我已經設定了 AWS WAF,且我需要在封鎖其他使用 AWS WAF 的 IP 地址時允許我的 IP 地址。我該如何進行?
解決方案
AWS WAF 可以將 Web 要求的來源 IP 地址與一組 IP 地址和地址範圍進行比對。您可以建立規則,封鎖所有 IP 的要求,只允許 IP 集中的特定 IP。
首先,請建立 IP 集
- 開啟 AWS WAF 主控台。
- 在導覽窗格中,選擇 IP sets (IP 集),然後選擇 Create IP set (建立 IP 集)。
- 為 IP 集輸入 IP 集名稱和描述 - 選擇性。例如:我信任的 IP。
**備註:**建立 IP 集之後,就無法變更 IP 集名稱。
- 在區域中,選擇要存放 IP 集的 AWS 區域。若要在 web ACL 中使用 IP 集保護 Amazon CloudFront 分佈,您必須使用 Global (CloudFront) (全域 (CloudFront))。
- 針對 IP version (IP 版本),選擇您想要使用的版本。
- 針對 IP addresses (IP 地址),請以 CIDR 標記法,在每一行輸入您要允許的一個 IP 地址或 IP 地址範圍。
**注意:**AWS WAF 支援除了 /0 以外的所有 IPv4 和 IPv6 CIDR 範圍。
範例:
若要指定 IPv4 地址 10.20.0.5,請輸入 10.20.0.5/32。
若要指定 IPv6 地址 0:0:0:0:0:ffff:c000:22c,請輸入 0:0:0:0:0:ffff:c000:22c/128。
若要指定從 10.20.0.0 到 10.20.0.255 之間的 IPv4 地址範圍,請輸入 10.20.0.0/24。
若要指定從 2620:0:2d0:200:0:0:0:0 到 2620:0:2d0:200:ffff:ffff:ffff:ffff 之間的 IPv6 地址範圍,請輸入 2620:0:2d0:200::/64。
- 檢閱 IP 集的設定。如果 IP 集符合您的規格,請選擇 Create IP set (建立 IP 集)。
然後,建立 IP 比對規則
- 在導覽窗格的 AWS WAF 下,選擇 Web ACL。
- 在區域中,選取您在其中建立 Web ACL 的 AWS 區域。
注意:如果您的網路 ACL 是針對 Amazon CloudFront 所設定,請選取全域。
- 選取您的 Web ACL。
- 選擇 Rules (規則),然後選擇 Add Rules, Add my own rules and rule groups (新增規則、新增我自己的規則和規則群組)。
- 針對 Name (名稱),輸入可識別此規則的名稱。例如:Block-Other-IPs。
- 針對 Type (類型),請選擇 Regular rule (一般規則)。
- 針對 If a request (如果要求),選擇 doesn't match the statement (NOT) (與陳述式 (NOT) 不相符)。
- 在陳述式上,對於檢查,選擇中的來自 IP 地址起源。
- 對於IP 集,請選擇您先前建立的 IP 集。例如:我信任的 IP。
- 針對 IP address to use as the originating address (使用 IP 地址做為起始位址),選擇 Source IP address (來源 IP 地址)。
- 針對 Action (動作),選擇 Block (封鎖)。
- 選擇 Add Rule (新增規則)。
- 選擇 Save (儲存)。
IP 比對規則會封鎖任何未新增至 IP 集的 IP。對於新增至 IP 集的 IP,會由規則下方的其他規則評估要求。如果沒有相符項目,則會套用 Web ACL 預設動作。如需詳細資訊,請參閱在 Web ACL 中處理規則和規則群組的順序。
相關資訊
如何使用 AWS WAF 封鎖不包含 User-Agent 標頭的 HTTP 要求?