Web サービスを Web Application Firewall (WAF) に追加した後、HTTP フラッド攻撃保護モジュールの保護ルールを構成して、Web サイトを標的とする HTTP フラッド攻撃をブロックし、クライアントに 405 エラーページを返すことができます。 このトピックでは、HTTP フラッド攻撃保護ルールの作成方法について説明します。
前提条件
アクティブな 従量課金 WAF 3.0 サービスが必要です。
Web サービスを 保護対象オブジェクトおよび保護対象オブジェクトグループ として WAF 3.0 に追加済みであること。
テンプレートタイプ
HTTP フラッド攻撃保護モジュールは、次の 2 種類の保護テンプレートを提供します。
保護テンプレート | 説明 | 適用対象 |
デフォルト保護テンプレート | WAF が提供する初期のデフォルト保護テンプレート。 この保護テンプレートはデフォルトで有効になっています。 説明 デフォルトで有効になっている初期のデフォルト保護テンプレートは、Pro、Enterprise、または Ultimate エディションを実行するサブスクリプション WAF インスタンスでのみ利用できます。 | デフォルトの保護テンプレートを作成すると、そのテンプレートは、カスタム保護テンプレートにデフォルトで関連付けられていない保護対象オブジェクトまたはグループに適用されます。 後で追加された保護対象オブジェクトも、自動的にデフォルトの保護テンプレートに追加されます。 設定は手動で調整できます。 |
カスタム保護テンプレート | ビジネス要件に基づいてカスタマイズされた保護テンプレート。 カスタム保護テンプレートは手動で作成する必要があります。 カスタム保護テンプレートは、単一の初期デフォルト保護テンプレートではビジネス要件を満たせないシナリオに適しています。 | [適用対象] を指定する必要があります。 テンプレートは、保護テンプレートに関連付けられている保護対象オブジェクトおよびオブジェクトグループにのみ適用されます。 |
HTTP フラッド攻撃保護テンプレートの作成
WAF は、デフォルトで有効になっている初期のデフォルト保護テンプレートを提供します。 カスタム保護ルールを有効にするには、保護テンプレートを作成し、そのテンプレートの保護ルールを構成する必要があります。
Web Application Firewall 3.0 コンソールにログインします。 トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[保護ルール] ページの下部にある [HTTP フラッド攻撃保護] セクションで、[テンプレートの作成] をクリックします。
[テンプレートの作成 - HTTP フラッド攻撃保護] パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
名前は 1~255 文字で、中国語の文字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存
デフォルトの保護テンプレートでは、保護対象オブジェクトを指定する必要はありません。 デフォルトの保護テンプレートは、カスタム保護テンプレートに関連付けられていないすべての保護対象オブジェクトおよびオブジェクトグループに適用されます。 これには、後で追加された、またはカスタム保護テンプレートから削除された保護対象オブジェクトおよびオブジェクトグループが含まれます。 デフォルトのテンプレートから手動で削除することもできます。 保護モジュールごとに設定できるデフォルトテンプレートは 1 つだけで、テンプレートの作成時にのみデフォルトテンプレートを設定できます。
アクション
ルールに一致するリクエストに対して WAF に実行させたいアクションを選択します。 有効な値:
保護: 疑わしいリクエストのみをブロックします。 このモードでは、誤検知率は低くなります。 Web サイトで異常なトラフィックが検出されない場合は、このモードを適用することをお勧めします。 これにより、誤検知を回避できます。
保護-緊急: HTTP フラッド攻撃をブロックします。 このモードでは、誤検知率が高くなる可能性があります。 保護モードで HTTP フラッド攻撃をブロックできず、Web サイトの応答が遅く、トラフィック、CPU、メモリなどの監視メトリックが異常な場合は、このモードを選択できます。
説明保護-緊急モードは、Web ページおよび HTML5 ページに適しています。 API またはネイティブアプリにはこのモードを選択しないことをお勧めします。 API またはネイティブアプリにこのモードを選択すると、多くの誤検知が発生する可能性があります。 API またはネイティブアプリ用にカスタムルールを作成することをお勧めします。 詳細については、「カスタムルールモジュールの保護ルールを構成する」をご参照ください。
適用対象
構成済みの保護対象オブジェクトおよび保護対象オブジェクトグループから、このテンプレートを適用するものを選択します。
保護対象オブジェクトまたはオブジェクトグループは、1 つの HTTP フラッド攻撃保護テンプレートにのみ関連付けることができます。 デフォルトの保護テンプレートを設定した場合、カスタム保護テンプレートに関連付けられていないすべての保護対象オブジェクトおよびオブジェクトグループがデフォルトで選択されます。 デフォルトのテンプレートを設定しない場合、デフォルトでは保護対象オブジェクトまたはオブジェクトグループは選択されません。 テンプレートが適用される保護対象オブジェクトは手動で変更できます。
新しい保護テンプレートはデフォルトで有効になっています。 保護テンプレートリストでは、次の操作を実行できます。
テンプレートに関連付けられている 保護対象 / グループ の数を表示します。
ステータス を使用して、テンプレートを有効または無効にします。
Create Rule をクリックして、テンプレートの新しいルールを作成します。
保護テンプレートを編集、削除、または 複製 します。
テンプレート名の横にある
アイコンをクリックして、保護テンプレート内のルールに関する情報を表示します。
次のステップ
[セキュリティレポート] ページの [HTTP フラッド攻撃保護] タブで、構成された保護ルールの保護詳細を表示できます。 詳細については、「IP アドレスブラックリスト、カスタムルール、スキャン保護、HTTP フラッド攻撃保護、およびリージョンブラックリストモジュール」をご参照ください。
関連ドキュメント
保護設定の概要: 保護対象オブジェクト、保護モジュール、および保護プロセスについて説明します。
ドメイン名の HTTP フラッド攻撃保護を無効にする方法: ドメイン名の HTTP フラッド攻撃保護を無効にするために使用できる次の方法について説明します: ホワイトリストルールの構成と HTTP フラッド攻撃保護ルールの構成。
CreateDefenseTemplate: この操作を呼び出して、保護テンプレートを作成できます。
CreateDefenseRule: この操作を呼び出して、DefenseScene パラメーターを [cc] に設定し、ルール内容を構成することで、HTTP フラッド攻撃保護ルールを作成できます。