Mục lục bài viết

Detailed geographic matching rules của AWS WAF là gì?

AWS WAF đã hỗ trợ Detailed geographic matching rules cho phép chặn hoặc chỉ truy cập vào trang web từ một quốc gia cụ thể.

Bước đầu tiên là có thể cho phép yêu cầu web dựa trên quốc gia phát tín hiệu. Ngoài ra, có thể thêm chặn quốc gia bạn muốn chặn nếu thêm vào statement tiếp theo.

※ Điều cần lưu ý ở đây là khi gắn WAF vào CloudFront. CloudFront cũng có tính năng hạn chế địa lý.

Nếu bạn đã sử dụng tính năng hạn chế địa lý của CloudFront và chặn truy cập vào nội dung dựa trên quốc gia, tất cả các yêu cầu từ quốc gia đó sẽ bị chặn và không thể truy cập đến AWS WAF.

Vì vậy, nếu có yêu cầu muốn chặn một số quốc gia nhất định và cho phép những quốc gia khác, bạn nên sử dụng Detailed geographic matching rules của AWS WAF.

Ưu điểm của bản cập nhật

Trước đây, Detailed geographic matching rules chỉ cho phép kiểm soát truy cập ở cấp độ quốc gia. Do có một số yêu cầu từ người dùng muốn kiểm soát chi tiết hơn các khu vực địa lý trong nước, và bây giờ có thể kiểm soát truy cập ở cấp độ khu vực.

(Ví dụ)

・ Yêu cầu từ Texas, Hoa Kỳ: awswaf:clientip:geo:region:US-TX

・ Yêu cầu từ Queensland, Úc: awswaf:clientip:geo:region:AU-QLD

Các nhãn như trên có thể được gắn tự động.

Ưu điểm của cập nhật này là bạn có thể sử dụng các quy tắc chi tiết như vậy để thực hiện những điều sau.

Ví dụ bạn là một người phụ trách an ninh mạng làm việc cho một công ty toàn cầu. Bạn có thể tận dụng tối đa bản cập nhật này khi muốn chỉ các nhà phát triển hệ thống từ một quốc gia khác được phép truy cập.

Bạn có thể bảo vệ an ninh mạng bằng cách chặn một số khu vực địa lý cụ thể trong khi chỉ cho phép các IP được phép truy cập.

Thử nghiệm

  1. AWS WAF sẽ quyết định quốc gia và khu vực của yêu cầu dựa vào địa chỉ IP.

Mặc định, AWS WAF sử dụng địa chỉ IP gốc của yêu cầu web. Trong cài đặt rule statement, bạn có thể thiết lập AWS WAF để sử dụng địa chỉ IP từ các tiêu đề yêu cầu thay thế như X-Forwarded-For. Và có thể kiểm tra mã quốc gia ở đây.


  1. Để thêm một quy tắc, chọn Rules, sau đó nhấp vào Add Rules và Add my own rules and rule groups.

IMG_256
  1. Đầu tiên bạn tạo một quy tắc để Block. Tại [If a request] và [matches the statement] chọn [Choose an inspection] và sau đó chọn [Originates from a country].
IMG_256
  1. Tiếp theo là quy tắc “Allow” . Tiếp tục tạo quy tắc tương tự như vậy. Ví dụ, bạn cho phép các yêu cầu từ khu vực “Hokkaido”.
IMG_256
  1. Đặt 2 quy tắc đã tạo theo thứ tự đánh giá là “test-rule1” → “test-rule2”. 
IMG_256

Chi phí

Không cần trả thêm chi phí nào để sử dụng bản cập nhật này.

Bạn có thể sử dụng AWS WAF ở tất cả các khu vực AWS, và các dịch vụ được hỗ trợ như Amazon CloudFront, Application Load Balancer, Amazon API Gateway, AWS AppSync và Amazon Cognito.