Dynamic Content Delivery Network (DCDN) では、カスタム保護ポリシーを設定し、正確な一致条件に基づいてカスタムアクセス制御またはレート制限ルールを作成できます。 カスタム保護ポリシーは、ホットリンク保護やWebサイトのバックエンド保護など、さまざまなシナリオに対して作成できます。
前提条件
Webアプリケーションファイアウォール (WAF) が有効になっています。 詳細については、「WAFの使用を開始する (new edition) 」をご参照ください。
保護するドメイン名がWAFに追加されます。 詳細については、「保護のためのドメイン名の追加」をご参照ください。
背景情報
カスタム保護ポリシー機能は、カスタム保護ルールに基づいて実装されます。 次のカスタム保護ルールがサポートされています。
アクセス制御ルール: クライアントIPアドレス、リクエストURL、または共通リクエストヘッダーを使用して、一致条件を設定できます。 リクエストが条件を満たす場合、Web Application Firewall (WAF) はリクエストに対して特定のアクションを実行します。 たとえば、特定のURIにアクセスするリクエストをブロックするカスタム保護ルールを設定できます。 カスタム保護ルールを設定して、WAFが特定のUser-Agent文字列を含むリクエストを検証できるようにすることもできます。 カスタム保護ルールでサポートされている一致フィールドの詳細については、「一致条件」をご参照ください。
レート制限ルール: 一致条件とレート制限条件を設定できます。 統計オブジェクトのリクエストレートがしきい値を超えると、WAFは統計オブジェクトからのリクエストに対して指定されたアクションを実行します。 たとえば、IPアドレスまたはセッションが短期間に一致条件を頻繁に満たす場合、レート制限を有効にして、特定の期間にIPアドレスまたはセッションから送信されるリクエストをブロックできます。
カスタム保護ポリシーの作成
左側のナビゲーションウィンドウで、.
On the保護ポリシーページをクリックします。ポリシーの作成.
[ポリシーの作成] ページで、パラメーターを設定します。 下表にパラメーターを示します。
セクション
パラメーター
説明
ポリシー情報
ポリシータイプ
保護ポリシーのタイプ。 [カスタム保護ポリシー] を選択します。
ポリシー名
保護ポリシーの名前。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。
デフォルト設定
現在のポリシーが現在のポリシータイプのデフォルトポリシーかどうかを指定します。
説明ポリシータイプごとに1つのデフォルトポリシーのみを指定できます。 デフォルトポリシーを指定した後は、デフォルトポリシーを変更することはできません。
現在のポリシータイプにデフォルトのポリシーを指定した場合、このスイッチは使用できません。
ルール情報
ルール
現在のカスタム保護ルールに関する情報。 詳細については、「カスタム保護ポリシーの設定」をご参照ください。
説明最大10個のルールを作成できます。 クォータを増やすには、チケットを起票
保護されたドメイン名
関連するポリシー関係を選択してください
保護されたドメイン名を同じタイプの複数のポリシーに関連付けることができます。 ドメイン名を同じタイプのポリシーに関連付けている場合は、現在のポリシーを追加するか、既存のポリシーを現在のポリシーに置き換えることができます。 既存のポリシーは、既定のポリシーに関連付けられているドメイン名の現在のポリシーにのみ置き換えることができます。 有効な値:
元の関連ポリシーの追加と置換: 関連するポリシーの関連付けを解除し、ポリシーを現在のポリシーに置き換えます。
元の関連ポリシーの追加と保持: 現在のポリシーを追加し、関連ポリシーを保持します。
保護されたドメイン名
現在の保護ポリシーに関連付けるドメイン名。
クリックポリシーの作成.
デフォルトでは、作成した保護ポリシーは有効になっています。
カスタムルールパラメーター
カスタム保護ポリシーを作成するときに、カスタムルールを作成できます。 既存のカスタム保護ポリシーのカスタムルールを作成することもできます。
パラメーター | 説明 |
ルール名 | ルールの名前を設定します。 名前は最大64文字で、英数字、アンダースコア (_) を使用できます。 |
マッチ条件 | マッチングのリクエスト特性。 [条件の追加] をクリックして一致条件を追加します。 ルールには最大5つのマッチ条件を追加できます。 複数の一致条件を追加する場合、ルールはすべての一致条件が満たされている場合にのみ一致したと見なされます。 各一致条件は、一致フィールド、論理演算子、および一致コンテンツで構成されます。 一致条件の設定方法の例については、「一致条件」をご参照ください。 一致フィールドと論理演算子の詳細については、「一致条件」をご参照ください。 |
レート制限 | レート制限を有効にするかどうかを指定します。 レート制限を有効にし、統計オブジェクトから送信されたリクエストが保護ルールと頻繁に一致する場合、WAFは特定の期間内にリクエストに対して特定のアクションを実行します。 レート制限を有効にする場合は、レート制限パラメーターを設定する必要があります。 詳細については、「レート制限パラメーター」をご参照ください。 レート制限を有効にしない場合は、レート制限パラメーターを設定する必要はありません。 |
Action | リクエストが保護ルールに一致する場合にWAFに実行させるアクション。 有効な値:
|
[レート制限] をオンにする場合は、次の表で説明するパラメーターを設定する必要があります。
データ型 | パラメーター | 説明 | 例 |
レート検出条件 | 統計オブジェクト | リクエスト率を計算する統計オブジェクト。 有効な値:
| たとえば、[統計オブジェクト] パラメーターをIPに、[統計間隔] パラメーターを60に、[しきい値] の [要求しきい値] パラメーターを10に設定します。 特定のクライアントIPアドレスからの要求が60秒以内に一致条件を10回以上満たす場合、クライアントIPアドレスがブラックリストに追加されます。 説明 DCDNは分散プレゼンスポイント (POP) で構成されているため、このしきい値は100% 正確ではありません。 予想値よりわずかに低いしきい値を指定することを推奨します。 |
統計間隔 | 統計期間。
| ||
しきい値 |
| ||
ステータスコード検出条件 | ステータスコード | リクエストレートの検出条件に基づいてステータスコードを検出するかどうかを指定します。 ステータスコードをオンにすると、統計オブジェクトがリクエストレートとステータスコードを検出するための条件に一致する場合にのみ、統計オブジェクトがブラックリストに追加されます。 ステータスコードをオンにする場合は、ステータスコードを指定する必要があります。 | たとえば、リクエストレートの検出に上記の条件を使用し、Status Codeパラメーターを404に、By Quantityパラメーターを5に設定します。 特定のクライアントIPアドレスからのリクエストが60秒以内に10回以上一致し、HTTPステータスコード404が返された回数が5回を超えた場合、クライアントIPアドレスがブラックリストに追加されます。 |
数量によって | 指定されたステータスコードが指定された統計期間内に応答で許可される最大回数。 説明 [数量別] または [割合別] パラメーターを選択します。 | ||
パーセンテージによる | 指定された統計期間内に応答で許可される指定されたステータスコードの最大割合。 説明 [数量別] または [割合別] パラメーターを選択します。 | ||
ブラックリスト処理 | 申請先 | WAFに特定のアクションを実行させるリクエスト。
| 統計オブジェクトからのリクエストがレート制限条件と一致する場合、統計オブジェクトはブラックリストに追加され、WAFは特定の期間内にリクエストに対して特定のアクションを実行します。 [Blacklist Timeout Period (s)] パラメーターを設定して、WAFがリクエストに対して特定のアクションを実行する期間を指定し、[action] パラメーターを設定して、WAFが実行するアクションを指定することができます。 [適用先] パラメーターを設定して、WAFに特定のアクションを実行させるリクエストを指定することもできます。 統計オブジェクトからのすべてのリクエスト、または一致条件を満たすリクエストのみを指定できます。 |
ブラックリストのタイムアウト期間 | WAFがリクエストに対して特定のアクションを実行する期間。
|