スキャン保護モジュールの保護ルールの設定 - Web Application Firewall

webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、スキャン保護モジュールの保護ルールを設定して、スキャンの動作とスキャナーの特性を識別し、攻撃者やスキャナーがwebサイトを大規模にスキャンできないようにすることができます。これにより、webサービスへの侵入のリスクを軽減し、無効なスキャントラフィックをブロックできます。このトピックでは、スキャン保護モジュールの保護ルールを設定する方法について説明します。

背景情報

次のタイプの保護ルールを作成できます。

高頻度スキャンブロック: ソースが、現在の保護対象オブジェクトに対して設定された基本保護ルールモジュールの保護ルールを短期間に複数回トリガーした場合、そのソースはブラックリストに追加されます。 WAFは、特定の期間内にソースからのリクエストをブロックまたは監視します。
ディレクトリトラバーサルブロッキング: ソースが短期間内に保護されたオブジェクトの存在しない多数のディレクトリにアクセスした場合、そのソースはブラックリストに追加されます。 WAFは、特定の期間内にソースからのリクエストをブロックまたは監視します。
スキャナーのブロック: 一般的なスキャナーがブラックリストに追加されます。スキャナーには、sqlmap、Acunetix web脆弱性スキャナー (AWVS) 、Nessus、HCL AppScan、WebInspect、Netsparker、Nikto、およびRSASが含まれます。 WAFは、スキャナーからの要求をブロックまたは監視します。

前提条件

WAF 3.0インスタンスを購入しました。詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。

スキャン保護モジュールの保護テンプレートを作成する

デフォルトの保護テンプレートが提供されています。デフォルトでは、保護テンプレートは有効になっています。カスタム保護ルールを有効にするには、保護テンプレートを作成し、そのテンプレートの保護ルールを作成する必要があります。保護テンプレートを作成するには、次の手順を実行します。

説明

デフォルトの保護テンプレートは、Pro、Enterprise、またはUltimateエディションを実行するサブスクリプションWAFインスタンスでのみ使用できます。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、保護設定 > 基本的な Web 保護 を選択します。
では、IP ブラックリストのセクション基本的な Web 保護ページをクリックします。テンプレートの作成.
説明
スキャン保護モジュールの保護テンプレートを初めて作成する場合は、基本的な Web 保護 ページの上部にある IP ブラックリスト カードの 今すぐ設定 をクリックすることもできます。

[テンプレートの作成-スキャン保護] パネルでパラメーターを設定し、[OK] をクリックします。下表にパラメーターを示します。

パラメーター	説明
テンプレート名	テンプレートの名前を指定します。テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存	保護モジュールのデフォルトテンプレートとしてテンプレートを設定するかどうかを指定します。保護モジュールに指定できるデフォルトテンプレートは1つだけです。デフォルトテンプレートとして保存をオンにした場合、有効対象パラメーターを設定する必要はありません。既定のテンプレートは、カスタムテンプレートが適用されていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。
ルール設定	ルール設定を構成します。スキャン保護モジュールの保護テンプレートは、1組のルールのみをサポートする。ルールセットは、次の種類のルールで構成されます。高周波スキャンブロッキング高周波スキャンブロッキングをオンにすると、次の設定が自動的に有効になります。IPアドレス (統計およびブロックされたオブジェクト) が現在の保護オブジェクトに設定された基本保護ルールモジュールの保護ルールを20回以上トリガーし (トリガーしきい値) 、2 (最大トリガールール数) を超える保護ルールを60秒でトリガーした場合 (時間範囲) IPアドレスがブラックリストに追加され、1,800秒間ブラックリストに残ります (ブロッキング期間) 。 WAFは、IPアドレスから送信されるリクエストをブロックまたは監視します。ルール設定を変更するには、[詳細設定] をクリックします。統計およびブロックされたオブジェクト IP: 同じクライアントIPアドレスから攻撃が開始される頻度を収集します。セッション: 同じクライアントセッションで攻撃が開始される頻度を収集します。説明 WAFは`setcookie()` 関数を使用して、`acw_tc`で始まるCookieをレスポンスに挿入します。このように、異なるクライアントのセッションは簡単に識別できます。カスタム: 同じリクエスト特性を持つオブジェクトによって攻撃が開始される頻度を収集します。リクエスト特性を指定するには、次のいずれかの方法を使用できます。カスタムヘッダ: 指定されたヘッダーを含む攻撃リクエストの頻度を収集します。カスタムパラメーター: 指定されたパラメーターを含む攻撃リクエストの頻度を収集します。カスタム Cookie: 指定されたcookieを含む攻撃リクエストの頻度を収集します。ルールの詳細 [時間範囲] 、[トリガーしきい値] 、[ブロック期間] 、および [トリガールールの最大数] のパラメーターの値を変更できます。ディレクトリ横断ブロッキングディレクトリトラバーサルブロッキングをオンにすると、次の設定が自動的に有効になります。IPアドレス (統計およびブロックされたオブジェクト) を使用して保護されたオブジェクトを50回を超えてリクエストし (最大リクエスト数) 、50回を超えるアクセス (最大ディレクトリ数) が10秒で存在しないディレクトリ (時間範囲) HTTP 404のステータスコードは、応答で返されるステータスコードの70% (Maximum HTTP 404 status Code Percentage) で構成されるため、IPアドレスがブラックリストに追加されます。 WAFは、IPアドレスから送信されるリクエストをブロックまたは監視します。説明ディレクトリスキャンの統計には、などの静的webファイルタイプは含まれません。jsと. png。ルール設定を変更するには、[詳細設定] をクリックします。統計およびブロックされたオブジェクト IP: 同じクライアントIPアドレスから攻撃が開始される頻度を収集します。セッション: 同じクライアントセッションで攻撃が開始される頻度を収集します。説明 WAFは`setcookie()` 関数を使用して、`acw_tc`で始まるCookieをレスポンスに挿入します。このように、異なるクライアントのセッションは簡単に識別できます。カスタム: 同じリクエスト特性を持つオブジェクトによって攻撃が開始される頻度を収集します。リクエスト特性を指定するには、次のいずれかの方法を使用できます。カスタムヘッダ: 指定されたヘッダーを含む攻撃リクエストの頻度を収集します。カスタムパラメーター: 指定されたパラメーターを含む攻撃リクエストの頻度を収集します。カスタム Cookie: 指定されたcookieを含む攻撃リクエストの頻度を収集します。ルールの詳細 [時間範囲] 、[最大リクエスト数] 、[最大HTTP 404ステータスコードの割合] 、[ブロック期間] 、および [存在しないディレクトリの最大数] のパラメーターの値を変更できます。スキャナーブロッキング Scanner Blockingをオンにすると、一般的なスキャナーがブラックリストに追加されます。スキャナーには、sqlmap、AWVS、Nessus、HCL AppScan、WebInspect、Netsparker、Nikto、およびRSASが含まれます。 WAFは、スキャナーからの要求をブロックまたは監視します。
Action	リクエストがルールに一致したときにWAFで実行するアクションを選択します。有効な値：ブロック: ルールに一致するリクエストをブロックし、リクエストを開始したクライアントにブロックページを返します。説明デフォルトでは、WAFは事前設定されたブロックページを返します。カスタム応答機能を使用して、カスタムブロックページを設定できます。詳細については、「カスタムブロックページを設定するためのカスタム応答モジュールの保護ルールの設定」をご参照ください。 Monitor: リクエストをブロックせずに、ルールに一致するリクエストをログに記録します。ルールに一致するリクエストに関するログを照会し、保護パフォーマンスを分析できます。たとえば、ログに基づいて通常のリクエストがブロックされているかどうかを確認できます。重要ログを照会できるのは、Simple Log Service for WAF機能が有効になっている場合のみです。詳細については、「Simple Log Service For WAF機能の有効化または無効化」をご参照ください。 [モニター] を選択した場合、ルールでドライランを実行して、ルールが通常のリクエストをブロックするかどうかを確認できます。ルールがドライランに合格した場合、ActionパラメーターをBlockに設定できます。説明セキュリティレポートページで、一致したルールの詳細をモニターモードまたはブロックモードで表示できます。詳細については、「セキュリティレポート」をご参照ください。
申請先	保護対象および保護対象グループタブで、テンプレートを適用する項目を選択します。保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。

デフォルトでは、新しく作成された保護テンプレートが有効になります。テンプレートリストの保護テンプレートに対して次の操作を実行できます。

テンプレートに関連付けられている保護対象 / グループの数を表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の編集または削除をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にあるアイコンをクリックして、テンプレート内のルールを表示および管理します。
- ルールを見つけ、[IPアドレスのブロック解除] をクリックして、ルールによってブロックされているIPアドレスのブロックを解除します。
  重要
  - [High-frequency Scanning Blocking] または [Directory Traversal Blocking] 保護ルールによってブロックされたIPアドレスのみブロック解除できます。
  - 関連するルールとテンプレートが有効になっている場合にのみ、IPアドレスのブロックを解除できます。

次のステップ

[セキュリティレポート] ページの [保護のスキャン] タブで、設定された保護ルールの保護の詳細を表示できます。詳細については、「IPアドレスブラックリスト、カスタムルール、スキャン保護、HTTPフラッド保護、およびリージョンブラックリストモジュール」をご参照ください。

Web Application Firewall:スキャン保護モジュールの保護ルールの設定

背景情報

前提条件

スキャン保護モジュールの保護テンプレートを作成する

次のステップ

関連ドキュメント