WAF ルールの例外設定

WAF ルールの例外設定機能では、通常なら Fastly の Web アプリケーションファイアウォール (WAF) セキュリティ製品によってブロックされるリクエストがオリジンに送信されるのを許可する例外基準を定義できます。例外ポリシーを作成すると、アプリケーションレイヤーの攻撃を防ぎつつ、WAF の検出ロジックによって拒否されるリクエストにおける誤検知の割合を削減できます。この機能を使用して、リクエストごとに WAF ルールの例外を設定できます。

WAF ルール例外設定機能の仕組み

コントロールパネルまたは Fastly API を使用して、ルール例外ポリシーを作成できます。すべてのルール例外ポリシーは 2 つの部分で構成されています。

• 条件: ルール例外ポリシーに関連するルールでは処理されない URL、Cookie 名、リクエストパラメーター。
• ルール: ルール例外ポリシーで指定された条件によって無効化される1つ以上のルール。ルール例外ポリシーごとに最大 30 ルールを関連付けることができます。

条件を定義し、ルールをルール例外ポリシーに関連付けた後、本番環境で変更を有効化できます。

リクエストがルール例外ポリシーで設定された条件に一致した場合、ルール例外ポリシーで指定されたリクエストパラメーター、URL、Cookie 名に対して関連するルールはトリガーされません。リクエストの例外対象でない部分は、WAF によって依然として処理されます。

ルール例外設定機能が便利な場合

WAF ルールの例外設定機能は以下のような場合に有用です。

• 特定のルールによって処理されないよう特定のリクエストパラメーターをルールの対象外とする
• 特定のルールによって処理されないよう特定の URL をルールの対象外とする
• 特定のルールによって処理されないよう特定の cookie をルールの対象外とする
• 1 つの条件セットで多くのルールを無効化する
• AND または OR ロジック を使用して複数のルール例外ポリシーを組み合わせ、ルールを無効化する

例えば、次の条件によってトリガーされた場合にルールを無視するルール例外ポリシーを設定できます。

• 次のパスに一致しない : /checkout/*、/selfhelp/help
• 次の Cookie 名と一致する : ec_bn、touch_cookie
• 次のリクエストパラメーター名と一致する : AdditionalInfo、data、Comment、terms、notes
• 次の JSON パラメーター名と一致する : links.sending.Example.LimlURL

コントロールパネルを使用して WAF の例外設定を編集する

コントロールパネルを使用して、ルール例外ポリシーを追加、更新、削除できます。

注意

コントロールパネルでは変数ルールの例外を設定することはできません。これらは、API 経由で設定できます。

ルール例外ポリシーの作成

ルール例外ポリシーを作成するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。All services ページが表示されます。
2. リストから Fastly サービスを見つけて、WAF リンクをクリックします。WAF summary ページが表示されます。
3. Settings リンクをクリックします。Settings ページが表示されます。
4. Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。

5. Create New Exclusion ボタンをクリックします。Define exclusion policy ページが表示されます。

   

6. Name フィールドに、分かりやすいルール例外ポリシーの名前を入力します。
7. Define VCL condition フィールドに、条件が満たされているかどうかを判断するために使用される条件式をVCL で入力します。
8. Apply to rules フィールドに、WAF ルール ID を入力し、Add をクリックします。追加されたルールは、Define VCL condition フィールドで指定された条件に従って無効化されます。
9. Submit ボタンをクリックして、ルール例外ポリシーを保存します。
10. WAF への変更を有効にする。

ルール例外ポリシーの更新

既存のルール例外ポリシーを更新するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。All services ページが表示されます。
2. リストから Fastly サービスを見つけて、WAF リンクをクリックします。WAF summary ページが表示されます。
3. Settings リンクをクリックします。Settings ページが表示されます。

4. Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。

   

5. 編集するルール例外ポリシーを見つけて、Edit リンクをクリックします。Define exclusion policy ページが表示されます。
6. 必要に応じて条件またはルールを編集します。
7. Submit ボタンをクリックします。
8. WAF への変更を有効にする。

ルール例外ポリシーの削除

ルール例外ポリシーを削除するには、以下の手順に従ってください。

1. Fastly コントロールパネルにログインします。All services ページが表示されます。
2. リストから Fastly サービスを見つけて、WAF リンクをクリックします。WAF summary ページが表示されます。
3. Settings リンクをクリックします。Settings ページが表示されます。

4. Rule exclusions リンクをクリックします。Rule exclusions policies ページが表示されます。

   

5. 編集するルール例外ポリシーを見つけて、Delete リンクをクリックします。
6. WAF への変更を有効にする。

API を使用して WAF の例外設定機能を使用する

Fastly API を使用して、ルール例外ポリシーを追加、閲覧、更新、削除できます。ドキュメントと例については、WAF ルール例外設定に関する API ドキュメントを参照してください。

注意

生成されるログエントリの数を削減したい場合は、ルール例外設定が想定通りに動作するのを確認してから、API を使用してログ機能を無効化することをお勧めします。

制約事項

WAF ルール例外設定機能には、現在以下の制限があります。

• ファイアウォールでは最大 300 件のルール例外ポリシーを設定できます。
• ルール例外ポリシーは、最大 30 件までルールを関連付けることができます。
• ルール例外ポリシーはしきい値ルールではなく、厳密一致ルールとスコアリングルールにのみ関連付けることができます。

このガイドは役に立ちましたか？

はい いいえ コメントのみ

何が機能し、何が改善できるかを教えてください。

このフォームを使用して機密情報を送信しないでください。サポートが必要な場合はお問い合わせください support@fastly.com。