すべてのプロダクト
Search
ドキュメントセンター

Edge Security Acceleration:カスタム保護ポリシーの設定

最終更新日:Jul 01, 2026

DCDN を使用すると、正確な一致条件に基づいてアクセス制御ルールを定義し、レート制限を設定できます。ホットリンク保護や管理コンソールへのアクセス制御など、ビジネスシナリオに合わせて保護ポリシーをカスタマイズできます。

前提条件

  • Edge WAF サービスが有効化されていること。詳細については、「Edge WAF の有効化」をご参照ください。

  • ドメイン名が Edge WAF に追加されていること。詳細については、「保護対象ドメイン名の追加」をご参照ください。

背景情報

カスタム保護ポリシーは、カスタムルールを使用して実装します。カスタムルールには、次の種類があります:

  • アクセス制御ルール:クライアントの IP アドレス、リクエスト URL、および一般的なリクエストヘッダーフィールドに基づいて、リクエストの特性に関する一致条件を定義します。条件を満たすリクエストは、それに応じて処理されます。たとえば、カスタムルールを使用して、指定された URI にアクセスするリクエストをインターセプトしたり、指定された User-Agent を含むリクエストを検証したりできます。カスタムルールでサポートされているリクエストの特性フィールドについては、「一致条件」をご参照ください。

  • 頻度制御ルール:アクセス制御の一致条件に基づいて、アクセス頻度の検出条件を定義し、異常なアクセス頻度を持つ統計対象を処理します。たとえば、同じ IP アドレスまたはセッションが短時間内に頻繁に一致条件をトリガーする場合、頻度制御を有効にして、その IP アドレスまたはセッションからのリクエストを一時的にインターセプトできます。

カスタム保護ポリシーの作成

  1. DCDNコンソールにログインします。
  2. 左側メニューで、 WAF 保護 > 保護ポリシー を選択します。

  3. 保護ポリシー ページで、 ポリシーの新規作成 をクリックします。

  4. [Create Protection Policy] ページで、ポリシー情報を設定します。

    設定モジュール

    パラメーター

    説明

    [ポリシー情報]

    [ポリシータイプ]

    カスタム保護ポリシー を選択します。

    [ポリシー名]

    カスタムポリシー名を入力します。名前に使用できる文字は、中国語、英字 (大文字と小文字を区別) 、数字 (0-9) 、アンダースコア (_) です。長さは最大 64 文字です。

    [デフォルトポリシーとして設定]

    現在のポリシータイプをデフォルトとして設定するには、このスイッチをオンにします。ポリシータイプごとに設定できるデフォルトポリシーは 1 つだけです。デフォルトポリシーは一度設定すると、別のポリシーに置き換えることはできません。デフォルトポリシーがすでに存在する場合、このスイッチは操作できません。

    [ルール情報]

    [Rule]

    カスタム保護ポリシーのルール。設定の詳細については、「カスタムルールパラメーター」をご参照ください。ポリシーごとに最大 10 個のルールを設定できます。上限を引き上げるには、チケットを送信してください。

    [保護対象ドメイン]

    [関連するポリシー関係を選択してください]

    保護対象ドメインは、同じタイプの複数のポリシーに関連付けることができます。ドメインに同じタイプのポリシーがすでに適用されている場合、既存のポリシーを置き換えるか、または既存のポリシーを保持したまま現在のポリシーを追加するかを選択できます。すでにデフォルトポリシーに関連付けられているドメインは、置換のみをサポートします。有効な値:

    • [Replace existing policies]:既存のポリシーとの関連付けを解除し、現在のポリシーに置き換えます。

    • [Append to existing policies]:両方のポリシーが互いに影響を与えることなく共存します。

    [ドメインの選択]

    現在の保護ポリシーに含めるドメインを選択します。

  5. ポリシーの作成 をクリックします。

カスタムルールパラメーター

新しい保護ポリシーを設定する際にカスタムルールを作成したり、既存のポリシーにいつでもルールを追加したりできます。

パラメーター

説明

[Rule Name]

カスタムルール名を入力します。名前に使用できる文字は、中国語、英字 (大文字と小文字を区別) 、数字 (0-9) 、アンダースコア (_) です。長さは最大 64 文字です。

[一致条件]

このルールで照合するリクエストの特性を設定します。ルールを追加 をクリックして条件を追加します。ルールごとに最大 5 つの条件を設定できます。ルールがトリガーされるには、すべての条件が同時に満たされる必要があります。各条件は、一致フィールド論理演算子、および 一致コンテンツから構成されます。設定例については、「一致条件の例」をご参照ください。一致フィールドと論理演算子の詳細な説明については、「一致条件」をご参照ください。

[レート制限]

頻度制御を有効または無効にします。有効にした場合、同じ統計対象 (IP、セッションなど) からのリクエストが一定期間内に頻繁にルールをトリガーすると、その対象からのすべてのリクエストが指定された期間、それに応じて処理されます。有効にした後、頻度制御パラメーターを設定する必要があります。詳細については、「頻度制御パラメーター」をご参照ください。

[規則動作]

リクエストがルールに一致したときに実行する保護アクションを選択します。有効な値:

  • [Block]:一致したリクエストをインターセプトし、ブロック応答ページを返します。

  • [JS Challenge]:通常のブラウザーが自動実行する JavaScript コードスニペットを返します。正常に実行されると、リクエストは再検証なしで 30 分間許可されます。

  • [Slider Challenge]:スライダー検証ページを返します。クライアントが合格すると、リクエストは 30 分間許可されます。

  • [Monitor]:インターセプトせずに、一致したリクエストのみをログに記録します。これを使用して、ブロックモードに切り替える前に、新しいルールの誤検知をテストします。ログをクエリするには、ログサービスを有効にする必要があります。

頻度制御パラメーター

レート制限 スイッチをオンにした場合は、次のパラメーターを設定します:

タイプ

パラメーター

説明

[頻度検出条件]

[統計オブジェクト]

リクエスト頻度統計の対象を選択します。有効な値:

  • [IP]:同じ IP アドレスからの頻度。

  • [Custom-Header]:指定されたヘッダーを含むリクエストの頻度。

  • [Custom-Param]:指定されたパラメーターを含むリクエストの頻度。

  • [Custom-Cookie]:指定された Cookie を含むリクエストの頻度。

  • [Session]:同じセッションからの頻度。

統計対象:IP、期間:60 秒、しきい値:10。あるクライアント IP アドレスが 60 秒以内に 10 回を超えて一致条件をトリガーした場合、ブラックリストに登録されます。DCDN は分散ノードで構成されているため、このしきい値は 100% 正確ではない場合があります。予想よりもわずかに低いしきい値を設定してください。

[統計期間 (秒)]

統計期間を設定します。有効な値の範囲は 5~1,800 です。単位は秒です。

[しきい値]

  • リクエスト数のしきい値:検出期間内に統計対象が一致条件をトリガーできる回数の上限値です。有効な値の範囲は 2~50,000 です。単位は回です。

  • トラフィックのしきい値:検出期間内におけるトラフィック量の上限値です。

  • 両方:両方の条件を同時に満たす必要があります。

[レスポンスコード検出条件]

[ステータスコード]

頻度検出と並行してレスポンスコード検出を有効にします。有効にした場合、対象は頻度条件と特定のレスポンスコード条件の両方を満たす必要があります。カウントするレスポンスコードを指定します。

レスポンスコード:404、カウント:5。ある IP が 60 秒以内に一致条件を 10 回以上トリガーし、404 応答を 5 回以上受信した場合、ブラックリストに登録されます。

カウント

検出期間内における指定されたレスポンスコードの発生回数の上限値です。カウントまたはパーセンテージのいずれかを選択します。両方を選択することはできません。

[割合 (%)]

検出期間内における指定されたレスポンスコードのパーセンテージの上限値です。カウントまたはパーセンテージのいずれかを選択します。両方を選択することはできません。

ブラックリスト処理

[Apply To]

ブラックリスト処理の範囲。有効な値:

  • [Current Match Condition]:現在のルールの条件を満たすリクエストのみをインターセプトします。

  • [ドメイン上のすべてのリクエスト]:制限対象からのすべてのリクエストをインターセプトします。

頻度検出をトリガーした対象をブラックリストに登録します。指定された期間、対象からのリクエストを定義済みのアクションで処理します。

[Timeout Period]

ブラックリストの有効期間です。有効な値の範囲は 60~86,400 です。単位は秒です。

関連 API