リクエストルールを設定する
- English
- 日本語
リクエストルールを設定すると、WAF がアクションを実行するためにリクエストが満たす必要がある任意の条件を定義し、条件が満たされた場合に WAF が実行すべきアクションを定義できます。たとえば、特定のヘッダーを持つすべてのリクエスト、特定のパスへのリクエスト、または特定の IP アドレスからのリクエストをブロックするルールを作成できます。
制約と考慮事項
リクエストルールを扱う際には、以下の点に留意してください。
リクエストルールは、Security Starter、Security Advantage、または Security Ultimate パッケージセキュリティ製品/サービスの場合、企業 (アカウントとも呼ばれる) ごとに1000件、サイト (ワークスペースとも呼ばれる) ごとに1000件に制限されます。他のパッケージには異なる制限がある場合があります。
リクエストルールは、パッケージ内容の制限の目的においては、カスタムルールとみなされます。
リクエストルールの作成
複数のサイト (ワークスペース) に適用されるリクエストルール、または単一のサイト (ワークスペース) にのみ適用されるリクエストルールを作成できます。
複数のサイト (ワークスペース) に適用されるルールを作成する
複数のサイト (ワークスペース) に適用されるリクエストルールを作成するには、次の手順を実行します。
- Next-Gen WAF control panel
- Fastly control panel
- Next-Gen WAF コンソールにログインします。
Corp Rules メニューから、Corp Rules を選択します。
Add corp rule をクリックします。
.Type セクションで、Request を選択します。
Conditions セクションの各フィールドを以下のように設定します。
Field メニューから、条件の基準となるリクエストフィールドを選択します。
Value フィールドに、指定したフィールドの値を入力します。
Operator メニューから演算子を選択し、選択したフィールドと値を比較する方法を指定します。
(オプション) 別の条件を追加するには、Add condition をクリックします。条件のグループを作成するには、Add group をクリックします。
リクエストがすべての条件を満たす必要があることを指定するには All を選択します。リクエストが1つの条件のみを満たす必要があることを指定するには Any を選択します。
Actions セクションの各フィールドを以下のように設定します。
Action type メニューから、リクエストがルールの条件を満たしている場合に実行するアクションを選択します。
(オプション) 別のアクションを追加するには、Add action をクリックします。
Details セクションの各フィールドを以下のように設定します。
ルールの基準に一致するリクエストのログを保存するには、Request logging メニューから Sampled を選択します。保存しない場合は None を選択します。None を選択した場合でも、時系列グラフにはルールの基準に一致するリクエストのデータが引き続き含まれます。詳細については、リクエストデータの保存に関するガイドをご覧ください。
Status スイッチは有効のままにしておきます。
Change expiration をクリックし、ルールを無効にするタイミングをメニューから選択します。
Description フィールドに、ルールの説明を入力します。
Scope メニューで、Global を選択したままにすると、ルールがすべてのサイトに適用されます。特定のサイトにルールを適用する場合は、Specific sites を選択し、ルールを適用するサイトを選択します。
Create corp rule をクリックします。リクエストルールが作成され、Site Rules ページが表示されます。
1つのサイト (ワークスペース) に適用されるルールを作成する
1つのサイト (ワークスペース) にのみ適用されるリクエストルールを作成するには、次の手順を実行します。
- Next-Gen WAF control panel
- Fastly control panel
- Next-Gen WAF コンソールにログインします。
- Sites メニューから、複数のサイトがある場合はサイトを選択します。
Rules メニューから、Site Rules を選択します。
Add site rule をクリックします。
.Type セクションで、Request を選択します。
Conditions セクションの各フィールドを以下のように設定します。
Field メニューから、条件の基準となるリクエストフィールドを選択します。
Value フィールドに、指定したフィールドの値を入力します。
Operator メニューから演算子を選択し、選択したフィールドと値を比較する方法を指定します。
(オプション) 別の条件を追加するには、Add condition をクリックします。条件のグループを作成するには、Add group をクリックします。
リクエストがすべての条件を満たす必要があることを指定するには All を選択します。リクエストが1つの条件のみを満たす必要があることを指定するには Any を選択します。
Actions セクションの各フィールドを以下のように設定します。
Action type メニューから、リクエストがルールの条件を満たしている場合に実行するアクションを選択します。
(オプション) Action type メニューで
Browser challengeを選択した場合、チャレンジを非インタラクティブのまま保つには Allow Interactive スイッチを無効のままにします。インタラクティブ (CAPTCHA) チャレンジを要求するにはスイッチをクリックします。(オプション) Action type メニューで
Blockを選択した場合は、Change response をクリックして、ルールがリクエストをブロックしたときに返すカスタムレスポンスコードを指定します。サポートされているカスタムレスポンスコードは301、302、および400-599です。(オプション) Response code (オプション) フィールドに
301または302を入力した場合は、Redirect URL (オプション) フィールドにリダイレクト先の絶対 URL または相対 URL を入力します。詳細については、リダイレクト・カスタム・レスポンス・コードの使用に関するガイドをご覧ください。(オプション) 別のアクションを追加するには、Add action をクリックします。
Details セクションの各フィールドを以下のように設定します。
ルールの基準に一致するリクエストのログを保存するには、Request logging メニューから Sampled を選択します。保存しない場合は None を選択します。None を選択した場合でも、時系列グラフにはルールの基準に一致するリクエストのデータが引き続き含まれます。詳細については、リクエストデータの保存に関するガイドをご覧ください。
Status スイッチは有効のままにしておきます。
Change expiration をクリックし、ルールを無効にするタイミングをメニューから選択します。
Description フィールドに、ルールの説明を入力します。
Create site rule をクリックします。リクエストルールが作成され、Site Rules ページが表示されます。
リクエストルールの編集
既存のルールを編集する手順は、ルールが複数のサイト (ワークスペース) に適用されるか、単一のサイト (ワークスペース) に適用されるかによって異なります。
複数のサイト (ワークスペース) に適用されるルールを編集する
複数のサイト (ワークスペース) に適用されるリクエストルールを調整するには、次の手順を実行します。
- Next-Gen WAF control panel
- Fastly control panel
- Next-Gen WAF コンソールにログインします。
Corp Rules メニューから、Corp Rules を選択します。
編集したいルールの横にある Edit をクリックします。
.Conditions セクションの各フィールドを以下のように設定します。
Field メニューから、条件の基準となるリクエストフィールドを選択します。
Value フィールドに、指定したフィールドの値を入力します。
Operator メニューから演算子を選択し、選択したフィールドと値を比較する方法を指定します。
(オプション) 別の条件を追加するには、Add condition をクリックします。条件のグループを作成するには、Add group をクリックします。
リクエストがすべての条件を満たす必要があることを指定するには All を選択します。リクエストが1つの条件のみを満たす必要があることを指定するには Any を選択します。
Actions セクションの各フィールドを以下のように設定します。
Action type メニューから、リクエストがルールの条件を満たしている場合に実行するアクションを選択します。
(オプション) 別のアクションを追加するには、Add action をクリックします。
Details セクションの各フィールドを以下のように設定します。
ルールの基準に一致するリクエストのログを保存するには、Request logging メニューから Sampled を選択します。保存しない場合は None を選択します。None を選択した場合でも、時系列グラフにはルールの基準に一致するリクエストのデータが引き続き含まれます。詳細については、リクエストデータの保存に関するガイドをご覧ください。
Status スイッチは有効のままにしておきます。
Change expiration をクリックし、ルールを無効にするタイミングをメニューから選択します。
Description フィールドに、ルールの説明を入力します。
Scope メニューで、Global を選択したままにすると、ルールがすべてのサイトに適用されます。特定のサイトにルールを適用する場合は、Specific sites を選択し、ルールを適用するサイトを選択します。
Update corp rule をクリックします。リクエストルールが作成され、Site Rules ページが表示されます。
単一のサイト (ワークスペース) に適用されるルールを編集する
1つのサイト (ワークスペース) にのみ適用されるリクエストルールを調整するには、次の手順を実行します。
- Next-Gen WAF control panel
- Fastly control panel
- Next-Gen WAF コンソールにログインします。
- Sites メニューから、複数のサイトがある場合はサイトを選択します。
Rules メニューから、Site Rules を選択します。
更新したいルールの横にある Edit をクリックします。
Type セクションで、Request を選択します。
Conditions セクションの各フィールドを以下のように設定します。
Field メニューから、条件の基準となるリクエストフィールドを選択します。
Value フィールドに、指定したフィールドの値を入力します。
Operator メニューから演算子を選択し、選択したフィールドと値を比較する方法を指定します。
(オプション) 別の条件を追加するには、Add condition をクリックします。条件のグループを作成するには、Add group をクリックします。
リクエストがすべての条件を満たす必要があることを指定するには All を選択します。リクエストが1つの条件のみを満たす必要があることを指定するには Any を選択します。
Actions セクションの各フィールドを以下のように設定します。
Action type メニューから、リクエストがルールの条件を満たしている場合に実行するアクションを選択します。
(オプション) Action type メニューで
Browser challengeを選択した場合、チャレンジを非インタラクティブのまま保つには Allow Interactive スイッチを無効のままにします。インタラクティブ (CAPTCHA) チャレンジを要求するにはスイッチをクリックします。(オプション) Action type メニューで
Blockを選択した場合は、Change response をクリックして、ルールがリクエストをブロックしたときに返すカスタムレスポンスコードを指定します。サポートされているカスタムレスポンスコードは301、302、および400-599です。(オプション) Response code (オプション) フィールドに
301または302を入力した場合は、Redirect URL (オプション) フィールドにリダイレクト先の絶対 URL または相対 URL を入力します。詳細については、リダイレクト・カスタム・レスポンス・コードの使用に関するガイドをご覧ください。(オプション) 別のアクションを追加するには、Add action をクリックします。
Details セクションの各フィールドを以下のように設定します。
ルールの基準に一致するリクエストのログを保存するには、Request logging メニューから Sampled を選択します。保存しない場合は None を選択します。None を選択した場合でも、時系列グラフにはルールの基準に一致するリクエストのデータが引き続き含まれます。詳細については、リクエストデータの保存に関するガイドをご覧ください。
Status スイッチは有効のままにしておきます。
Change expiration をクリックし、ルールを無効にするタイミングをメニューから選択します。
Description フィールドに、ルールの説明を入力します。
Update site rule をクリックします。リクエストルールが更新され、サイトルールページが表示されます。
リクエストルールの削除
ルールを削除するには、ルールの削除セクションに記載されている手順に従ってください。
リクエストルールの例
以下の例では、一般的なユースケースでリクエストルールを設定する方法を示しています。例で使用されている値 (パスやレスポンスコード) は、特定の Web アプリケーションで使用される値とは異なる場合があることにご注意ください。
悪意のある IP アドレスからの攻撃をブロックする
この例は、以下の条件を満たす IP アドレスからの攻撃を即座にブロックするリクエストルールを示しています。
SANS Internet Storm Center によって悪意のあるものとして報告された。
Fastly の Network Learning Exchange (NLX) によって攻撃者として特定された。
TOR 出口ノードとして機能する。
ルールは以下のようになります。
攻撃シグナルでタグ付けされたリクエストを探す。攻撃シグナルのシステムリストには、すべての攻撃シグナルが含まれています。
悪意のある IP、SigSci IP、または Tor トラフィックシグナルでタグ付けされたリクエストを探す。
ルールに設定された条件を満たすリクエストをブロックする。
ヒント : リスト機能にアクセスできない場合は、個々の攻撃シグナルごとにリクエストルールを作成します。
- Next-Gen WAF control panel
- Fastly control panel
悪質なボットをブロックする
この例は、以下に当てはまる疑わしい悪質なボットの IP アドレスからのリクエストを即座にブロックするリクエストルールを示しています。
SANS Internet Storm Center によって悪意のあるものとして報告された。
Fastly の Network Learning Exchange (NLX) によって攻撃者として特定された。
TOR 出口ノードとして機能する。
ルールは以下のようになります。
疑わしい悪質なボットシグナルでタグ付けされたリクエストと、悪意のある IP、SigSci IP、または Tor トラフィックシグナルでタグ付けされたリクエストを探す。
ルールに設定された条件を満たすリクエストをブロックする。
- Next-Gen WAF control panel
- Fastly control panel
