WAF ルールの例外設定 (2020年)

  最終更新日 2021-09-27

重要

発表された通り、2023年4月30日付けで Fastly WAF (WAF Legacy および WAF 2020) が正式に廃止となります。Fastly Next-Gen WAF では同様の機能を提供しています。疑わしい異常な Web トラフィックをモニタリングし、指定したアプリケーションやオリジンサーバーに対する攻撃からリアルタイムで保護します。

WAF ルールの例外設定機能では、通常なら Fastly の Web アプリケーションファイアウォール (WAF) セキュリティ製品によってブロックされるリクエストがオリジンに送信されるのを許可する例外基準を定義できます。例外ポリシーを作成すると、アプリケーションレイヤーの攻撃を防ぎつつ、WAF の検出ロジックによって拒否されるリクエストにおける誤検知の割合を削減できます。この機能を使用して、リクエストごとに WAF ルールの例外を設定できます。

WAF ルール例外設定機能の仕組み

コントロールパネルまたは Fastly API を使用して、ルール例外ポリシーを作成できます。すべてのルール例外ポリシーは以下の2つで構成されています。

  • 条件: ルール例外ポリシーに関連するルールでは処理されない URL、Cookie 名、リクエストパラメーター。
  • ルール: ルール例外ポリシーで指定された条件によって無効化される1つ以上のルール。ルール例外ポリシーごとに最大30ルールを関連付けることができます。

条件を定義し、ルールをルール例外ポリシーに関連付けた後、本番環境で変更を有効化できます。

リクエストがルール例外ポリシーで設定された条件に一致した場合、ルール例外ポリシーで指定されたリクエストパラメーター、URL、Cookie 名に対して関連するルールはトリガーされません。リクエストの例外対象でない部分は、WAF によって依然として処理されます。

ルール例外設定機能が便利な場合

WAF ルールの例外設定機能は以下のような場合に有用です。

  • 特定のルールによって処理されないよう特定のリクエストパラメーターをルールの対象外とする
  • 特定のルールによって処理されないよう特定の URL をルールの対象外とする
  • 特定のルールによって処理されないよう特定の cookie をルールの対象外とする
  • 1つの条件セットで多くのルールを無効化する
  • AND または OR ロジック を使用して複数のルール例外ポリシーを組み合わせ、ルールを無効化する

例えば、次の条件によってトリガーされた場合にルールを無視するルール例外ポリシーを設定できます。

  • 次のパスに一致しない: /checkout/*/selfhelp/help
  • 次の Cookie 名と一致する: ec_bntouch_cookie
  • 次のリクエストパラメーター名と一致する: AdditionalInfodataCommenttermsnotes
  • 次の JSON パラメーター名と一致する: links.sending.Example.LimlURL

コントロールパネルを使用して WAF の例外設定を編集する

コントロールパネルを使用して、ルール例外ポリシーを追加、更新、削除できます。

注意

コントロールパネルでは変数ルールの例外を設定することはできません。これらは API 経由で設定できます。

ルール例外ポリシーの作成

ルール例外ポリシーを作成するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。

  2. 一覧から Fastly サービスを選択し、WAF をクリックします。

  3. Settings をクリックします。

  4. Rule exclusions をクリックします。

  5. Create New Exclusion をクリックします。

    WAF ルール例外ポリシーの新規作成

  6. Define exclusion policy フィールドに、以下のように入力します。

    • Name フィールドに、分かりやすいルール例外ポリシーの名前を入力します。
    • Define VCL condition フィールドに、条件が満たされているかどうかを判断するために使用される条件式を VCL で入力します。
    • Apply to rules フィールドに WAF ルール ID を入力し、Add をクリックします。追加されたルールは、Define VCL condition フィールドで指定された条件に従って無効化されます。

  7. Submit をクリックしてルール例外ポリシーを保存します。

  8. WAF への変更を有効にします。

ルール例外ポリシーの更新

既存のルール例外ポリシーを更新するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。

  2. リストから Fastly サービスを選択し、WAF リンクをクリックします。

  3. Settings をクリックします。

  4. Rule exclusions をクリックします。

    WAF rule exclusion policies ページ

  5. 編集するルール例外ポリシーを見つけて、Edit をクリックします。

  6. 必要に応じて条件またはルールを編集します。

  7. Submit をクリックします。

  8. WAF への変更を有効にします。

ルール例外ポリシーの削除

ルール例外ポリシーを削除するには、以下の手順に従ってください。

  1. Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。

  2. リストから Fastly サービスを選択し、WAF リンクをクリックします。

  3. Settings をクリックします。

  4. Rule exclusions をクリックします。

    WAF rule exclusion policies ページ

  5. 編集するルール例外ポリシーを見つけて、Delete をクリックします。

  6. WAF への変更を有効にします。

すべてのルールを除外するポリシーの作成

特定の状況では、すべての WAF ルールを除外する必要があることがあります。以下の例に示すように、VCL 条件を使用することで、すべてのルールを除外することができます。

1if (req.http.host != "www.example.com") {
2    set req.http.rqpass = "1";
3   }

API を使用して WAF の例外設定機能を使用する

Fastly API を使用して、ルール例外ポリシーを追加、閲覧、更新、削除できます。ドキュメントと例については、WAF ルール例外設定に関する API ドキュメントを参照してください。

注意

生成されるログエントリの数を削減したい場合は、ルール例外設定が想定通りに動作するのを確認してから、API を使用してログ機能を無効化することをお勧めします。

制約事項

WAF ルール例外設定機能には、現在以下の制限があります。

  • ファイアウォールで設定できるルール例外ポリシーは最大300件です。
  • ルール例外ポリシーは、最大30件までルールを関連付けることができます。
  • ルール例外ポリシーは、しきい値のルールではなく、厳格なルールとスコアリングルールとのみ関連付けることができます。

翻訳についての注意事項
このガイドは役に立ちましたか?

このフォームを使用して機密性の高い情報を送信しないでください。サポートが必要な場合は、サポートチームまでご連絡ください。このフォームは reCAPTCHA によって保護されており、Google のプライバシーポリシー利用規約が適用されます。

Fastly
© Fastly 2023