webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、ホワイトリストモジュールの保護ルールを設定して、指定された特性に一致するリクエストが、基本保護ルール、IPアドレスブラックリスト、カスタムルール、スキャン保護モジュールなどのすべてまたは一部の保護モジュールをバイパスできるようにします。 このトピックでは、ホワイトリストモジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する方法について説明します。
背景情報
ホワイトリストモジュールは、デフォルトの保護テンプレートを提供し、カスタム保護テンプレートを作成できます。
保護テンプレート | 説明 | 有効範囲 |
デフォルトの保護テンプレート | デフォルトでは、WAFは保護ルールを含まない組み込みの保護テンプレートを提供します。 保護テンプレートを使用する場合は、手動で保護ルールをテンプレートに追加する必要があります。 | デフォルトの保護テンプレートを使用する場合、[適用] パラメーターを設定する必要はありません。 既定の保護テンプレートは、カスタム保護テンプレートに関連付けられていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。 |
カスタム保護テンプレート | ビジネス要件に基づいてカスタム保護テンプレートを作成できます。 カスタム保護テンプレートを作成する場合は、テンプレートに保護ルールを追加する必要があります。 | カスタム保護テンプレートを作成するときは、[適用先] パラメーターを設定して、保護テンプレートを特定の保護オブジェクトおよび保護オブジェクトグループに関連付ける必要があります。 |
保護ルールのない保護テンプレートを使用すると、保護テンプレートは有効になりません。 この場合、すべてのリクエストはWAFにリダイレクトされ、ブロックされます。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
ステップ1: ホワイトリストモジュールの保護テンプレートを作成する
カスタム保護テンプレートを使用する場合は、この手順を実行します。 デフォルトの保護テンプレートを使用する場合は、この手順をスキップしてください。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
ホワイトリストのセクション基本的な Web 保護ページをクリックします。テンプレートの作成.
説明ホワイトリストモジュールの保護テンプレートを初めて作成する場合は、基本的な Web 保護 ページの上部にある ホワイトリスト カードの [今すぐ設定] をクリックすることもできます。
[テンプレートの作成-ホワイトリスト] パネルでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
デフォルトテンプレートとして保存
保護モジュールのデフォルトテンプレートとしてテンプレートを設定するかどうかを指定します。
保護モジュールに指定できるデフォルトテンプレートは1つだけです。 デフォルトテンプレートとして保存をオンにした場合、有効対象 パラメーターを設定する必要はありません。 既定のテンプレートは、カスタムテンプレートが適用されていないすべての保護オブジェクトおよび保護オブジェクトグループに適用されます。
ルール設定
[ルールの作成] をクリックして、テンプレートの保護ルールを作成します。 テンプレートの作成後に保護ルールを作成することもできます。 詳細については、「手順2: ホワイトリストモジュールの保護テンプレートに保護ルールを追加する」をご参照ください。
申請先
保護対象 および 保護対象グループ タブで、テンプレートを適用する項目を選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護モジュールのテンプレートは1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートが有効になります。 テンプレートリストの保護テンプレートに対して次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトおよび保護オブジェクトグループの数を 保護対象 / グループ 列に表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にあるアイコンをクリックして、テンプレート内の保護ルールを表示します。
説明次のいずれかの操作を実行すると、WAFは自動的にAutoTemplateという名前の保護テンプレートをホワイトリストモジュールに作成し、保護ルールをテンプレートに追加します。
基本保護ルールモジュールの保護ルールを作成するときに、インテリジェントホワイトリストエンジンを有効にします。 エンジンはログを分析して、通常のリクエストがブロックされているかどうかを判断します。 はいの場合、エンジンは指定されたURIとルールIDに基づいてホワイトリストモジュールの保護ルールを自動的に追加します。
基本保護ルールモジュールのセキュリティレポートを表示するときに、攻撃者のIPアドレスに対して [偽陽性を無視] をクリックします。 この場合、WAFは [カスタム] のルールソースを持つ保護ルールを自動的に追加します。 詳細については、「基本的な保護ルールモジュール」をご参照ください。
ボット管理モジュールのセキュリティレポートを表示するときに、攻撃者のIPアドレスの [ホワイトリストに追加] をクリックします。 この場合、WAFは [カスタム] のルールソースを持つ保護ルールを自動的に追加します。 詳細については、「ボット管理モジュール」をご参照ください。
ステップ2: ホワイトリストモジュールの保護テンプレートに保護ルールを追加する
保護テンプレートは、テンプレートに保護ルールを追加した後にのみ有効になります。 保護テンプレートの作成時に保護ルールを作成した場合は、この手順をスキップできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、ホワイトリストセクションで、保護ルールを追加する保護テンプレートを見つけて、ルールの作成で、アクション列を作成します。
[ルールの作成] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ルール名
ルールの名前を指定します。
ルールの名前には、英数字、ピリオド (.) 、アンダースコア (_) 、およびハイフン (-) を使用できます。
マッチ条件
ルールを一致させるリクエストの特性を指定します。
条件の追加 をクリックして一致条件を追加します。 ルールには最大5つのマッチ条件を追加できます。 複数の一致条件を追加した場合、すべての一致条件が満たされている場合にのみルールが一致します。
各一致条件は、マッチフィールド、論理記号、およびマッチコンテンツで構成されます。 例:
例1: マッチフィールドパラメーターをURIに、論理記号パラメーターをContainsに、マッチコンテンツパラメーターを
/login.php
に設定します。 リクエストのURIに/login.php
が含まれている場合、リクエストはルールに一致します。例2: マッチフィールドパラメーターをIPに、論理記号パラメーターをBelongs toに、マッチコンテンツパラメーターを
192.1X.XX.XX
に設定します。 IPアドレスが192.1.XX.XX
であるクライアントからリクエストが送信された場合、リクエストはルールに一致します。
一致フィールドと論理演算子の詳細については、「一致条件」をご参照ください。
バイパスモジュール
リクエストをバイパスする保護モジュールを選択します。 指定された一致条件を満たすリクエストは、選択された保護モジュールによってチェックされません。 有効な値:
すべて: WAFは、指定された一致条件を満たすリクエストをチェックせず、リクエストをオリジンサーバーに直接転送します。
信頼できる脆弱性スキャナーや認証されたサードパーティシステムのエンドポイントからのリクエストなど、信頼できるリクエストを許可する場合は、[すべて] を選択します。
重要きめ細かい保護ルールにより、高いセキュリティが保証されます。 ビジネス要件に基づいて特定の保護モジュールを選択することを推奨します。
基本保護ルール: 基本保護ルールモジュールは、指定された一致条件を満たすリクエストをチェックしません。
[基本保護ルール] を選択した場合、リクエストのチェックに使用しないルールも指定する必要があります。 有効な値:
すべてのルール: 基本保護ルールモジュールのすべての保護ルールは、リクエストのチェックには使用されません。 デフォルト値です。
特定のルールのID: 基本保護ルールモジュールで指定されたIDの保護ルールは、リクエストのチェックには使用されません。
保護ルールのIDを指定します。 各ルールIDは6桁を含む。 ルールIDを入力するたびにEnterキーを押します。 最大50個のルールIDを指定できます。
特定のルールの種類: 基本保護ルールモジュールで指定された種類の保護ルールは、リクエストのチェックには使用されません。
アイコンをクリックして、リクエストのチェックに使用しない保護ルールの種類を選択します。
カスタムルール: カスタムルールモジュールは、指定された一致条件を満たすリクエストをチェックしません。
IPアドレスブラックリスト: IPアドレスブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
スキャン保護: スキャン保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
ボット管理: ボット管理モジュールは、指定された一致条件を満たすリクエストをチェックしません。
Webサイト改ざん防止: Webサイト改ざん防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
データ漏洩防止: データ漏洩防止モジュールは、指定された一致条件を満たすリクエストをチェックしません。
HTTPフラッド保護: HTTPフラッド保護モジュールは、指定された一致条件を満たすリクエストをチェックしません。
リージョンブラックリスト: リージョンブラックリストモジュールは、指定された一致条件を満たすリクエストをチェックしません。
デフォルトでは、新しく作成された保護ルールが有効になります。 ルールリスト内の保護ルールに対して次の操作を実行できます。
ステータスをオンまたはオフにして、ルールを有効または無効にします。
[操作] 列の [編集] または [削除] をクリックして、ルールを変更または削除します。
次のステップ
[セキュリティレポート] ページで、設定された保護ルールのブロッキングレコードを表示し、保護ルールのIDを取得できます。 詳細については、「セキュリティレポート」をご参照ください。
関連ドキュメント
ホワイトリストモジュールの保護ルールを設定するときに関連する一致条件と一致フィールドの詳細については、「一致条件」をご参照ください。
WAF 3.0の保護オブジェクト、保護モジュール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。
API操作を呼び出して保護テンプレートを作成する方法の詳細については、「CreateDefenseTemplate」をご参照ください。
API操作を呼び出して保護ルールを作成する方法の詳細については、「CreateDefenseRule」をご参照ください。