webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、リージョンブラックリストモジュールの保護ルールを設定して、リクエストのソースリージョンを識別し、特定のリージョンからのリクエストをブロックまたは許可できます。 このようにして、悪意のあるリクエストを地域ごとにブロックできます。 このトピックでは、リージョンブラックリストモジュールの保護ルールを設定する方法について説明します。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
リージョンブラックリストモジュールの保護テンプレートを作成する
リージョンブラックリストモジュールは、デフォルトの保護テンプレートを提供しません。 リージョンブラックリストモジュールの保護ルールを有効にする前に、モジュールの保護テンプレートを作成する必要があります。 テンプレートが作成されると、保護ルールが自動的に生成されます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、ブロックされた地域のセクション基本的な Web 保護ページをクリックします。テンプレートの作成.
説明リージョンブラックリストモジュールの保護テンプレートを初めて作成する場合は、基本的な Web 保護 ページの上部にある [リージョンブラックリスト] カードの [今すぐ設定] をクリックすることもできます。
[テンプレート-リージョンブラックリストの作成] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存
保護モジュールのデフォルトテンプレートとしてテンプレートを設定するかどうかを指定します。
保護モジュールに指定できるデフォルトテンプレートは1つだけです。 デフォルトテンプレートとして保存をオンにした場合、有効対象 パラメーターを設定する必要はありません。 既定のテンプレートは、カスタムテンプレートが適用されていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。
Action
ルールに一致するリクエストに対してWAFで実行するアクションを選択します。 有効な値:
ブロック: ルールに一致するリクエストをブロックし、リクエストを開始したクライアントにブロックページを返します。
説明デフォルトでは、WAFは事前設定されたブロックページを返します。 カスタム応答機能を使用して、カスタムブロックページを設定できます。 詳細については、「カスタムブロックページを設定するためのカスタム応答モジュールの保護ルールの設定」をご参照ください。
観察: ルールに一致するリクエストをログに記録し、リクエストをブロックしません。 ルールに一致するリクエストのログを照会し、保護パフォーマンスを分析できます。 たとえば、ログを照会して、通常のリクエストがブロックされているかどうかを確認できます。
重要WAF機能が有効になっている場合にのみ、ログを照会できます。 詳細については、「Simple Log Service For WAF機能の有効化または無効化」をご参照ください。
観察 を選択した場合、ルールでドライランを実行して、ルールが通常のリクエストをブロックするかどうかを確認できます。 ルールがドライランに合格した場合、Actionパラメーターをブロックに設定できます。
説明セキュリティレポート ページで、一致したルールの詳細をモニターモードまたはブロックモードで照会できます。 詳細については、「セキュリティレポート」をご参照ください。
ブロックされたリージョン
リクエストがブロックされる中国本土および中国本土外のリージョンの数と詳細。
ブロックするリージョンの選択
ブロックするリージョンを選択します。 [中国] タブと [中国外] タブでリージョンを選択できます。 選択したリージョンは、[ブロックされたリージョン] セクションに表示されます。
申請先
テンプレートを適用する 保護対象 および 保護対象グループ を選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートが有効になります。 テンプレートリストの保護テンプレートに対して次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトおよび保護オブジェクトグループの数を 保護対象 / グループ 列に表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にある
アイコンをクリックして、テンプレート内の保護ルールを表示します。
次のステップ
[セキュリティレポート] ページの [リージョンブラックリスト] タブで、設定された保護ルールの保護の詳細を表示できます。 詳細については、「IPアドレスブラックリスト、カスタムルール、スキャン保護、HTTPフラッド保護、およびリージョンブラックリストモジュール」をご参照ください。
関連ドキュメント
WAF 3.0の保護オブジェクト、保護モジュール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。
API操作を呼び出して保護テンプレートを作成する方法の詳細については、「CreateDefenseTemplate」をご参照ください。
API操作を呼び出して保護ルールを作成する方法の詳細については、「CreateDefenseRule」をご参照ください。