このトピックでは、Web Application Firewall (WAF) 3.0 で緩和設定を構成する際の一般的な問題と解決策について説明します。
ドメイン名の HTTP フラッド攻撃保護を無効にするにはどうすればよいですか。
ドメイン名に送信されるリクエストで HTTP フラッド攻撃保護をバイパスする場合は、次のいずれかの方法を使用します。
ホワイトリストルールを作成する
(オプション) HTTP フラッド攻撃保護を無効にするドメイン名を保護オブジェクトとして追加します。詳細については、「保護オブジェクトを手動で追加する」をご参照ください。このステップは、Application Load Balancer (ALB) インスタンスに追加されたドメイン名に対してのみ必要です。
ホワイトリストルールを作成し、その [バイパスされるモジュール] パラメーターを [HTTP フラッド攻撃保護] に設定します。ルールテンプレートで、[適用対象] パラメーターを HTTP フラッド攻撃保護を無効にするドメイン名に設定します。詳細については、「特定のリクエストを許可するホワイトリストルールを作成する」をご参照ください。
これらのステップを完了すると、ホワイトリストルールに追加されたドメイン名に送信されたリクエストは HTTP フラッド攻撃保護をバイパスします。
HTTP フラッド攻撃保護ルールを作成する
ドメイン名が ALB インスタンスに追加されていない
HTTP フラッド攻撃保護ルールを作成できます。ルールテンプレートで、[適用対象] パラメーターを HTTP フラッド攻撃保護を無効にするドメイン名に設定します。詳細については、「HTTP フラッド攻撃から防御するための HTTP フラッド攻撃保護ルールを作成する」をご参照ください。
HTTP フラッド攻撃保護ルールの [テンプレートスイッチ] を無効にできます。
これらのステップを完了すると、ルールで指定されたドメイン名に送信されるリクエストに対して HTTP フラッド攻撃保護がバイパスされます。
ドメイン名が ALB インスタンスに追加されている
ALB インスタンスのすべてのドメイン名を保護オブジェクトとして追加します。詳細については、「保護オブジェクトを手動で追加する」をご参照ください。
2 つの HTTP フラッド攻撃保護ルールを作成します。詳細については、「HTTP フラッド攻撃から防御するための HTTP フラッド攻撃保護ルールを作成する」をご参照ください。
保護ルールは、次の要件を満たす必要があります。
ルール A: 必要に応じて、[アクション] を [ブロック] または [ブロック (緊急)] に設定します。[適用対象] を、HTTP フラッド攻撃保護が必要な ALB インスタンスのドメイン名に設定します。
ルール B: [適用対象] を、HTTP フラッド攻撃保護を無効にするドメイン名と ALB インスタンスに設定します。
ルール A の [テンプレートスイッチ] を有効にし、ルール B の [テンプレートスイッチ] を無効にします。
これらのステップを完了すると、ルール A のドメイン名に送信されたリクエストは、HTTP フラッド攻撃保護モジュールによって検出されます。ルール B のドメイン名に送信されたリクエストは、HTTP フラッド攻撃保護をバイパスします。
URL 一致フィールドにダブルスラッシュ (//) を含むカスタム緩和ポリシールールが有効にならないのはなぜですか。
WAF ルールエンジンは URL 一致フィールドを正規化します。デフォルトでは、連続するフォワードスラッシュ (/) を圧縮します。その結果、カスタム緩和ポリシールールは、ダブルスラッシュ (//) を含む URL を正しく照合できません。
ダブルスラッシュ (//) を含む URL のアクセス制御リスト (ACL) ルールを構成するには、一致条件を単一のスラッシュを持つ対応するパスに設定できます。たとえば、URL 一致フィールドを //api/sms/request に設定するには、一致コンテンツとして /api/sms/request を入力します。これにより、WAF はこのコンテンツを含むリクエストにアクセスの制御を適用できます。