グローバル設定では、IP アドレスまたは CIDR ブロックリストを作成できます。この機能を使用すると、Web Application Firewall(WAF)ポリシーとボットポリシーの一括関連付けと集中管理を実装し、複数のルールの設定の繰り返しを防ぐことができます。リストの変更は、関連付けられているすべてのポリシーに自動的に同期され、グローバルポリシーの整合性が確保されます。
メリット
この機能を使用すると、WAF ポリシーとボットポリシーを一度に複数の IP アドレスリストに関連付けることができます。標準化された IP リスト参照を使用して、ポリシーの整合性を確保し、複数回の入力における差異を減らすことができます。また、ビジネスシナリオに基づいてリストを柔軟に作成および調整し、環境全体でリストを再利用することもできます。これにより、セキュリティポリシーの効率的かつ集中管理と、正確な階層制御が実現します。
シナリオ
リストを作成した後、以下のパートで説明されている機能のルールを設定する際に、リストを参照できます。
対応するルールを追加する場合、一致パラメーターが Client IP に設定され、論理演算子が [リクエストが以下のルールと一致する場合...] で is in list または is not in list の場合にのみ、一致値は IP アドレスまたは CIDR ブロックリストを参照できます。
一致値は、Web サイトをまたいで IP アドレスまたは CIDR ブロックリストを参照することはできません。たとえば、リストが example.com Web サイトで参照されている場合、リスト内の example.com とそのサブドメインは有効になります。リストを参照していない Web サイトでは有効になりません。
グループを作成する
ESA コンソール にログインし、左側のナビゲーションウィンドウで、 を選択します。
[グループ] ページで、[グループを作成] をクリックします。[リストの作成] ダイアログボックスで、[グループ名] と [タイプ] を指定し、入力フィールドに一致値を入力して、[OK] をクリックします。
タイプの説明
[IP/CIDRブロック]: 10 個のリストを設定できます。1 つのリストに最大 500 個の IP アドレスまたは CIDR ブロックを含めることができます。複数の IP アドレスまたは CIDR ブロックは
,で区切ります。[ASN]:自律システム番号(ASN)は、インターネット上の自律システムを一意に識別します。自律システムとは、インターネットサービスプロバイダー、企業、大規模機関などのネットワーク管理組織によって制御される IP ネットワークとルーターのグループです。 リクエストで ASN をクエリできます。詳細については、「IP アドレスの ASN をクエリするにはどうすればよいですか?」または「インスタントログ」をご参照ください。
[ホスト名]: リクエストの Host ヘッダーの値。リクエストされたドメイン名を決定します。
グループを参照する
リストを作成し、一致パラメーターを Client IP に設定し、ローカルサーバーの IP アドレスを入力します。次に、カスタムルールでリストを参照し、ブロック条件を設定します。ローカルサーバーを使用して ESA 上のドメイン名にアクセスした後、403 エラーページが返されるはずです。これは、ルールがリストに有効であることを示しています。
グループを参照する
ESA コンソールで、Web サイト を選択し、管理する Web サイト名をクリックします。
左側のナビゲーションウィンドウで、 を選択します。[WAF] ページで、[カスタムルール] タブをクリックします。[ルールを追加] をクリックします。[カスタムルールの作成] ページで、[ルール名] を指定します。
[リクエストが以下のルールと一致する場合...] セクションで、一致タイプとしてクライアント IPを選択し、一致条件としてグループ内にあるを選択し、入力フィールドで作成したリストを選択します。
[以下を実行する...] セクションで、[アクション] に [ブロック] を選択し、[エラーページ] に [デフォルトのエラーページ] を選択し、[OK] をクリックします。状態コード 403 は変更できません。
テストを実行する
リストが参照された後、curl -I http://esa.xxx.top/pic_03.jpg を使用してテストを実行します。状態コード HTTP 403 が返された場合、設定は期待どおりです。
