お客様のサービスを Web Application Firewall (WAF) に追加した後、地域ブロックルールを設定することで、特定の国や地域からのアクセスリクエストをブロックし、地域的な悪意のあるトラフィックを効果的に軽減できます。このトピックでは、地域ブロックルールの作成方法について説明します。
基本概念
-
[リージョンのブロック]:コア Web 保護の保護モジュールの 1 つで、IP ジオロケーションデータベースに基づいて実装されています。システムはクライアントのリアル IP アドレスを抽出し、組み込みのデータベースを照会して、それが属する国や省を特定します。このモジュールを有効にする前に、保護テンプレートを作成する必要があります。システムは複数の保護テンプレートをサポートします。
-
保護テンプレート:特定のルールの内容とスコープを定義する保護ルールのコレクションです。テンプレートタイプ、保護ルール、適用対象の 3 つの部分で構成されています。
-
テンプレートタイプ:保護テンプレートの作成時にタイプを指定する必要があり、作成後に変更することはできません。テンプレートタイプは、次の 2 つのカテゴリに分類されます。
テンプレートタイプ
説明
適用シナリオ
デフォルトの保護テンプレート
-
デフォルトでは、テンプレートは作成時にすべての保護対象と保護対象グループに適用されます。その後追加された対象も自動的に含まれます。
-
特定の対象を手動で除外できます (「無効」に設定)。
-
地域ブロックモジュールでは、デフォルトの保護テンプレートは 1 つしか作成できません。
グローバルに適用する必要がある一般的な保護ルールをデプロイします。
カスタム保護テンプレート
テンプレートが適用される保護対象または保護対象グループを手動で指定する必要があります。
特定のビジネスシナリオ (ログインや決済 API など) に対して、きめ細かい保護ルールをデプロイします。
-
-
保護ルール:特定の検出ロジックとレスポンスアクションを定義します。保護ルールは、次の 2 つの部分で構成されています。
-
ブロック対象の地域:ブロックまたはログに記録するクライアントの IP アドレスの地理的な場所を指定します。
-
[Rule Action]:ルールに一致した場合に実行するアクションを定義します。[ブロック]と[観察]をサポートしています。
-
-
適用対象:保護テンプレートの適用対象を指定します。適用対象を設定することで、特定の保護対象または保護対象グループに保護ルールを適用します。1 つの保護対象または保護対象グループは、1 つの地域ブロック保護テンプレートにのみ関連付けることができます。
-
保護対象:WAF に追加された各ドメイン名またはクラウドサービスインスタンスに対して、保護対象が自動的に作成されます。
-
保護対象グループ:複数の保護対象を保護対象グループに追加して、一元管理できます。
-
-
操作手順
-
前提条件:以下の手順を実行する前に、保護対象が存在すること (Web サービスが WAF に追加されていること) を確認してください。サービスを WAF に追加していない場合は、「概要」をご参照ください。
-
WAF の前にプロキシがデプロイされている場合の正しい設定:この機能の効果は、WAF がクライアントのリアル IP アドレスを正確に取得できるかどうかにかかっています。CDN や Anti-DDoS Pro/Premium などのレイヤー 7 プロキシデバイスが WAF の前にデプロイされている場合は、アセットアクセスを設定する際に「[WAF の前にレイヤー 7 プロキシがあるかどうか (Anti-DDoS Proxy や CDN など)]」オプションを「Yes」に設定する必要があります。設定が正しくないと、WAF はクライアントのリアル IP を取得できず、保護が機能しなくなります。詳細については、「クライアントのリアル IP 情報」をご参照ください。
WAF 3.0 コンソールにログインします。上部メニューで、WAF インスタンスのリソースグループとリージョン ([中国本土]または[中国本土以外]) を選択します。左側のナビゲーションペインで、 を選択します。
ステップ 1:保護テンプレートタイプの選択
Web コア保護 ページで、リージョンのブロック セクションのテンプレートの作成 をクリックし、次の設定を行います。
-
[テンプレート名]:テンプレートの名前を指定します。
-
[デフォルトテンプレート]:地域ブロックモジュールにはデフォルトテンプレートを 1 つだけ設定でき、新しいテンプレートを作成するときにのみ設定できます。
-
はい:有効対象 を設定する必要はありません。作成時に、テンプレートはデフォルトですべての保護対象と保護対象グループに適用されます。その後追加された対象も自動的に含まれます。特定の対象を手動で除外できます (「無効」に設定)。
-
いいえ:有効対象 を設定して、テンプレートが適用される保護対象または保護対象グループを手動で指定する必要があります。
-
ステップ 2:保護テンプレートにおける保護ルールの設定
ルールの設定 セクションで、次の設定を行います。
-
[Rule Action]:リクエストがルールに一致した場合に実行する保護アクションを選択します。
-
[ブロック]:ルールに一致するリクエストをブロックし、リクエスト元のクライアントにブロックページを返します。
説明デフォルトでは、WAF は統一されたブロックページを使用します。カスタムレスポンス機能を使用して、ブロックページをカスタマイズすることもできます。
-
[モニター]:ルールに一致するリクエストをブロックせず、一致したリクエストをログに記録するだけです。ルールを試すときは、まず[モニター]モードを使用して WAF ログを分析し、正当なリクエストが誤ってブロックされていないことを確認してから、それに応じてルールアクションを調整できます。
-
-
ブロック対象の地域:ブロックまたはログに記録するクライアントの IP アドレスの地理的な場所を指定します。設定の粒度は次のとおりです。
-
[China]:省レベル (例:河南省) での設定をサポートしますが、地級市レベル (例:鄭州市) ではサポートしません。
-
[Outside China]:国または第一級行政区画レベル (例:日本の沖縄県、米国のワシントン州) での設定をサポートします。
-
ステップ 3:保護テンプレートの適用対象の設定
有効対象 セクションで、テンプレートを適用する保護対象と保護対象グループを選択します。
テンプレートが有効になる方法は、ステップ 1 の設定によって異なります。
-
デフォルトの保護テンプレートとして設定:適用対象を設定する必要はありません。作成時に、テンプレートはデフォルトですべての保護対象と保護対象グループに適用されます。その後追加された対象も自動的に含まれます。特定の対象を手動で除外できます (「無効」に設定)。
-
デフォルトの保護テンプレートとして設定しない:テンプレートを適用する保護対象と保護対象グループを手動で設定する必要があります。
テンプレートの作成中と作成後の両方で、保護対象または保護対象グループの有効/無効の状態を手動で調整できます。
運用管理
保護テンプレートの管理
新しく作成された保護テンプレートは、デフォルトで有効になっています。保護テンプレートリストで、次の操作を実行できます。
-
テンプレートに関連付けられている保護対象 / グループ の数を確認できます。
-
ステータス を使用して、テンプレートを有効または無効にできます。
-
保護テンプレートを編集、削除、または複製 できます。
-
保護テンプレート名の左側にある
アイコンをクリックして、保護テンプレートに含まれるルールを表示できます。
保護ルールの管理
新しく作成されたルールは、デフォルトで有効になっています。ルールリストで、次の操作を実行できます。
-
ルールID やその他の情報を表示できます。
-
ステータス トグルを使用して、ルールを有効または無効にできます。
よくある質問
地域ブロックは、特定のURLパスまたは「ドメイン + パス」の組み合わせでの設定をサポートしていますか?
いいえ。地域ブロックモジュールは IP ジオロケーション (国または省) に基づいてのみ機能し、URL パスレベルで設定することはできません。
従量課金制の WAF インスタンスで地域ブロックを設定すると、WAF のトラフィックコストを削減できますか?
いいえ。地域ブロックは、一致したトラフィックがバックエンドサーバーに転送されるのを防ぐだけです。ただし、このトラフィックはすでに WAF に到達しており、WAF のトラフィックコストとしてカウントされます。
地域ブロックを設定した後、指定した国や地域からの IP が引き続きサービスにアクセスできるのはなぜですか?
地域ブロックを設定した後も、指定した国や地域からの IP がサービスにアクセスできる場合は、次のトラブルシューティング手順を実行してください。
-
保護テンプレートの設定を確認する:対象の保護テンプレートが有効になっていること、ルールアクションが「ブロック」に設定されていること、テンプレートが対象の保護対象に正しく関連付けられていることを確認します。
-
ホワイトリストルールを確認する:ホワイトリストモジュールは、地域ブロックモジュールよりも優先度が高くなります。該当するリクエストを許可するホワイトリストルールが設定されているかどうかを確認します。
-
レイヤー 7 プロキシのアクセス設定を確認する:地域ブロック機能の効果は、WAF がクライアントのリアル IP アドレスを正確に取得できるかどうかにかかっています。CDN や Anti-DDoS Pro/Premium などのレイヤー 7 プロキシデバイスが WAF の前にデプロイされている場合は、アセットアクセス設定で「[WAF の前にレイヤー 7 プロキシがあるかどうか (Anti-DDoS Proxy や CDN など)]」オプションを「Yes」に設定する必要があります。これが誤って設定されていると、WAF はクライアントのリアル IP を取得できません。詳細については、「クライアントのリアル IP 情報」をご参照ください。
WAF の地域ブロックルールがトリガーされた後、個々の IP のブロックを解除したり、トラフィックをグレーフォワーディングしたりすることはできますか?
-
個々の IP の手動ブロック解除はサポートされていません。特定の IP を許可する必要がある場合は、ホワイトリストモジュールを使用して、地域ブロックモジュールをバイパスさせることができます。
-
地域に基づく異なる SLB インスタンスへのトラフィックのグレーフォワーディングはサポートされていません。地域ブロックは「ブロック」と「ログ」アクションのみを提供し、トラフィックスケジューリング機能はありません。