Comment autoriser ou bloquer les demandes provenant d'un pays ou d'une géolocalisation spécifique à l'aide d'AWS WAF ?
Brève description
Utilisez l'instruction de règle de correspondance géographique pour bloquer l'accès à votre site à partir de pays spécifiques ou pour autoriser l'accès uniquement à partir de pays spécifiques.
Pour autoriser certaines requêtes web basées sur le pays d'origine, ajoutez une instruction de règle de correspondance géographique pour les pays que vous souhaitez autoriser. Ensuite, ajoutez une deuxième instruction de règle de correspondance géographique pour les pays que vous voulez bloquer.
Remarque : si vous utilisez la restriction géographique CloudFront pour interdire l'accès à votre contenu à un pays, toute demande provenant de ce pays est bloquée et n'est pas transmise à AWS WAF. Si vous voulez autoriser ou bloquer les demandes en fonction d'autres critères géographiques AWS WAF, il est recommandé d'utiliser une instruction de règle de correspondance géographique AWS WAF.
Solution
Afin d'autoriser ou bloquer les demandes provenant d'un pays ou d'une géolocalisation spécifique à l'aide d'AWS WAF, procédez comme suit :
1. Ouvrez la console AWS WAF.
2. Dans le panneau de navigation, sous AWS WAF, sélectionnez Web ACLs (Listes ACL web).
3. Pour Region (Région), sélectionnez la région AWS dans laquelle vous avez créé votre liste ACL web.
Remarque : sélectionnez Global si votre liste ACL web est configurée pour Amazon CloudFront.
4. Sélectionnez votre liste ACL web.
5. Sélectionnez Rules (Règles), puis Add Rules, Add my own rules and rule groups (Ajouter des règles, Ajouter mes propres règles et groupes de règles).
6. Pour Rule Builder (Générateur de règle), entrez un nom pour votre règle.
Remarque : le nom doit comporter entre 1 et 128 caractères valides, tels que A à Z, a à z, 0 à 9, - (tiret) et _ (caractère de soulignement).
7. Pour If a request (Si une demande), sélectionnez matches the statement (correspond à l'instruction).
8. Pour l'option Choose an inspection (Choisir une inspection), sélectionnez Originates from a country (Provenant d'un pays).
9. Pour Choose country codes (Choisir les codes de pays), sélectionnez le pays pour lequel vous voulez que les demandes soient inspectées.
10. (Facultatif) Sélectionnez Source IP address (Adresse IP source) ou IP address in header (Adresse IP dans l'en-tête) à utiliser pour déterminer le pays d'origine.
Avertissement : lorsqu'une demande est acheminée via un réseau de diffusion de contenu (CDN) ou un autre réseau proxy, l'adresse IP source identifie le proxy. Ensuite, l'adresse IP d'origine est envoyée dans un
en-tête. Il est recommandé de faire preuve de prudence lors de utilisation de l'option IP address in header (Adresse IP dans l'en-tête) car les en-têtes peuvent être gérés de manière inconsistante par les proxy et être modifiés afin de contourner l'inspection.
11. Pour Action, sélectionnez Allow (Autoriser) afin d'autoriser ou Block (Bloquer) pour bloquer les demandes provenant du pays spécifié à l'étape 9.
Remarque : lorsque vous choisissez de bloquer ou d'autoriser des demandes, prenez en compte l'action par défaut définie pour l'ACL Web. Si l'action par défaut est Block (Bloquer), les demandes provenant de tous les pays sont bloquées, à l'exception des pays explicitement autorisés à cette étape. Il s'agit de la configuration la plus simple pour gérer les demandes géographiques autorisées, mais cette configuration ne permet pas d'inspecter le contenu des demandes.
Si l'action par défaut est Allow (Autoriser), vous pouvez créer la règle d'annulation NOT (NON) afin de spécifier les pays qui ne doivent pas être bloqués. L'action sur cette règle doit être bloquée. Cela crée une règle qui ne bloque pas les demandes provenant des pays que vous voulez autoriser, mais qui ne les autorise pas explicitement. Les demandes doivent attendre de passer par d'autres règles définies par l'utilisateur (telles que les inspections de contenu malveillant) avant d'être autorisées par l'action par défaut. Il s'agit d'une configuration plus fiable.
12. Sélectionnez Add rule (Ajouter une règle).
13. (Facultatif) Pour Set Rule Priority (Définir la priorité de la règle), sélectionnez votre règle et déplacez sa priorité. Les règles sont traitées dans l'ordre dans lequel elles apparaissent.
Pour plus d'informations, veuillez consulter la section Ordre de traitement des règles et des groupes de règles dans une ACL web.
14. Cliquez sur Save (Enregistrer).