webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、IPアドレスブラックリストモジュールの保護ルールを設定して、特定のIPアドレスまたはCIDRブロックからのリクエストをブロックできます。 このトピックでは、IPアドレスブラックリストモジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する方法について説明します。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
ステップ1: IPアドレスブラックリストモジュールの保護テンプレートを作成する
IPアドレスブラックリストモジュールは、デフォルトの保護テンプレートを提供しません。 IPアドレスブラックリストモジュールの保護ルールを有効にする前に、モジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する必要があります。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、IPアドレスブラックリストのセクション基本的なWeb保護ページをクリックします。テンプレートの作成.
説明初めてIPアドレスブラックリストモジュールの保護テンプレートを作成する場合は、[基本的なWeb保護] ページの上部にある [IPアドレスブラックリスト] カードの [今すぐ設定] をクリックすることもできます。
[テンプレートの作成-IPアドレスブラックリスト] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存
保護モジュールのデフォルトテンプレートとしてテンプレートを設定するかどうかを指定します。
保護モジュールに指定できるデフォルトテンプレートは1つだけです。 デフォルトテンプレートとして保存をオンにした場合、有効対象 パラメーターを設定する必要はありません。 既定のテンプレートは、カスタムテンプレートが適用されていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。
ルール設定
[ルールの作成] をクリックして、テンプレートの保護ルールを作成します。 テンプレートの作成後に保護ルールを作成することもできます。 詳細については、「手順2: IPアドレスブラックリストモジュールの保護テンプレートに保護ルールを追加する」をご参照ください。
申請先
テンプレートを適用する 保護対象 および 保護対象グループ を選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートが有効になります。 テンプレートリストの保護テンプレートに対して次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトおよび保護オブジェクトグループの数を 保護対象 / グループ 列に表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にある
アイコンをクリックして、テンプレート内の保護ルールを表示します。 説明[セキュリティレポート] ページの [ボット管理] タブで攻撃者のIPアドレスの [ブラックリストに追加] をクリックすると、WAFはIPアドレスブラックリストモジュールにAutoTemplateという名前の保護テンプレートを自動的に作成し、アクションが [ブロック] の保護ルールをテンプレートに追加します。 詳細については、「ボット管理モジュール」をご参照ください。
ステップ2: IPアドレスブラックリストモジュールの保護テンプレートに保護ルールを追加する
保護テンプレートは、テンプレートに保護ルールを追加した後にのみ有効になります。 保護テンプレートの作成時に保護ルールを作成した場合は、この手順をスキップできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、IPアドレスブラックリストセクションで、保護ルールを追加する保護テンプレートを見つけて、ルールの作成で、アクション列を作成します。
[ルールの作成] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ルール名
ルールの名前を指定します。
ルールの名前には、英数字、ピリオド (.) 、アンダースコア (_) 、およびハイフン (-) を使用できます。
IPアドレスブラックリスト
ブラックリストにIPアドレスを追加します。 ルールが有効になった後、リクエストの送信元IPアドレスがブラックリストにある場合、リクエストはブロックされます。 このパラメーターを設定するときは、次の項目に注意してください。
1.1.XX.XXや2001:XXXX:ffff:ffff:ffff:ffff:ffffなどのIPv4アドレスとIPv6アドレスを入力できます。1.1.XX.XX/16や2001:XXXX:XXXX:XXXX::/64など、IPv4 CIDRブロックとIPv6 CIDRブロックを入力できます。IPアドレスを入力するたびにEnterキーを押す必要があります。
最大200個のIPアドレスを入力できます。
Action
ルールに一致するリクエストに対してWAFで実行するアクションを選択します。 有効な値:
ブロック: ルールに一致するリクエストをブロックし、リクエストを開始したクライアントにブロックページを返します。
説明デフォルトでは、WAFは事前設定されたブロックページを返します。 カスタム応答機能を使用して、カスタムブロックページを設定できます。 詳細については、「カスタムブロックページを設定するためのカスタム応答モジュールの保護ルールの設定」をご参照ください。
観察: ルールに一致するリクエストをログに記録し、リクエストをブロックしません。 ルールに一致するリクエストのログを照会し、保護パフォーマンスを分析できます。 たとえば、ログを照会して、通常のリクエストがブロックされているかどうかを確認できます。
重要WAF機能が有効になっている場合にのみ、ログを照会できます。 詳細については、「Simple Log Service For WAF機能の有効化または無効化」をご参照ください。
観察 を選択した場合、ルールでドライランを実行して、ルールが通常のリクエストをブロックするかどうかを確認できます。 ルールがドライランに合格した場合、Actionパラメーターをブロックに設定できます。
説明セキュリティレポート ページで、一致したルールの詳細をモニターモードまたはブロックモードで照会できます。 詳細については、「セキュリティレポート」をご参照ください。
デフォルトでは、新しく作成された保護ルールが有効になります。 ルールリスト内の保護ルールに対して次の操作を実行できます。
ステータス 列のスイッチをオンまたはオフにして、ルールを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、ルールを変更または削除します。
次のステップ
[セキュリティレポート] ページの [IPアドレスブラックリスト] タブで、設定された保護ルールの保護の詳細を表示できます。 詳細については、「IPアドレスブラックリスト、カスタムルール、スキャン保護、HTTPフラッド保護、およびリージョンブラックリストモジュール」をご参照ください。
関連ドキュメント
保護構成の概要: このトピックでは、保護されたオブジェクト、保護モジュール、および保護プロセスに関する情報を提供します。
CreateDefenseTemplate: CreateDefenseTemplate操作を呼び出して、保護テンプレートを作成できます。
CreateDefenseRule: CreateDefenseRule操作を呼び出して、保護ルールを作成できます。 この操作を呼び出すときは、DefenseSceneパラメーターをip_blacklistに設定する必要があります。