Web Application Firewall のカスタム ルールを構成する
Web Application Firewall のカスタム ルールを使用すると、ジオフィルタリング、ソース IP アドレス、要求 URI などのさまざまな条件に基づいて、特定の要求をブロックまたは許可するための独自のルールを定義できます。 カスタム ルールを使用すると、Web アプリケーションのセキュリティを強化し、不要なトラフィックを除外したり、誤検知を減らしたりして、Web アプリケーションのパフォーマンスを最適化できます。
セキュリティ ワークスペースに移動してカスタム ルールを構成します。
前提条件
- カスタム ルールを構成するには、管理者である必要があります。
- サイトに対して Web Application Firewall を有効にする必要があります。
カスタム ルールを作成する
+ 新規ルールの追加 を選択します。
ルール名 を入力します。
ルールの種類 を選択します。
一致 または レート制限 のいずれかを選択して、カスタム ルールを定義できます。
- 一致: 後続のステップで定義されたルールの種類に基づいて、要求を許可/ブロックします。
- レート制限: 要求数のしきい値制限を許可/ブロックし、しきい値制限を超える要求を調整します。
しきい値制限は 1 - 5 分の間で構成できます。
一致の種類 を選択します。
カスタム ルールを作成するには、一致の種類ドロップダウン メニューからいずれかのオプションを選択します。
地域の場所: 地理的な発生元に基づいて要求を許可またはブロックします。 特定の地域や国からの攻撃を防いだり、地域的なコンテンツ制限を実施したりするのに役立ちます。
IP アドレス: ソース IP アドレスに基づいて要求を許可またはブロックします。 特定の攻撃者やボットから保護したり、許可されているユーザーへのアクセスを制限したりするのに役立ちます。
要求 URI: 要求されたパスまたはクエリ文字列に基づいて要求を許可またはブロックします。 サイトの機密領域や制限領域へのアクセスを禁止したり、さまざまなセクションに特定のルールを適用したりするのに役立ちます。
選択した一致の種類に応じて、構成オプションは異なります。 一致の種類を選択した後に表示されるフィールドで適切な設定を更新します。
一致変数 を選択します。
一致変数オプションは、一致の種類で選択したオプションに応じて使用できます。
オプションは RemoteAddr と SocketAddr の 2 つです。 詳細については、以下の 一致変数 を参照してください。
トラフィック設定 を選択し、必要に応じて新しいルールを追加します。
トラフィック設定では、構成したルールに基づいて要求をブロックまたは許可します。
保存 を選択します。
サイトへの各要求は、優先順位に基づいてファイアウォール構成に対して評価されます。 ルールの優先度を上げたり下げたりすることで、ルールの実行順序を調整できます。 各ルールの上にカーソルを合わせ、省略記号 (…) を選択して、優先順位の設定を変更します。
変数を一致させる
エンド ユーザーが Power Pages サイトに要求を行う場合、これらの要求はエンド ユーザーの場所/IP から直接送信されるか、プロキシ サーバー経由で送信されます。
RemoteAddr: このフィールドはリモート アドレスを示し、要求者の場所または IP アドレスに基づいて要求を識別します。 これは、ネットワーク接続から、あるいはユーザーがプロキシの背後にある場合は、通常 X-Forwarded-For 要求ヘッダーから取得される、元のクライアント IP を表します。
SocketAddr: このフィールドはソケット アドレスを示し、ファイアウォール エッジへの直接接続に基づいて要求を識別します。 クライアントが HTTP プロキシまたはロード バランサーを使用して要求を送信した場合、ソケット アドレスはプロキシまたはロード バランサーの IP アドレスになります。
重要
ルールを作成して保存した後、変更がグローバルにすべてのエッジ ロケーションに反映されるまでに最大 1 時間かかる場合があります。