WAF ルールの例外設定 (2020年)

最終更新日 2021-09-27

重要

2021年6月30日をもって、Fastly WAF (WAF 2020) はレガシー (旧) 製品となりました。旧バージョンをご使用のすべての既存のお客様は、引き続きサポートをご利用いただけます。Fastly Next-Gen WAF (powered by Signal Sciences) は、お客様のアプリケーションやオリジンサーバーに対する疑わしい異常な Web トラフィックをプロアクティブに監視し、お客様のシステムを保護します。コントロールパネルのダッシュボードまたはアプリケーション・プログラミング・インターフェイス (API) を介してコントロールできます。Fastly の次世代 WAF をご検討、または次世代 WAF への移行に興味がおありの場合は、sales@fastly.com または Fastly のアカウントチームまでお問い合わせください。

WAF ルールの例外設定機能では、通常なら Fastly の Web アプリケーションファイアウォール (WAF) セキュリティ製品によってブロックされるリクエストがオリジンに送信されるのを許可する例外基準を定義できます。例外ポリシーを作成すると、アプリケーションレイヤーの攻撃を防ぎつつ、WAF の検出ロジックによって拒否されるリクエストにおける誤検知の割合を削減できます。この機能を使用して、リクエストごとに WAF ルールの例外を設定できます。

WAF ルール例外設定機能の仕組み

コントロールパネルまたは Fastly API を使用して、ルール例外ポリシーを作成できます。すべてのルール例外ポリシーは以下の2つで構成されています。

条件: ルール例外ポリシーに関連するルールでは処理されない URL、Cookie 名、リクエストパラメーター。
ルール: ルール例外ポリシーで指定された条件によって無効化される1つ以上のルール。ルール例外ポリシーごとに最大30ルールを関連付けることができます。

条件を定義し、ルールをルール例外ポリシーに関連付けた後、本番環境で変更を有効化できます。

リクエストがルール例外ポリシーで設定された条件に一致した場合、ルール例外ポリシーで指定されたリクエストパラメーター、URL、Cookie 名に対して関連するルールはトリガーされません。リクエストの例外対象でない部分は、WAF によって依然として処理されます。

ルール例外設定機能が便利な場合

WAF ルールの例外設定機能は以下のような場合に有用です。

特定のルールによって処理されないよう特定のリクエストパラメーターをルールの対象外とする
特定のルールによって処理されないよう特定の URL をルールの対象外とする
特定のルールによって処理されないよう特定の cookie をルールの対象外とする
1つの条件セットで多くのルールを無効化する
AND または OR ロジックを使用して複数のルール例外ポリシーを組み合わせ、ルールを無効化する

例えば、次の条件によってトリガーされた場合にルールを無視するルール例外ポリシーを設定できます。

次のパスに一致しない: /checkout/*、/selfhelp/help
次の Cookie 名と一致する: ec_bn、touch_cookie
次のリクエストパラメーター名と一致する: AdditionalInfo、data、Comment、terms、notes
次の JSON パラメーター名と一致する: links.sending.Example.LimlURL

コントロールパネルを使用して WAF の例外設定を編集する

コントロールパネルを使用して、ルール例外ポリシーを追加、更新、削除できます。

注意

コントロールパネルでは変数ルールの例外を設定することはできません。これらは API 経由で設定できます。

ルール例外ポリシーの作成

ルール例外ポリシーを作成するには、以下の手順に従ってください。

Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
Settings をクリックします。Settings ページが表示されます。
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
Create New Exclusion ボタンをクリックします。Define exclusion policy ページが表示されます。
Name フィールドに、分かりやすいルール例外ポリシーの名前を入力します。
Define VCL condition フィールドに、条件が満たされているかどうかを判断するために使用される条件式を VCL で入力します。
Apply to rules フィールドに WAF ルール ID を入力し、Add をクリックします。追加されたルールは、Define VCL condition フィールドで指定された条件に従って無効化されます。
Submit ボタンをクリックして、ルール例外ポリシーを保存します。
WAF への変更を有効にします。

ルール例外ポリシーの更新

既存のルール例外ポリシーを更新するには、以下の手順に従ってください。

Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
Settings をクリックします。Settings ページが表示されます。
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
編集するルール例外ポリシーを見つけて、Edit をクリックします。Define exclusion policy ページが表示されます。
必要に応じて条件またはルールを編集します。
Submit ボタンをクリックします。
WAF への変更を有効にします。

ルール例外ポリシーの削除

ルール例外ポリシーを削除するには、以下の手順に従ってください。

Fastly コントロールパネルにログインします。Home ページには、アカウントに関連するすべてのサービスのリストが表示されます。
リストから Fastly サービスを選択し、WAF リンクをクリックしてください。WAF サマリーページが表示されます。
Settings をクリックします。Settings ページが表示されます。
Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。
編集するルール例外ポリシーを見つけて、Delete をクリックします。
WAF への変更を有効にします。

すべてのルールを除外するポリシーの作成

特定の状況では、すべての WAF ルールを除外する必要があることがあります。以下の例に示すように、VCL 条件を使用することで、すべてのルールを除外することができます。

if (req.http.host != "www.example.com") {
    set req.http.rqpass = "1";
   }

API を使用して WAF の例外設定機能を使用する

Fastly API を使用して、ルール例外ポリシーを追加、閲覧、更新、削除できます。ドキュメントと例については、WAF ルール例外設定に関する API ドキュメントを参照してください。

注意

生成されるログエントリの数を削減したい場合は、ルール例外設定が想定通りに動作するのを確認してから、API を使用してログ機能を無効化することをお勧めします。

制約事項

WAF ルール例外設定機能には、現在以下の制限があります。

ファイアウォールで設定できるルール例外ポリシーは最大300件です。
ルール例外ポリシーは、最大30件までルールを関連付けることができます。
ルール例外ポリシーは、しきい値のルールではなく、厳格なルールとスコアリングルールとのみ関連付けることができます。