AWS WAF에서 IP 평판 목록 또는 익명 IP 목록을 사용할 때, 합법적인 IP 주소를 허용하려면 어떻게 해야 하나요?

간략한 설명

다음 AWS 관리형 규칙 그룹이 합법적인 요청을 차단할 수 있습니다.

• Amazon IP 평판 목록 관리형 규칙 그룹을 사용하면 일반적으로 봇이나 기타 위협과 관련된 소스 IP 주소를 기반으로 요청을 차단할 수 있습니다.
• 익명 IP 목록 관리 규칙 그룹은 VPN 또는 프록시와 같은 최종 사용자 ID의 난독화를 허용하는 서비스의 요청을 차단하는 규칙을 포함합니다.

특정 IP 주소를 허용하려면 다음 방법을 사용하여 이 문제를 해결하십시오.

• 범위 축소 문을 사용해 규칙이 평가하는 요청의 범위를 좁힐 수 있습니다. 단일 규칙 그룹에서 논리를 처리하려면 이 옵션을 선택합니다.
• 웹 요청에 레이블을 지정하여 요청과 일치하는 규칙이 나중에 동일한 웹 ACL에서 평가되는 규칙에 일치 결과를 전달할 수 있도록 합니다. 여러 규칙에서 동일한 로직을 재사용하려면 이 옵션을 선택합니다.

해결 방법

옵션 1: 범위 축소 문 사용

우선 IP 세트를 생성합니다.

1. AWS WAF 콘솔을 엽니다.
2. 탐색 창에서 IP 세트를 선택한 다음 IP 세트 생성을 선택합니다.
3. IP 세트에 대한 IP 세트 이름 및 설명-선택 사항을 입력합니다. 예: MyTrustedIPs.
   참고: IP 세트를 생성한 다음에는 IP 세트 이름을 변경할 수 없습니다.
4. 리전에서 IP 세트를 저장할 AWS 리전을 선택합니다. Amazon CloudFront 배포를 보호하는 웹 ACL에서 IP 세트를 사용하려면 **전역(CloudFront)**을 사용해야 합니다.
5. IP 버전의 경우 사용할 버전을 선택합니다.
6. IP 주소의 경우 CIDR 표기법으로 허용할 IP 주소 또는 IP 주소 범위를 한 줄에 하나씩 입력합니다.
   참고: AWS WAF는 /0을 제외한 모든 IPv4 및 IPv6 CIDR 범위를 지원합니다.
   예시:
   IPv4 주소 192.168.0.26을 지정하려면 192.168.0.26/32를 입력합니다.
   IPv6 주소 0:0:0:0:0:ffff:c000:22c를 지정하려면 0:0:0:0:0:ffff:c000:22c/128를 입력합니다.
   192.168.20.0부터 192.168.20.255까지의 IPv4 주소 범위를 지정하려면, 192.168.20.0/24를 입력합니다.
   2620:0:2d0:200:0:0:0:0에서 2620:0:2d0:200:ffff:ffff:ffff:ffff까지의 IPv6 주소 범위를 지정하려면 2620:0:2d0:200::/64를 입력합니다.
7. IP 세트에 대한 설정을 검토합니다. 사양과 일치하는 경우 IP 세트 생성을 선택합니다.

그런 다음 요청을 차단하는 특정 AWS 관리형 규칙에 범위 축소 설명을 추가합니다.

1. 탐색 창의 AWS WAF에서 웹 ACL을 선택합니다.
2. 리전에서 웹 ACL을 생성한 AWS 리전을 선택합니다.
   참고: 웹 ACL이 Amazon CloudFront에 대해 설정된 경우 전역을 선택합니다.
3. 웹 ACL을 선택합니다.
4. 웹 ACL 규칙(Rules) 탭에서 요청을 차단하는 특정 AWS 관리형 규칙 그룹을 선택한 다음, **편집(Edit)**을 선택합니다.
5. **범위 축소 문 - 선택 사항(Scope-down statement - optional)**에서 **범위 축소 사용 문(Enable scope-down statement)**을 선택합니다.
6. 요청인 경우에 **문과 일치하지 않음(NOT)**을 선택합니다.
7. 문에서 검사에 대해, 다음의 IP 주소에서 시작됨을 선택합니다.
8. IP 세트에서 이전에 생성한 IP 세트를 선택합니다. 예: MyTrustedIPs.
9. 원래 주소로 사용할 IP 주소에 대해 소스 IP 주소를 선택합니다.
10. 규칙 저장을 선택합니다.

옵션 2: 웹 요청에 레이블 사용

우선 IP 세트를 생성합니다.

1. AWS WAF 콘솔을 엽니다.
2. 탐색 창에서 IP 세트를 선택한 다음 IP 세트 생성을 선택합니다.
3. IP 세트에 대한 IP 세트 이름 및 설명-선택 사항을 입력합니다. 예: MyTrustedIPs.
   참고: IP 세트를 생성한 다음에는 IP 세트 이름을 변경할 수 없습니다.
4. 리전에서 IP 세트를 저장할 AWS 리전을 선택합니다. Amazon CloudFront 배포를 보호하는 웹 ACL에서 IP 세트를 사용하려면 **전역(CloudFront)**을 사용해야 합니다.
5. IP 버전의 경우 사용할 버전을 선택합니다.
6. IP 주소의 경우 CIDR 표기법으로 허용할 IP 주소 또는 IP 주소 범위를 한 줄에 하나씩 입력합니다.
   참고: AWS WAF는 /0을 제외한 모든 IPv4 및 IPv6 CIDR 범위를 지원합니다.
   예시:
   IPv4 주소 192.168.0.26을 지정하려면 192.168.0.26/32를 입력합니다.
   IPv6 주소 0:0:0:0:0:ffff:c000:22c를 지정하려면 0:0:0:0:0:ffff:c000:22c/128를 입력합니다.
   192.168.20.0부터 192.168.20.255까지의 IPv4 주소 범위를 지정하려면, 192.168.20.0/24를 입력합니다.
   2620:0:2d0:200:0:0:0:0에서 2620:0:2d0:200:ffff:ffff:ffff:ffff까지의 IPv6 주소 범위를 지정하려면 2620:0:2d0:200::/64를 입력합니다.
7. IP 세트에 대한 설정을 검토합니다. 사양과 일치하는 경우 IP 세트 생성을 선택합니다.

그런 다음, 규칙 그룹에 포함되도록 규칙 작업을 변경합니다.

1. 웹 ACL 페이지의 규칙 탭에서 요청을 차단하는 AWS 관리형 규칙 그룹을 선택한 다음, 편집을 선택합니다.
2. 규칙 그룹의 규칙 섹션에서, 다음 중 하나를 수행합니다.
   AWSManagedIPReputationList의 경우, 개수를 켭니다.
   AnonymousIPList Rule의 경우, 개수를 켭니다.
3. 규칙 저장을 선택합니다.

마지막으로 요청을 차단하는 특정 AWS 관리형 규칙보다 숫자 우선 순위가 높은 규칙을 생성합니다.

1. 탐색 창의 AWS WAF에서 웹 ACL을 선택합니다.
2. 리전에서 웹 ACL을 생성한 AWS 리전을 선택합니다. 참고: 웹 ACL이 Amazon CloudFront에 대해 설정된 경우 전역을 선택합니다.
3. 웹 ACL을 선택합니다.
4. 규칙을 선택합니다.
5. 규칙 추가를 선택한 다음 자체 규칙 및 규칙 그룹 추가를 선택합니다.
6. 이름의 경우 규칙 이름을 입력한 다음 일반 규칙을 선택합니다.
7. 요청인 경우에 **모든 문과 일치함(AND)**을 선택합니다.
8. 문장 1에서:
   검사에서 레이블 있음을 선택합니다.
   범위 일치에서 레이블을 선택합니다.
   일치 키의 경우 요청을 차단하는 관리형 규칙에 따라 awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList 또는 awswaf:managed:aws:anonymous-ip-list:AnonymousIPList 중 하나를 선택합니다.
9. 문장 2에서:
   문 부정(NOT) 의 경우 명령문 결과 무효화를 선택합니다.
   검사에서 IP 주소에서 시작됨을 선택합니다.
   IP 세트에서 이전에 생성한 IP 세트를 선택합니다.
   원래 주소로 사용할 IP 주소에 대해 소스 IP 주소를 선택합니다.
10. 작업에서 차단을 선택합니다.
11. 규칙 추가를 선택합니다.
12. 규칙 우선 순위 설정의 경우 요청을 차단하고 있던 AWS 관리형 규칙 아래로 규칙을 이동합니다.
13. 저장을 선택합니다.

중요: 작업이 개수로 설정한 비프로덕션 환경에서 규칙을 테스트하는 것이 좋습니다. AWS WAF サンプルリクエストまたは AWS WAF ログと組み合わせた Amazon CloudWatch メトリクスを使用して、ルールを評価します。 규칙이 원하는 대로 작동한다고 생각되면 작업을 차단으로 변경합니다.

---

관련 정보

AWS Managed Rules에서 발생한 거짓 긍정을 감지하여 수신 허용 목록에 추가하려면 어떻게 해야 합니까?