WAF ルールの例外設定 (2020年)
最終更新日 2021-09-27
重要
発表どおり、2023 年 4 月 30 日が Fastly の 正式な廃止 となります。 WAF (WAF レガシーおよび WAF 2020)。当社の Fastly Next-Gen WAF も同様の機能を提供します。疑わしい異常な Web トラフィックを監視し、指定したアプリケーションやオリジン サーバーに対する攻撃をリアルタイムで保護します。
WAF ルールの例外設定機能では、通常なら Fastly の Web アプリケーションファイアウォール (WAF) セキュリティ製品によってブロックされるリクエストがオリジンに送信されるのを許可する例外基準を定義できます。例外ポリシーを作成すると、アプリケーションレイヤーの攻撃を防ぎつつ、WAF の検出ロジックによって拒否されるリクエストにおける誤検知の割合を削減できます。この機能を使用して、リクエストごとに WAF ルールの例外を設定できます。
WAF ルール例外設定機能の仕組み
コントロールパネルまたは Fastly API を使用して、ルール例外ポリシーを作成できます。すべてのルール例外ポリシーは以下の2つで構成されています。
- 条件: ルール例外ポリシーに関連するルールでは処理されない URL、Cookie 名、リクエストパラメーター。
- ルール: ルール例外ポリシーで指定された条件によって無効化される1つ以上のルール。ルール例外ポリシーごとに最大30ルールを関連付けることができます。
条件を定義し、ルールをルール例外ポリシーに関連付けた後、本番環境で変更を有効化できます。
リクエストがルール例外ポリシーで設定された条件に一致した場合、ルール例外ポリシーで指定されたリクエストパラメーター、URL、Cookie 名に対して関連するルールはトリガーされません。リクエストの例外対象でない部分は、WAF によって依然として処理されます。
ルール例外設定機能が便利な場合
WAF ルールの例外設定機能は以下のような場合に有用です。
- 特定のルールによって処理されないよう特定のリクエストパラメーターをルールの対象外とする
- 特定のルールによって処理されないよう特定の URL をルールの対象外とする
- 特定のルールによって処理されないよう特定の cookie をルールの対象外とする
- 1つの条件セットで多くのルールを無効化する
- AND または OR ロジック を使用して複数のルール例外ポリシーを組み合わせ、ルールを無効化する
例えば、次の条件によってトリガーされた場合にルールを無視するルール例外ポリシーを設定できます。
- 次のパスに一致しない:
/checkout/*
、/selfhelp/help
- 次の Cookie 名と一致する:
ec_bn
、touch_cookie
- 次のリクエストパラメーター名と一致する:
AdditionalInfo
、data
、Comment
、terms
、notes
- 次の JSON パラメーター名と一致する:
links.sending.Example.LimlURL
コントロールパネルを使用して WAF の例外設定を編集する
コントロールパネルを使用して、ルール例外ポリシーを追加、更新、削除できます。
注意
コントロールパネルでは変数ルールの例外を設定することはできません。これらは API 経由で設定できます。
ルール例外ポリシーの作成
ルール例外ポリシーを作成するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
- Settings リンクをクリックします。Settings ページが表示されます。
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
Create New Exclusion ボタンをクリックします。Define exclusion policy ページが表示されます。
Name フィールドに、分かりやすいルール例外ポリシーの名前を入力します。
Define VCL condition フィールドに、条件が満たされているかどうかを判断するために使用される条件式を VCL で入力します。
Apply to rules フィールドに WAF ルール ID を入力し、Add をクリックします。追加されたルールは、Define VCL condition フィールドで指定された条件に従って無効化されます。
Submit ボタンをクリックして、ルール例外ポリシーを保存します。
WAF への変更を有効にします。
ルール例外ポリシーの更新
既存のルール例外ポリシーを更新するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
- リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
- Settings リンクをクリックします。Settings ページが表示されます。
- Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
- 編集するルール例外ポリシーを見つけて、Edit をクリックします。Define exclusion policy ページが表示されます。
- 必要に応じて条件またはルールを編集します。
- Submit ボタンをクリックします。
- WAF への変更を有効にします。
ルール例外ポリシーの削除
ルール例外ポリシーを削除するには、以下の手順に従ってください。
- Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
- Settings リンクをクリックします。Settings ページが表示されます。
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
編集するルール例外ポリシーを見つけて、Delete をクリックします。
WAF への変更を有効にします。
すべてのルールを除外するポリシーの作成
特定の状況では、すべての WAF ルールを除外する必要があることがあります。以下の例に示すように、VCL 条件を使用することで、すべてのルールを除外することができます。
1if (req.http.host != "www.example.com") {2 set req.http.rqpass = "1";3 }
API を使用して WAF の例外設定機能を使用する
Fastly API を使用して、ルール例外ポリシーを追加、閲覧、更新、削除できます。ドキュメントと例については、WAF ルール例外設定に関する API ドキュメントを参照してください。
注意
生成されるログエントリの数を削減したい場合は、ルール例外設定が想定通りに動作するのを確認してから、API を使用してログ機能を無効化することをお勧めします。
制約事項
WAF ルール例外設定機能には、現在以下の制限があります。
- ファイアウォールで設定できるルール例外ポリシーは最大300件です。
- ルール例外ポリシーは、最大30件までルールを関連付けることができます。
- ルール例外ポリシーは、しきい値のルールではなく、厳格なルールとスコアリングルールとのみ関連付けることができます。