Dynamic Content Delivery Network (DCDN) では、カスタム保護ポリシーを設定し、正確な一致条件に基づいてカスタムのアクセス制御またはレート制限ルールを作成できます。ホットリンク保護や Web サイトのバックエンド保護など、さまざまなシナリオに合わせてカスタム保護ポリシーを作成できます。
前提条件
Web Application Firewall (WAF) が有効になっていること。詳細については、「WAF (新版) の開始」をご参照ください。
保護するドメイン名が WAF に追加されていること。詳細については、「保護対象のドメイン名を追加する」をご参照ください。
背景情報
カスタム保護ポリシー機能は、カスタム保護ルールに基づいて実装されます。次のカスタム保護ルールがサポートされています。
アクセス制御ルール: クライアント IP アドレス、リクエスト URL、または一般的なリクエストヘッダーを使用して一致条件を設定できます。リクエストが条件を満たす場合、Web Application Firewall (WAF) はリクエストに対して特定のアクションを実行します。たとえば、特定の Uniform Resource Identifier (URI) に送信されるリクエストをブロックするカスタムルールを設定できます。また、特定の User-Agent 文字列を含むリクエストを WAF が検証するようにカスタムルールを設定することもできます。カスタム保護ルールでサポートされている一致フィールドについては、「一致条件」をご参照ください。
レート制限ルール: 一致条件とレート制限条件を設定できます。統計オブジェクトのリクエストレートがしきい値を超えた場合、WAF はその統計オブジェクトからのリクエストに対して指定されたアクションを実行します。たとえば、IP アドレスまたはセッションが短期間に頻繁に一致条件を満たす場合、レート制限を有効にして、特定の期間にその IP アドレスまたはセッションから送信されるリクエストをブロックできます。
カスタム保護ポリシーの作成
DCDN コンソールにログインします。
左側のナビゲーションウィンドウで、 をクリックします。
[保護ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、パラメーターを設定します。次の表にパラメーターを示します。
設定モジュール
パラメーター
説明
ポリシー情報
ポリシータイプ
保護ポリシーのタイプです。[カスタム保護ポリシー] を選択します。
ポリシー名
保護ポリシーの名前です。名前は最大 64 文字で、文字、数字、アンダースコア (_) を使用できます。
デフォルトにする
現在のポリシーが現在のポリシータイプのデフォルトポリシーであるかどうかを指定します。
説明各ポリシータイプに指定できるデフォルトポリシーは 1 つだけです。デフォルトポリシーを指定した後は、デフォルトポリシーを変更することはできません。
現在のポリシータイプにデフォルトポリシーをすでに指定している場合、このスイッチは使用できません。
ルール情報
ルール
現在のカスタム保護ルールの情報です。詳細については、「カスタムルールパラメーター」をご参照ください。
説明最大 10 個のルールを作成できます。クォータを増やすには、チケットを送信してください。
保護対象ドメイン名
関連するポリシー関係を選択してください
保護対象ドメイン名を同じタイプの複数のポリシーに関連付けることができます。ドメイン名を同じタイプのポリシーに既に関連付けている場合は、現在のポリシーを追加するか、既存のポリシーを現在のポリシーに置き換えることができます。デフォルトポリシーに関連付けられているドメイン名の場合、既存のポリシーを現在のポリシーに置き換えることしかできません。有効な値:
追加して元の関連ポリシーを置き換える: 関連付けられたポリシーの関連付けを解除し、ポリシーを現在のポリシーに置き換えます。
追加して元の関連ポリシーを保持する: 現在のポリシーを追加し、関連付けられたポリシーを保持します。
保護対象ドメイン名
現在の保護ポリシーに関連付けるドメイン名です。
[ポリシーの作成] をクリックします。
デフォルトでは、作成した保護ポリシーは有効になっています。
カスタムルールパラメーター
カスタム保護ポリシーを作成するときにカスタムルールを作成できます。既存のカスタム保護ポリシーに対してカスタムルールを作成することもできます。
パラメーター | 説明 |
ルール名 | ルールの名前です。名前は最大 64 文字で、文字、数字、アンダースコア (_) を使用できます。 |
一致条件 | 一致させるリクエストの特性です。 [条件の追加] をクリックして一致条件を追加します。1 つのルールに最大 5 つの一致条件を追加できます。複数の一致条件を追加した場合、すべての一致条件が満たされた場合にのみ、ルールが一致したと見なされます。 各一致条件は、一致フィールド、論理演算子、および 一致内容で構成されます。一致条件の設定例については、「一致条件」をご参照ください。 一致フィールドと論理演算子については、「一致条件」をご参照ください。 |
頻度設定 | レート制限を有効にするかどうかを指定します。レート制限を有効にし、統計オブジェクトから送信されたリクエストが保護ルールに頻繁に一致する場合、WAF は特定の期間にリクエストに対して特定のアクションを実行します。 レート制限を有効にする場合は、レート制限パラメーターを設定する必要があります。詳細については、「レート制限パラメーター」をご参照ください。レート制限を有効にしない場合は、レート制限パラメーターを設定する必要はありません。 |
アクション | リクエストが保護ルールに一致した場合に WAF に実行させたいアクションです。有効な値:
|
[レート制限] をオンにした場合は、次の表で説明するパラメーターを設定する必要があります。
タイプ | パラメーター | 説明 | 例 |
レート検出条件 | 統計オブジェクト | リクエストレートを計算する統計オブジェクトです。有効な値:
| たとえば、[統計オブジェクト] パラメーターを IP、[統計間隔 (秒)] パラメーターを 60、[しきい値] パラメーターを 10 に設定します。特定のクライアント IP アドレスからのリクエストが 60 秒以内に 10 回を超えて一致条件を満たした場合、そのクライアント IP アドレスはブラックリストに追加されます。 説明 DCDN は分散 Point of Presence (POP) で構成されているため、このしきい値は 100% 正確ではありません。期待値よりわずかに低いしきい値を指定することをお勧めします。 |
統計間隔 (秒) | 統計期間です。
| ||
しきい値 |
| ||
ステータスコード検出条件 | ステータスコード | リクエストレートの検出条件に基づいてステータスコードを検出するかどうかを指定します。[ステータスコード] をオンにすると、統計オブジェクトがリクエストレートとステータスコードの検出条件の両方に一致する場合にのみ、統計オブジェクトがブラックリストに追加されます。 [ステータスコード] をオンにする場合は、ステータスコードを指定する必要があります。 | たとえば、前述のリクエストレート検出条件を使用し、[ステータスコード] パラメーターを 404、[数量別] パラメーターを 5 に設定します。特定のクライアント IP アドレスからのリクエストが 60 秒以内に 10 回を超えて一致条件を満たし、HTTP ステータスコード 404 が返された回数が 5 回を超えた場合、そのクライアント IP アドレスはブラックリストに追加されます。 |
数量別 | 指定された統計期間内の応答で許可される、指定されたステータスコードの最大回数です。 説明 [数量別] または [パーセンテージ別] パラメーターを選択します。 | ||
パーセンテージ別 | 指定された統計期間内の応答で許可される、指定されたステータスコードの最大パーセンテージです。 説明 [数量別] または [パーセンテージ別] パラメーターを選択します。 | ||
ブラックリスト処理 | 適用対象 | ブラックリストアクションの有効範囲を指定します。有効な値:
| 統計オブジェクトからのリクエストがレート制限条件に一致する場合、その統計オブジェクトはブラックリストに追加され、WAF は特定の期間内にリクエストに対して特定のアクションを実行します。[ブラックリストのタイムアウト期間 (秒)] パラメーターを設定して WAF がリクエストに対して特定のアクションを実行する期間を指定し、[適用対象] パラメーターを設定して WAF に特定のアクションを実行させたいリクエストを指定できます。統計オブジェクトからのすべてのリクエスト、または [一致条件] を満たすリクエストのみを指定できます。アクションは [アクション] パラメーターで定義されます。 |
ブラックリストのタイムアウト期間 (秒) | WAF がリクエストに対して特定のアクションを実行する期間です。
|