投稿日: Jul 9, 2020
AWS WAF は、X-Forwarded-For (XFF)、True-Client-IP、または HTTP プロキシやサードパーティーの CDN を介してアプリケーションに接続するクライアントの元の IP アドレスを含む、その他のカスタムヘッダーの検査をサポートするようになりました。この機能を使用すれば、これらのヘッダーを参照して、レートベースのルール、地理的一致ルール、または IP 一致ルールを記述し、これらのヘッダー内にある IP に対してアクションを実行できます。IPv4 アドレスと IPv6 アドレスの両方がサポートされています。
IP 一致ルールで XFF ヘッダーを使用する場合、IP アドレスの位置を指定することにより、クライアントの元の IP またはプロキシ IP に基づいて、アプリケーションへのリクエストをブロックできます。たとえば、クライアントの元の IP に基づいてブロックするには、ヘッダー値内で最初に見つかった IP に位置を設定してクライアントの元の IP でブロックするか、プロキシの IP でブロックすることがわかった最後または任意の IP に設定できます。レート制限のレートベースのルール、または国に基づくジオフェンシングの地理的一致ルールで XFF ヘッダーを使用する場合、AWS WAF はヘッダー値内で見つかった最初の IP (元のクライアント IP) を検査します。
まず、新しい IP 一致ルール、レートベースのルール、または地理的一致ルールを作成し、XFF ヘッダーオプションを有効にするだけです。この機能に関する追加料金はありません (標準の AWS WAF 料金が適用されます)。詳細については、こちらの AWS WAF デベロッパーガイドで詳細をご覧ください。