Wie erlaube oder blockiere ich Anfragen aus einem bestimmten Land oder einer bestimmten Geolokation mithilfe von AWS WAF?

Lesedauer: 4 Minute

Kurzbeschreibung

Verwenden Sie die Anweisung für die Regel zur geografischen Übereinstimmung, um den Zugriff auf Ihre Website aus bestimmten Ländern zu blockieren oder den Zugriff nur aus bestimmten Ländern zuzulassen.

Um gewisse Webanfragen basierend auf dem Herkunftsland zuzulassen, fügen Sie eine Anweisung für die Regel zur geografischen Übereinstimmung für die Länder hinzu, die Sie zulassen möchten. Fügen Sie dann eine zweite Anweisung für die Regel zur geografischen Übereinstimmung für die Länder hinzu, die Sie blockieren möchten.

Hinweis: Wenn Sie die geografische Beschränkung von CloudFront verwenden, um ein Land für den Zugriff auf Ihre Inhalte zu sperren, werden alle Anfragen aus diesem Land blockiert und nicht an AWS WAF weitergeleitet. Wenn Sie Anfragen basierend auf der Geografie mit anderen AWS-WAF-Kriterien zulassen oder blockieren möchten, verwenden Sie stattdessen eine Anweisung für die Regel zur geografischen Übereinstimmung von AWS WAF.

Lösung

Gehen Sie wie folgt vor, um Anfragen aus einem bestimmten Land oder einer bestimmten Geolokation mithilfe von AWS WAF zuzulassen oder zu blockieren:

1. Öffnen Sie die AWS-WAF-Konsole.

2. Wählen Sie im Navigationsbereich unter AWS WAF Web-ACLs aus.

3. Wählen Sie für Region die AWS-Region aus, in der Sie Ihre Web-ACL erstellt haben.

Hinweis: Wählen Sie Global aus, wenn Ihre Web-ACL für Amazon CloudFront eingerichtet ist.

4. Wählen Sie Ihre Web-ACL aus.

5. Wählen Sie Regeln und dann Regeln hinzufügen, Eigene Regeln und Regelgruppen hinzufügen.

6. Geben Sie unter Rule Builder einen Namen für Ihre Regel ein.

Hinweis: Der Name muss aus einem bis 128 gültigen Zeichen bestehen, z. B. A bis Z, a bis z, 0 bis 9, - (Bindestrich) und _ (Unterstrich).

7. Wählen Sie für If a request (Wenn eine Anforderung) matches the statement (mit der Anweisung übereinstimmt) aus.

8. Wählen Sie für die Option Choose an inspection (eine Prüfung wählen) die Option Originates from a country (Kommt aus einem Land).

9. Wählen Sie unter Choose country codes (Ländercodes auswählen) das Land aus, auf das die Anfragen geprüft werden sollen.

10. (Optional) Wählen Sie Source IP address (Quell-IP-Adresse) oder IP address in header (IP-Adresse im Header) aus, um das Herkunftsland zu bestimmen.

Warnung: Wenn eine Anfrage über ein CDN oder ein anderes Proxy-Netzwerk geleitet wird, identifiziert die Quell-IP-Adresse den Proxy. Dann wird die ursprüngliche IP-Adresse in einem
Header gesendet. Seien Sie vorsichtig, wenn Sie die IP address in header verwenden, da Header von Proxys inkonsistent behandelt werden können und geändert werden können, um die Prüfung zu umgehen.

11. Wählen Sie unter Action entweder Allow, um Anfragen zuzulassen, oder Block, um Anfragen zu blockieren, die aus dem in Schritt 9 ausgewählten Land stammen.

Hinweis: Achten Sie bei der Entscheidung, Anfragen zu blockieren oder zuzulassen, auf die standardmäßig für die Web-ACL eingestellte Aktion. Wenn die Standardaktion Block (Blockieren) ist, werden Anfragen aus allen Ländern blockiert, mit Ausnahme der Länder, die in diesem Schritt ausdrücklich zugelassen sind. Dies ist die einfachste Konfiguration, um die zulässigen geografischen Anfragen zu verwalten, diese Konfiguration bietet aber keine Möglichkeit, den Inhalt der Anfragen zu überprüfen.

Wenn die Standardaktion Allow (Zulassen) ist, können Sie eine Regel negieren (NICHT), um die Länder anzugeben, die nicht blockiert werden dürfen. Die Aktion für diese Regel muss „block“ (blockiert) sein. Dadurch wird eine Regel erstellt, die Anfragen aus den Ländern, die Sie zulassen möchten, nicht blockiert, sie aber auch nicht ausdrücklich zulässt. Anfragen müssen zunächst andere benutzerdefinierte Regeln, wie Prüfungen auf schädliche Inhalte, erfüllen, bevor sie von der Standardaktion zugelassen werden. Diese Konfiguration ist robuster.

12. Wählen Sie Regel hinzufügen.

13. (Optional) Wählen Sie unter Set Rule Priority (Regelpriorität festlegen) Ihre Regel aus, und verschieben Sie ihre Priorität dann. Die Regeln werden in der Reihenfolge verarbeitet, in der sie angezeigt werden.
Weitere Informationen finden Sie unter Reihenfolge der Verarbeitung von Regeln und Regelgruppen in einer Web-ACL.

14. Wählen Sie Speichern aus.

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie verwende ich AWS WAF, um Uploads bestimmter Dateierweiterungen zu blockieren?
AWS OFFICIALAktualisiert vor einem Jahr
Wie schließe ich bestimmte URIs von der XSS- oder SQLi-Inspektion für HTTP-Anfragen in AWS WAF aus?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie erlaube ich in meiner Amazon-Connect-Instance ausgehende Anrufe in bestimmte Länder?
AWS OFFICIALAktualisiert vor einem Jahr
Wie wende ich ein Ratenlimit für einen bestimmten Anforderungsparameter oder URI in AWS WAF an?
AWS OFFICIALAktualisiert vor 2 Jahren