WAF ルールの例外設定 (2020年)
最終更新日 2020-12-14
2021年6月30日をもって、Fastly WAF (WAF 2020) はレガシー (旧) 製品となりました。旧バージョンをご使用のすべての既存のお客様は、引き続きサポートをご利用いただけます。Fastly Next-Gen WAF (powered by Signal Sciences) は、お客様のアプリケーションやオリジンサーバーに対する疑わしい異常な Web トラフィックをプロアクティブに監視し、お客様のシステムを保護します。いずれも、コントロールパネルのダッシュボードまたはアプリケーション・プログラミング・インターフェイス (API) を介してコントロールできます。Fastly Next-Gen WAF 製品をご検討、またはそれらへの移行に興味がおありの場合は、sales@fastly.com または Fastly のアカウントチームまでお問い合わせください。
WAF ルールの例外設定機能では、通常なら Fastly の Web アプリケーションファイアウォール (WAF) セキュリティ製品によってブロックされるリクエストがオリジンに送信されるのを許可する例外基準を定義できます。例外ポリシーを作成すると、アプリケーションレイヤーの攻撃を防ぎつつ、WAF の検出ロジックによって拒否されるリクエストにおける誤検知の割合を削減できます。この機能を使用して、リクエストごとに WAF ルールの例外を設定できます。
WAF ルール例外設定機能の仕組み
コントロールパネルまたは Fastly API を使用して、ルール例外ポリシーを作成できます。すべてのルール例外ポリシーは以下の2つで構成されています。
- 条件: ルール例外ポリシーに関連するルールでは処理されない URL、Cookie 名、リクエストパラメーター。
- ルール: ルール例外ポリシーで指定された条件によって無効化される1つ以上のルール。ルール例外ポリシーごとに最大30ルールを関連付けることができます。
条件を定義し、ルールをルール例外ポリシーに関連付けた後、本番環境で変更を有効化できます。
リクエストがルール例外ポリシーで設定された条件に一致した場合、ルール例外ポリシーで指定されたリクエストパラメーター、URL、Cookie 名に対して関連するルールはトリガーされません。リクエストの例外対象でない部分は、WAF によって依然として処理されます。
ルール例外設定機能が便利な場合
WAF ルールの例外設定機能は以下のような場合に有用です。
- 特定のルールによって処理されないよう特定のリクエストパラメーターをルールの対象外とする
- 特定のルールによって処理されないよう特定の URL をルールの対象外とする
- 特定のルールによって処理されないよう特定の cookie をルールの対象外とする
- 1つの条件セットで多くのルールを無効化する
- AND または OR ロジック を使用して複数のルール例外ポリシーを組み合わせ、ルールを無効化する
例えば、次の条件によってトリガーされた場合にルールを無視するルール例外ポリシーを設定できます。
- 次のパスに一致しない:
/checkout/*
、/selfhelp/help
- 次の Cookie 名と一致する:
ec_bn
、touch_cookie
- 次のリクエストパラメーター名と一致する:
AdditionalInfo
、data
、Comment
、terms
、notes
- 次の JSON パラメーター名と一致する:
links.sending.Example.LimlURL
コントロールパネルを使用して WAF の例外設定を編集する
コントロールパネルを使用して、ルール例外ポリシーを追加、更新、削除できます。
コントロールパネルでは変数ルールの例外を設定することはできません。これらは API 経由で設定できます。
ルール例外ポリシーの作成
ルール例外ポリシーを作成するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページが表示されます。
- リストから Fastly サービスを選択し、WAF リンクをクリックします。WAF サマリーページが表示されます。
- Settings をクリックします。Settings ページが表示されます。
- Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
-
Create New Exclusion ボタンをクリックします。Define exclusion policy ページが表示されます。
- Name フィールドに、分かりやすいルール例外ポリシーの名前を入力します。
- Define VCL condition フィールドに、条件が満たされているかどうかを判断するために使用される条件式を VCL で入力します。
- Apply to rules フィールドに WAF ルール ID を入力し、Add をクリックします。追加されたルールは、Define VCL condition フィールドで指定された条件に従って無効化されます。
- Submit ボタンをクリックして、ルール例外ポリシーを保存します。
- WAF への変更を有効にします。
ルール例外ポリシーの更新
既存のルール例外ポリシーを更新するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページが表示されます。
- リストから Fastly サービスを選択し、WAF リンクをクリックします。WAF サマリーページが表示されます。
- Settings をクリックします。Settings ページが表示されます。
-
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
- 編集するルール例外ポリシーを見つけて、Edit をクリックします。Define exclusion policy ページが表示されます。
- 必要に応じて条件またはルールを編集します。
- Submit ボタンをクリックします。
- WAF への変更を有効にします。
ルール例外ポリシーの削除
ルール例外ポリシーを削除するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページが表示されます。
- リストから Fastly サービスを選択し、WAF リンクをクリックします。WAF サマリーページが表示されます。
- Settings をクリックします。Settings ページが表示されます。
-
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
- 編集するルール例外ポリシーを見つけて、Delete をクリックします。
- WAF への変更を有効にします。
API を使用して WAF の例外設定機能を使用する
Fastly API を使用して、ルール例外ポリシーを追加、閲覧、更新、削除できます。ドキュメントと例については、WAF ルール例外設定に関する API ドキュメントを参照してください。
生成されるログエントリの数を削減したい場合は、ルール例外設定が想定通りに動作するのを確認してから、API を使用してログ機能を無効化することをお勧めします。
制約事項
WAF ルール例外設定機能には、現在以下の制限があります。
- ファイアウォールで設定できるルール例外ポリシーは最大300件です。
- ルール例外ポリシーは、最大30件までルールを関連付けることができます。
- ルール例外ポリシーはしきい値ルールではなく、厳密一致ルールとスコアリングルールにのみ関連付けることができます。