如何使用 AWS WAF 允許或封鎖特定國家/地區或地理位置發出的請求?

上次更新日期:2022 年 10 月 6 日

如何使用 AWS WAF 允許或封鎖特定國家/地區或地理位置發出的請求?

簡短描述

使用地理位置比對規則陳述式,封鎖對特定國家/地區網站的存取權,或者僅允許特定國家/地區的存取權。

若要允許根據來源國家/地區提出某些 Web 請求,則針對您要允許的國家/地區新增地理位置比對規則陳述式。然後,針對您要封鎖的國家/地區,新增第二個地理比對規則陳述式。

注意:如果您使用 CloudFront 地理位置限制來封鎖某個國家/地區,阻止其存取您的內容,則該國家/地區的任何請求都會遭到封鎖,且不會轉送至 AWS WAF。如果您想要根據具有其他 AWS WAF 條件的地理位置來允許或封鎖請求,請改用 AWS WAF 地理位置比對規則陳述式。

解決方案

若要使用 AWS WAF 允許或封鎖特定國家/地區或地理位置發出的請求,請執行以下操作︰

1.    開啟 AWS WAF 主控台

2.    在導覽窗格的 AWS WAF 下,選擇 Web ACL

3.    在區域中,選取您在其中建立 Web ACL 的 AWS 區域。

       注意:如果您的網路 ACL 是針對 Amazon CloudFront 所設定,請選取全域

4.    選取您的 Web ACL。

5.    選擇 Rules (規則),然後選擇 Add Rules, Add my own rules and rule groups (新增規則、新增我自己的規則和規則群組)。

6.    針對 Rule Builder (規則產生器),輸入規則的名稱。

       注意:名稱必須包含 1 至 128 個有效字元,例如 A 至 Z、a 至 z、0 至 9、- (連字號) 和 _ (底線)。

7.    針對 If a request (如果請求),選擇 matches the statement (比對所有陳述式)。

8.    針對 Choose an inspection (選擇檢查) 選項,選擇 Originates from a country (源自某個國家/地區)。

9.    針對 Choose country codes (選擇國家/地區代碼),選擇您要檢查請求所在的國家/地區。

10.  (選用) 選擇 Source IP address (來源 IP 地址) 或 IP address in header (標頭中的 IP 地址),用於判斷來源國家/地區。

       警告:當請求透過 CDN 或其他 Proxy 網路路由時,來源 IP 地址會識別 Proxy。然後,原始 IP 地址會在標題中
       傳送。使用 IP address in header (標頭中的 IP 地址) 時請小心,因為 Proxy 可能會不一致地處理標頭,並且可對其進行修改以繞過檢查。

11.   針對 Action (動作),選擇 Allow (允許),以允許請求;或選擇 Block (封鎖),以封鎖步驟 9 中所選國家/地區發出的請求。

注意:選擇封鎖或允許請求時,請考慮 Web ACL 的預設動作集。如果預設動作為 Block (封鎖),則會封鎖來自所有國家/地區的請求,但此步驟中明確允許的國家/地區除外。這是管理允許的地理位置請求的最簡組態,但此組態並不提供檢查要求內容的機會。

如果預設行動為 Allow (允許),則可以建立否定 (NOT) 規則,來指定不得封鎖的國家/地區。此規則的動作必須遭到封鎖。這會建立一項規則,不會封鎖來自您要允許的國家/地區的請求,但也不會明確允許這些請求。請求必須等待通過使用者定義的其他規則,如檢查惡意內容,才會被預設動作允許。這是更強大的組態。

12.   選擇 Add Rule (新增規則)。

13.   (選用) 針對 Set Rule Priority (設定規則優先順序),選取您的規則,然後移動其優先順序。規則會依照顯示的順序進行處理。
        如需詳細資訊,請參閱在 Web ACL 中處理規則和規則群組的順序

14.   選擇 Save (儲存)。


此文章是否有幫助?


您是否需要帳單或技術支援?