Webアプリケーションファイアウォール (WAF) にWebサイトを追加した後、Webサイトを保護するためのカスタム保護ポリシーを構成できます。 ホットリンク保護やWebサイトバックエンド保護など、さまざまなシナリオの完全一致条件に基づいて、アクセス制御ルールとスロットリングルールを設定できます。 このトピックでは、カスタム保護ポリシーを設定する方法について説明します。
背景情報
カスタム保護ポリシー機能は、カスタム保護ルールを使用して実装されます。 カスタム保護ルールには、アクセス制御リスト (ACL) ルールとHTTPフラッド保護ルールが含まれます。
ACLルールは、クライアントIPアドレス、リクエストURL、共通リクエストヘッダーなどの正確な一致条件に基づいてリクエストをフィルタリングします。
HTTPフラッド保護ルールは、設定した正確な一致条件とレート制限に基づいてリクエストをフィルタリングします。
制限事項
設定できるカスタムルールの数と仕様は、サブスクリプションWAFインスタンスのエディションによって異なります。
仕様 | 説明 | プロ版 | ビジネス版 | エンタープライズ版以上 |
カスタム保護ルールの数 | 作成できるカスタム保護ルールの最大数。 | ドメイン名ごとの200 | ドメイン名ごとの200 | ドメイン名ごとの200 |
高度なマッチフィールド | カスタム保護ルールで指定できるIPアドレスとURL以外の高度な一致フィールド。 | 非対応 | 対応 | 対応 |
レート制限 | カスタム保護ポリシーのレート制限設定。 設定は、HTTPフラッド保護ルールを定義します。 | 非対応 | 対応 | 対応 |
カスタム統計オブジェクト | レート制限の設定に使用できるIPアドレスとセッション以外のカスタム統計オブジェクト。 | 非対応 | 対応 | 対応 |
前提条件
WAFインスタンスが購入されました。
WebサイトがWAFに追加されます。 詳細については、「チュートリアル」をご参照ください。
手順
WAFコンソールにログインします。
上部のナビゲーションバーで、リソースグループとWAFインスタンスがデプロイされているリージョンを選択します。 [中国本土] または [中国本土以外] を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
[Webサイト保護] ページの上部で、[ドメイン名の切り替え] ドロップダウンリストからWebサイト保護ホワイトリストを設定するドメイン名を選択します。
[アクセス制御 /スロットリング] タブをクリックし、[カスタム保護ポリシー] セクションを見つけます。 次に、[ステータス] をオンにし、[設定] をクリックします。
説明カスタム保護ポリシー機能が有効になっている場合、Webサイト宛てのすべてのリクエストが機能によってチェックされます。 アクセス制御 /スロットリングのホワイトリストルールを設定して、ホワイトリストルールと一致するリクエストがチェックをバイパスできるようにすることができます。 詳細については、「アクセス制御 /スロットリングのホワイトリストの設定」をご参照ください。
カスタムルールを作成します。
[カスタム保護ポリシー] ページで、[カスタム保護ポリシーの作成] をクリックします。
[ルールの追加] ダイアログボックスで、パラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
説明
ルール名
ルールの名前を設定します。
マッチング条件
ルールの一致条件。 ルールは、一致条件が満たされた場合にのみトリガーされます。 [ルールの追加] をクリックして条件を追加します。 最大5つの条件を追加できます。 複数の一致条件を指定した場合、すべての一致条件が満たされた場合にのみルールがトリガーされます。
一致条件の詳細については、「一致条件のフィールド」をご参照ください。
レート制限
レート制限のステータス。 WAFは、一致条件が満たされた場合にのみリクエストレートの計算を開始します。 レート制限を有効にする場合は、レート制限パラメーターを設定する必要があります。
レート制限パラメーターの詳細については、「レート制限パラメーター」をご参照ください。
Action
ルールをトリガーするリクエストに対してWAFが実行するアクション。 有効な値:
Monitor: アラートはトリガーされますが、リクエストはブロックされません。
ブロック: リクエストをブロックします。
CAPTCHA: リクエストを別のページにリダイレクトし、CAPTCHA検証を実装します。
厳密なキャプチャ: 要求を別のページにリダイレクトして、厳密なスライダーCaptcha検証を実装します。
avaScript検証: JavaScript検証をトリガーします。
レート制限を有効にした場合、TTL (秒) パラメーターを設定して、アクションの有効期間を指定する必要があります。
説明WAFはクラスター内の複数のサーバーからデータを収集してリクエストレートを計算するため、統計プロセス中に待ち時間が発生する可能性があります。
JavaScript検証とスライダーCAPTCHA検証は、静的ページにのみ適用できます。 XMLHttpRequestとFetchを使用して開始されるリクエストなど、非同期リクエストに対してJavaScript検証と共通スライダーCAPTCHAをサポートする場合は、ボット管理モジュールを構成するときにJavaScript検証と共通スライダーCAPTCHAを有効にできます。 詳細については、「Webサイトのアンチクローラールールの設定」をご参照ください。
保護タイプ
ルールのタイプ。 このパラメーターは、[レート制限] のステータスに基づいて自動的に指定されます。
レート制限が有効になっている場合、値はHTTPフラッド保護に設定されます。
レート制限が無効の場合、値はACLに設定されます。
次の表に、レート制限パラメータを示します。
パラメーター
説明
統計オブジェクト
リクエストレートの計算に基づくオブジェクト。 有効な値:
IP: 特定のIPアドレスから送信されるリクエストの数を計算します。
Session: 特定のセッションから送信されるリクエストの数を計算します。
Custom-Header: 同じヘッダーコンテンツを含むリクエストの数を計算します。
Custom-Param: 同じパラメーターの内容を含むリクエストの数を計算します。
Custom-Cookie: 同じcookieコンテンツを含むリクエストの数を計算します。
インターバル (秒)
リクエストの数が計算される期間。
しきい値 (発生)
指定された期間内にオブジェクトから送信できるリクエストの最大数。 この制限を超えると、レート制限がトリガーされます。
ステータスコード
HTTP ステータスコード 検出ロジックが有効になった後、指定された期間内の指定されたステータスコードの数または割合が計算されます。 ステータスコードの量または割合を計算するかどうかを選択できます。
Amount: 指定されたHTTPステータスコードの最大数。
パーセンテージ (%): 指定されたHTTPステータスコードの最大パーセンテージ。
Take Effect For
レート制限を有効にするオブジェクト。 有効な値:
機能マッチングオブジェクト: 保護ルールの一致条件を満たすリクエストのみが計算されます。
適用ドメイン: ドメイン名宛てのすべてのリクエストが計算されます。
[保存] をクリックします。
カスタム保護ルールが作成されると、ルールは自動的に有効になります。 ビジネス要件に基づいて、ルールリスト内のルールを表示、無効化、変更、または削除できます。
関連する API 操作
カスタム保護ポリシーを設定した後、CloudMonitorとLog Serviceを使用してWAFのモニタリングとアラートを設定できます。 Webサイトへのトラフィックが保護ルールに一致すると、アラート通知が送信されます。 これにより、Webサイトのセキュリティステータスをできるだけ早く監視できます。 詳細については、「WAFアラートの設定」をご参照ください。