我已经设置 AWS WAF,现在需要在使用 AWS WAF 阻止其他 IP 地址的同时允许我的 IP 地址。我该如何操作?
解决方案
AWS WAF 可以根据一组 IP 地址和地址范围检查 Web 请求的源 IP 地址。您可以创建一条规则,阻止来自除 IP 集中特定 IP 以外的所有 IP 的请求。
首先,创建一个 IP 集
- 打开 AWS WAF console(AWS WAF 控制台)。
- 在导航窗格中,选择 IP sets(IP 集),然后选择 Create IP set(创建 IP 集)。
- 为 IP 集输入 IP set name(IP 集名称)和 Description - optional(描述 - 可选)。例如:MyTrustedIPs。
**注意:**创建 IP 集后,您无法更改 IP 集名称。
- 对于 Region(区域),选择要存储 IP 集的 AWS 区域。要在保护 Amazon CloudFront 分配的 Web ACL 中使用 IP 集,您必须使用 Global (CloudFront)(全局(CloudFront))。
- 对于 IP version(IP 版本),选择要使用的版本。
- 对于 IP addresses(IP 地址),采用 CIDR 表示法在每行中输入您要允许的一个 IP 地址或 IP 地址范围。
**注意:**AWS WAF 支持除 /0 之外的所有 IPv4 和 IPv6 CIDR 范围。
示例:
要指定 IPv4 地址 10.20.0.5,请输入 10.20.0.5/32。
要指定 IPv6 地址 0:0:0:0:0:ffff:c000:22c,请输入 0:0:0:0:0:ffff:c000:22c/128。
要指定从 10.20.0.0 到 10.20.0.255 的 IPv4 地址范围,请输入 10.20.0.0/24。
要指定从 2620:0:2d0:200:0:0:0:0 到 2620:0:2d0:200:ffff:ffff:ffff:ffff 的 IPv6 地址范围,请输入 2620:0:2d0:200::/64。
- 查看 IP 集的设置。如果 IP 集符合您的规格,请选择 Create IP set(创建 IP 集)。
然后,创建 IP 匹配规则
- 在导航窗格中的 AWS WAF 下,选择 Web ACL。
- 对于 Region(区域),选择您创建 Web ACL 的 AWS 区域。
**注意:**如果您的 Web ACL 是为 Amazon CloudFront 设置的,请选择 Global(全球)。
- 选择您的 Web ACL。
- 选择 Rules(规则),然后选择 Add Rules, Add my own rules and rule groups(添加规则、添加我自己的规则和规则组)。
- 对于 Name(名称),输入用于标识此规则的名称。例如:Block-Other-IPs。
- 对于 Type(类型),选择 Regular rule(常规规则)。
- 对于 If a request(如果是请求),选择 doesn’t match the statement(NOT)(与语句不匹配(NOT))。
- 在 Statement(语句)中,对于 Inspect(检查),选择 Originates from IP address in(源自 IP 地址)。
- 对于 IP Set(IP 集),选择您之前创建的 IP 集。例如:MyTrustedIPs。
- 对于 IP address to use as the originating address(要用作源地址的 IP 地址),选择 Source IP address(源 IP 地址)。
- 对于 Action(操作),选择 Block(阻止)。
- 选择 Add rule(添加规则)。
- 选择 Save(保存)。
IP 匹配规则会阻止任何未添加到 IP 集的 IP。对于添加到 IP 集的 IP,请求将由该规则以下的其他规则进行评估。如果没有匹配项,则应用 Web ACL 默认操作。有关更多信息,请参阅 Web ACL 中规则和规则组的处理顺序。
相关信息
如何使用 AWS WAF 阻止不包含用户代理标头的 HTTP 请求?