Publié le: Jul 9, 2020
AWS WAF permet désormais d'inspecter les en-têtes X-Forwarded-For (XFF), True-Client-IP, ou tout autre en-tête personnalisé qui comprend l'adresse IP d'origine d'un client qui se connecte à votre application via un proxy HTTP ou un CDN tiers. Cette fonctionnalité vous permet de référencer ces en-têtes pour écrire des règles basées sur le taux, des règles de correspondance géographique ou des règles de correspondance IP, ce qui vous permet d'agir sur les IP qui se trouvent dans ces en-têtes. L'adresse IPv4 et l'adresse IPv6 sont prises en charge.
Vous disposez de deux bases pour bloquer les demandes à votre application lorsque vous utilisez l'en-tête XFF dans une règle de correspondance d'adresse IP : la base de l'adresse IP d'origine du client et celle de l'adresse IP d'un proxy (en spécifiant la position de l'adresse IP). À titre d'exemple, pour bloquer sur la base de l'IP d'origine du client, vous pouvez définir la position sur la première IP trouvée dans la valeur d'en-tête à bloquer sur l'IP d'origine du client, ou définir la position sur la dernière ou toute IP trouvée à bloquer sur l'IP du proxy. AWS WAF inspectera la première IP (IP du client d'origine) trouvée dans la valeur de l'en-tête lorsque l'en-tête XFF est utilisé pour les règles de limitation des tarifs ou les règles de correspondance géographique pour la clôture virtuelle basés sur le pays.
Vous pouvez commencer en créant une nouvelle règle de correspondance IP, une règle basée sur le débit ou une règle de correspondance géographique et en activant simplement l'option d'en-tête XFF. Cette fonction est accessible sans frais supplémentaires (les frais standard d'AWS WAF s'appliquent). Pour en savoir plus, veuillez consulter le guide du développeur AWS WAF ici.