Web Application Firewall (WAF) に Web サービスを追加した後、ホワイトリストモジュールの保護ルールを構成して、指定された特性に一致するリクエストが、コア保護ルール、IP アドレスブラックリスト、カスタムルール、スキャンプロテクションモジュールなど、すべてまたは一部の保護モジュールをバイパスできるようにすることができます。 このトピックでは、ホワイトリストモジュールの保護テンプレートを作成し、テンプレートに保護ルールを追加する方法について説明します。
背景情報
ホワイトリストモジュールはデフォルトの保護テンプレートを提供し、カスタム保護テンプレートを作成できます。
保護テンプレート | 説明 | 有効範囲 |
デフォルトの保護テンプレート | デフォルトでは、WAF は組み込みの保護テンプレートを提供します。このテンプレートには保護ルールは含まれていません。 保護テンプレートを使用する場合は、テンプレートに保護ルールを手動で追加する必要があります。 | デフォルトの保護テンプレートを使用する場合、[適用対象] パラメーターを構成する必要はありません。 デフォルトの保護テンプレートは、カスタム保護テンプレートに関連付けられていないすべての保護対象と保護対象グループに適用されます。 |
カスタム保護テンプレート | ビジネス要件に基づいてカスタム保護テンプレートを作成できます。 カスタム保護テンプレートを作成する場合は、テンプレートに保護ルールを追加する必要があります。 | カスタム保護テンプレートを作成する場合は、[適用対象] パラメーターを構成して、保護テンプレートを特定の保護対象および保護対象グループに関連付ける必要があります。 |
保護ルールのない保護テンプレートを使用すると、保護テンプレートは有効になりません。 この場合、すべてのリクエストは WAF にリダイレクトされ、ブロックされます。
前提条件
WAF 3.0 インスタンスが購入されています。 詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金制 WAF 3.0 インスタンスを購入する」をご参照ください。
Web サービスが保護対象として WAF 3.0 に追加されています。 詳細については、「保護対象と保護対象グループを構成する」をご参照ください。
ステップ 1:ホワイトリストモジュールの保護テンプレートを作成する
カスタム保護テンプレートを使用する場合は、この手順を実行します。 デフォルトの保護テンプレートを使用する場合は、この手順をスキップします。
WAF 3.0 コンソール にログインします。 上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
Web コア保護 ページの ホワイトリスト セクションで、テンプレートの作成 をクリックします。
説明ホワイトリストモジュールの保護テンプレートを初めて作成する場合は、Web コア保護 ページの上部にある ホワイトリスト カードの [今すぐ構成] をクリックすることもできます。
[テンプレートの作成 - ホワイトリスト] パネルで、パラメーターを構成し、[OK] をクリックします。 次の表にパラメーターを示します。
パラメーター
説明
[テンプレート名]
テンプレートの名前を指定します。
テンプレートの名前は 1 ~ 255 文字で、文字、数字、ピリオド(.)、アンダースコア(_)、ハイフン(-) を使用できます。
[デフォルトテンプレートとして保存]
テンプレートを保護モジュールのデフォルトテンプレートとして設定するかどうかを指定します。
保護モジュールには、デフォルトテンプレートを 1 つだけ指定できます。 [デフォルトテンプレートとして保存] をオンにすると、有効対象 パラメーターを構成する必要はありません。 デフォルトテンプレートは、カスタムテンプレートが適用されていないすべての保護対象と保護対象グループに適用されます。
[ルール設定]
[ルールの作成] をクリックして、テンプレートの保護ルールを作成します。 テンプレートの作成後に保護ルールを作成することもできます。 詳細については、「ステップ 2:ホワイトリストモジュールの保護テンプレートに保護ルールを追加する」をご参照ください。
[適用対象]
保護対象 タブと 保護対象グループ タブで、テンプレートを適用する項目を選択します。 詳細については、「保護対象と保護対象グループを構成する」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートは有効になっています。 テンプレートリストで、テンプレートに対して次の操作を実行できます。
保護対象 / グループ 列で、テンプレートに関連付けられている保護対象と保護対象グループの数を確認します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の [ルールの作成] をクリックして、テンプレートの保護ルールを作成します。
[操作] 列の 編集、削除、または [コピー] をクリックして、テンプレートを管理します。
テンプレート名の左側にある
アイコンをクリックして、テンプレート内の保護ルールを表示します。
説明次のいずれかの操作を実行すると、WAF はホワイトリストモジュールに [AutoTemplate] という名前の保護テンプレートを自動的に作成し、テンプレートに保護ルールを追加します。
コア保護ルールモジュールの保護ルールを作成するときに、[インテリジェントホワイトリストエンジン] を有効にします。 エンジンはログを分析して、正常なリクエストがブロックされているかどうかを判断します。 はいの場合、エンジンは指定された URI とルール ID に基づいてホワイトリストモジュールの保護ルールを自動的に追加します。
コア保護ルールモジュールのセキュリティレポートを表示するときに、攻撃者 IP アドレスに対して [誤検知を無視] をクリックします。 この場合、WAF はルールソースが [カスタム] の保護ルールを自動的に追加します。 詳細については、「コア保護ルールモジュール」をご参照ください。
ボット管理モジュールのセキュリティレポートを表示するときに、攻撃者 IP アドレスに対して [ホワイトリストに追加] をクリックします。 この場合、WAF はルールソースが [カスタム] の保護ルールを自動的に追加します。 詳細については、「セキュリティレポート」をご参照ください。
ステップ 2:ホワイトリストモジュールの保護テンプレートに保護ルールを追加する
保護テンプレートは、テンプレートに保護ルールを追加した後にのみ有効になります。 保護テンプレートを作成したときに保護ルールを作成した場合は、この手順をスキップできます。
WAF 3.0 コンソール にログインします。 上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[ホワイトリスト] セクションで、保護ルールを追加する保護テンプレートを見つけ、[操作] 列の [ルールの作成] をクリックします。
[ルールの作成] ダイアログボックスで、パラメーターを構成し、[OK] をクリックします。 次の表にパラメーターを示します。
パラメーター
説明
[ルール名]
ルールの名前を指定します。
ルール名には、文字、数字、ピリオド(.)、アンダースコア(_)、ハイフン(-) を使用できます。
[一致条件]
ルールを一致させるリクエストの特性を指定します。
条件の追加 をクリックして、一致条件を追加します。 1 つのルールに最大 5 つの一致条件を追加できます。 複数の一致条件を追加した場合、すべての一致条件が満たされた場合にのみ、ルールが一致します。
各一致条件は、マッチフィールド、論理記号、マッチコンテンツ パラメーターで構成されます。 例:
例 1:マッチフィールド パラメーターを URI に設定し、論理記号 パラメーターを 含む に設定し、マッチコンテンツ パラメーターを
/login.phpに設定します。 リクエストの URI に/login.phpが含まれている場合、リクエストはルールに一致します。例 2:マッチフィールド パラメーターを IP に設定し、論理記号 パラメーターを 所属 に設定し、マッチコンテンツ パラメーターを
192.1X.XX.XXに設定します。 IP アドレスが192.1.XX.XXのクライアントからリクエストが送信された場合、リクエストはルールに一致します。
一致フィールドと論理演算子の詳細については、「一致条件」をご参照ください。
[バイパスされたモジュール]
バイパスするリクエストの保護モジュールを選択します。その後、指定された [一致条件] を満たすリクエストは、選択された保護モジュールによってチェックされません。有効な値:
すべて: WAF は、指定された一致条件を満たすリクエストをチェックせず、リクエストをオリジンサーバーに直接転送します。
信頼できる脆弱性スキャナーや認証済みサードパーティシステムのエンドポイントからのリクエストなど、信頼できるリクエストを許可する場合は、すべて を選択できます。
重要きめ細かい保護ルールにより、高いセキュリティが確保されます。ビジネス要件に基づいて特定の保護モジュールを選択することをお勧めします。
コア保護ルール: コア保護ルールモジュールは、指定された一致条件を満たすリクエストをチェックしません。
[コア保護ルール] を選択する場合は、リクエストのチェックに使用したくないルールも指定する必要があります。有効な値:
すべてのルール: コア保護ルールモジュール内のすべての保護ルールは、リクエストのチェックに使用されません。これはデフォルト値です。
特定のルールの ID: コア保護ルールモジュール内の指定された ID の保護ルールは、リクエストのチェックに使用されません。
保護ルールの ID を指定します。各ルール ID は 6 桁の数字で構成されます。
説明ルール ID を入力するたびに、Enter キーを押します。最大 50 個のルール ID を指定できます。
主要なイベントの保護ルールの ID を指定できます。
特定のルールのタイプ: コア保護ルールモジュール内の指定されたタイプの保護ルールは、リクエストのチェックに使用されません。
アイコンをクリックし、リクエストのチェックに使用したくない保護ルールのタイプを選択します。
カスタムルール: カスタムルールモジュールは、指定された一致条件を満たすリクエストをチェックしません。
IP アドレスブラックリスト: IP アドレスブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
スキャン保護: スキャン保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
ボット管理: ボット管理モジュールは、指定された一致条件を満たすリクエストをチェックしません。
Web サイト改ざん防止: Web サイト改ざん防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
データ漏洩防止: データ漏洩防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
HTTP フラッド保護: HTTP フラッド保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
リージョンブラックリスト: リージョンブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
デフォルトでは、新しく作成された保護ルールは有効になっています。ルールリストで、ルールに対して次の操作を実行できます。
ルール ID 列と アクション 列で、ルール ID とアクションを確認します。
ステータス 列のスイッチをオンまたはオフにして、ルールを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、ルールを変更または削除します。
次のステップ
[セキュリティレポート] ページで、設定済みの保護ルールのブロックレコードを表示し、保護ルールの ID を取得できます。詳細については、「セキュリティレポート」をご参照ください。
参照
ホワイトリストモジュールの保護ルールを構成する際に使用する一致条件と一致フィールドの詳細については、「一致条件」をご参照ください。
WAF 3.0 の保護対象、保護モジュール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。
API 操作を呼び出して保護テンプレートを作成する方法の詳細については、「CreateDefenseTemplate」をご参照ください。
API 操作を呼び出して保護ルールを作成する方法の詳細については、「CreateDefenseRule」をご参照ください。