curl/7.79.0 来访问应用程序。
curl http://<your Global Accelerator URL> -v -H "User-Agent:curl/7.79.0"
> GET / HTTP/1.1
> Host: <your Global Accelerator DNS>
> User-Agent:curl/7.79.0
< HTTP/1.1 403 Forbidden
< Server: awselb/2.0
<
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
</body>
</html>
**注意:**将 <your Global Accelerator URL> 替换为您 Global Accelerator 的 URL。将 <your Global Accelerator DNS> 替换为您的 DNS。
注意,Amazon WAF 阻止了该请求,并且应用程序负载均衡器响应了 403 Forbidden 消息。
使用 POST 请求来测试结果
通过 POST 请求方法,使用 Global Accelerator 的 URL 和 user-agent 标头值 curl/7.79.1 来访问应用程序。
curl -X POST http://<your Global Accelerator URL> --user "test-user:test-password" -v
> POST / HTTP/1.1
> Host: <your Global Accelerator DNS>
> Authorization: Basic dGVzdC11c2VyOnRlc3QtcGFzc3dvcmQ=
> User-Agent: curl/7.79.1
>
< HTTP/1.1 403 Forbidden
< Server: awselb/2.0
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
</body>
</html>
**注意:**将 <your Global Accelerator URL> 替换为您 Global Accelerator 的 URL。将 <your Global Accelerator DNS> 替换为您的 DNS。
注意,Amazon WAF 阻止了该请求,并且应用程序负载均衡器响应了 403 Forbidden 消息。