webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、特定の特性を持つリクエストを許可するようにホワイトリストルールを設定できます。 ビジネス要件に基づいて特性を指定できます。 このように、要求は、特定の又は全ての保護モジュールのチェックをバイパスすることができる。 保護モジュールは、基本保護ルール、IPアドレスブラックリスト、カスタムルール、およびスキャン保護モジュールを含むが、これらに限定されない。 このトピックでは、ホワイトリストのルールテンプレートを作成し、テンプレートのルールを作成する方法について説明します。
背景情報
カスタムホワイトリストルールテンプレートを作成するか、デフォルトのホワイトリストルールテンプレートを使用できます。
テンプレート | 説明 | に適用される |
デフォルトのホワイトリストルールテンプレート | 特定のホワイトリストルールを含まないWAFの組み込みホワイトリストルールテンプレート。 デフォルトのホワイトリストルールテンプレートを使用する場合は、テンプレートのホワイトリストルールを設定する必要があります。 | デフォルトのホワイトリストルールテンプレートを使用する場合、[適用先] パラメーターを設定する必要はありません。 デフォルトのホワイトリストルールテンプレートは、カスタム保護ルールテンプレートが関連付けられていないWAFインスタンスのすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。 |
カスタムホワイトリストルールテンプレート | ビジネス要件に基づいて作成するカスタムホワイトリストルールテンプレート。 カスタムホワイトリストルールテンプレートを作成するときは、ホワイトリストルールをテンプレートに追加する必要があります。 | カスタムホワイトリストルールテンプレートを作成する場合、[適用先] パラメーターを設定して、ホワイトリストルールテンプレートを特定の保護オブジェクトおよび保護オブジェクトグループに関連付ける必要があります。 |
カスタムホワイトリストルールテンプレートに対してホワイトリストルールが設定されていない場合、保護オブジェクトまたは保護オブジェクトグループに対してテンプレートは有効になりません。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「WAF 3.0の有効化」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護されたオブジェクトの管理」をご参照ください。
手順1: ホワイトリストのルールテンプレートを作成する
デフォルトのホワイトリストルールテンプレートを使用する場合は、この手順をスキップします。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[保護ルール] ページの下部にある [ホワイトリスト] セクションで、[テンプレートの作成] をクリックします。
説明カスタムホワイトリストルールテンプレートが存在しない場合は、[保護ルール] ページの上部にある [ホワイトリスト] カードの [今すぐ設定] をクリックします。
[テンプレートの作成-ホワイトリスト] パネルでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存
このテンプレートを保護モジュールのデフォルトテンプレートとして設定するかどうかを指定します。
保護モジュールに設定できるデフォルトテンプレートは1つだけです。 デフォルトテンプレートとして保存をオンにした場合、有効対象 パラメーターを設定する必要はありません。 デフォルトテンプレートは、保護テンプレートが適用されていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。
ルール設定
[ルールの作成] をクリックして、ホワイトリストルールテンプレートのホワイトリストルールを作成します。 ホワイトリストルールテンプレートを作成した後に、ホワイトリストルールを作成することもできます。 詳細については、「手順2: ホワイトリストルールテンプレートへのホワイトリストルールの追加」をご参照ください。
申請先
テンプレートを適用する保護オブジェクトと保護オブジェクトグループを選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトと保護オブジェクトグループをテンプレートに関連付ける方法については、「保護オブジェクトと保護オブジェクトグループ」をご参照ください。
デフォルトでは、新しいホワイトリストルールテンプレートが有効になっています。 ルールテンプレートリストでは、次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトと保護オブジェクトグループの数を表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
ルールテンプレートの左側にある
アイコンをクリックして、テンプレート内のルールを表示します。 説明次のいずれかの操作を実行すると、AutoTemplateという名前のホワイトリストルールテンプレートが自動的に作成され、そのテンプレートのホワイトリストルールが自動的に作成されます。
基本的な保護ルールを作成するときに、インテリジェントホワイトリストを有効にします。 この場合、自動的に作成されるホワイトリストルールのオリジンはインテリジェントホワイトリストです。 詳細については、「インテリジェントなホワイトリストの設定」をご参照ください。
基本保護ルールモジュールのセキュリティレポートを表示するときに、攻撃者のIPアドレスに対して [偽陽性を無視] をクリックします。 この場合、自動的に作成されるホワイトリストルールのオリジンは [カスタム] です。 詳細については、「」をご参照ください。
ボット管理モジュールのセキュリティレポートを表示するときに、攻撃者のIPアドレスの [ホワイトリストに追加] をクリックします。 この場合、自動的に作成されるホワイトリストルールのオリジンは [カスタム] です。 詳細については、「」をご参照ください。
手順2: ホワイトリストルールテンプレートにホワイトリストルールを追加する
ホワイトリストルールテンプレートは、ホワイトリストルールがテンプレートに追加された後にのみ有効になります。 ホワイトリストルールテンプレートにすでにホワイトリストルールを追加している場合は、この手順をスキップします。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[ホワイトリスト] セクションで、ホワイトリストルールを作成するホワイトリストテンプレートを見つけ、[操作] 列の [ルールの作成] をクリックします。
[ルールの作成] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
ルール名
ホワイトリストルールの名前を指定します。
ルールの名前には、英数字、ピリオド (.) 、アンダースコア (_) 、およびハイフン (-) を使用できます。
マッチ条件
ルールに一致するリクエストの特性を指定します。
条件の追加 をクリックして一致条件を追加します。 ルールには最大5つのマッチ条件を追加できます。 複数の一致条件を追加した場合、すべての一致条件が満たされた場合にのみルールが一致します。
各一致条件は、マッチフィールド、論理記号、およびマッチコンテンツで構成されます。 サンプル設定:
例1: マッチフィールドパラメーターをURIに、論理記号パラメーターをContainsに、マッチコンテンツパラメーターを
/login.phpに設定します。 リクエストされたURIに/login.phpが含まれている場合、リクエストはルールに一致します。例2: マッチフィールドパラメーターをIPに、論理記号パラメーターをBelongs toに、マッチコンテンツパラメーターを
192.1X.XX.XXに設定します。 IPアドレスが192.1.XX.XXであるクライアントからリクエストが送信された場合、リクエストはルールに一致します。
一致フィールドと論理演算子の詳細については、「一致条件」をご参照ください。
バイパスモジュール
リクエストをバイパスする保護モジュールを選択します。 指定された一致条件を満たすリクエストは、選択された保護モジュールによってチェックされません。 有効な値:
すべて: WAFは、指定された一致条件を満たすリクエストをチェックせず、リクエストをオリジンサーバーに転送します。
信頼できる脆弱性スキャナーや認証されたサードパーティシステムのエンドポイントからのリクエストなど、すべての信頼できるリクエストを許可する場合は、[すべて] を選択します。
重要きめ細かいホワイトリストルールにより、高いセキュリティが確保されます。 ビジネス要件に基づいて保護モジュールを選択することを推奨します。
基本保護ルール: 基本保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
[基本保護ルール] を選択した場合、指定した一致条件を満たすリクエストのチェックに使用しないルールを指定する必要があります。 有効な値:
すべてのルール: 基本保護ルールモジュールのすべての保護ルールは、指定された一致条件を満たすリクエストのチェックには使用されません。 デフォルト値です。
ID of Specific Rules: 基本保護ルールモジュールで指定されたIDのルールは、指定された一致条件を満たすリクエストのチェックには使用されません。
ルールのIDを指定します。 各ルールIDは6桁を含む。 ルールIDを入力するたびにEnterキーを押します。 最大50個のルールIDを指定できます。
特定のルールの種類: 基本保護ルールモジュールで指定された種類のルールは、指定された一致条件を満たすリクエストのチェックには使用されません。
アイコンをクリックし
て、指定された一致条件を満たすリクエストのチェックに使用しないルールの種類を選択します。
カスタムルール: カスタムルールモジュールは、指定された一致条件を満たすリクエストをチェックしません。
IPアドレスブラックリスト: IPアドレスブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
スキャン保護: スキャン保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
ボット管理: ボット管理モジュールは、指定された一致条件を満たすリクエストをチェックしません。
Webサイト改ざん防止: Webサイト改ざん防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
データ漏洩防止: データ漏洩防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
HTTPフラッド保護: HTTPフラッド保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
リージョンブラックリスト: リージョンブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
デフォルトでは、新しいホワイトリストルールが有効になっています。 ルールリストでは、次の操作を実行できます。
ステータスをオンまたはオフにして、ホワイトリストルールを有効または無効にします。
[操作] 列の [編集] または [削除] をクリックして、ホワイトリストルールを変更または削除します。
次のステップ
ルールのIDを取得するには、[セキュリティレポート] ページに移動します。 [セキュリティレポート] ページで、保護ルールのブロッキングレコードを表示し、保護ルールのIDを取得できます。 詳細については、「」をご参照ください。
参考資料
保護構成の概要: WAF 3.0の保護されたオブジェクト、保護モジュール、および保護手順について説明します。
一致条件: ホワイトリストルールを作成するときに指定する必要がある一致条件と一致フィールドを説明します。
CreateDefenseTemplate: 保護テンプレートを作成します。
CreateDefenseRule: 保護ルールを作成します。 この操作を呼び出してホワイトリストルールを作成するときは、DefenseSceneパラメーターをwhitelistに設定します。