ルールの作成と条件の追加 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ルールの作成と条件の追加

警告

AWS WAF Classic は計画的なend-of-lifeプロセスを進めています。リージョン固有のマイルストーンと日付については、 AWS Health ダッシュボードを参照してください。

注記

これは AWS WAF Classic ドキュメントです。このバージョンは、2019 年 11 月 AWS WAF より前にルールやウェブ ACLs などのリソースを作成し AWS WAF 、最新バージョンに移行していない場合にのみ使用してください。Web ACL を移行するには、AWS WAF Classic リソースの への移行 AWS WAF を参照してください。

の最新バージョンについては、 AWS WAF「」を参照してくださいAWS WAF

ルールに複数の条件を追加する場合、そのルールに基づいて AWS WAF Classic がリクエストを許可または拒否するには、ウェブリクエストがすべての条件と一致する必要があります。

ルールを作成して条件を追加するには

  1. にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/ で AWS WAF コンソールを開きます。

    ナビゲーションペインに AWS WAF 「クラシックに切り替える」と表示されている場合は、それを選択します。

  2. ナビゲーションペインで [ルール] を選択します。

  3. [Create rule] (ルールの作成) を選択します。

  4. 次の値を入力します。

    [Name] (名前)

    名前を入力します。

    [CloudWatch metric name] (CloudWatch メトリクス名)

    AWS WAF Classic が作成し、ルールに関連付ける CloudWatch メトリクスの名前を入力します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。「All」や「Default_Action」など、 AWS WAF Classic 用に予約されている空白やメトリクス名を含めることはできません。

    [Rule type] (ルールタイプ)

    [Regular rule] または [Rate–based rule] のいずれかを選択します。レートベースのルールは通常ルールと同じですが、5 分間に IP アドレスから着信したリクエストの数も考慮に入れます。これらのルールタイプの詳細については、「AWS WAF Classic の仕組み」を参照してください。

    [Rate limit] (レート制限)

    レートベースのルールの場合、ルールの条件に一致する IP アドレスから 5 分間に許可するリクエストの最大数を入力します。レート制限は 100 以上にする必要があります。

    レート制限を単独で指定することも、レート制限と条件を指定することもできます。レート制限のみを指定すると、 はその制限をすべての IP アドレス AWS WAF に配置します。レート制限と条件を指定すると、 は条件に一致する IP アドレスに制限 AWS WAF を配置します。

    IP アドレスがレート制限のしきい値に達すると、 は割り当てられたアクション (ブロックまたはカウント) をできるだけ早く、通常は 30 秒以内に AWS WAF 適用します。アクションが実行されると、IP アドレスからのリクエストなしで 5 分が経過すると、 はカウンターをゼロに AWS WAF リセットします。

  5. ルールに条件を追加するには、次の値を指定します。

    [When a request does/does not] (リクエストが次の条件内/条件外)

    AWS WAF Classic で条件のフィルターに基づいてリクエストを許可またはブロックする場合は、 を選択します。例えば、IP 一致条件に IP アドレス範囲 192.0.2.0/24 が含まれていて、それらの IP アドレスからのリクエストを AWS WAF Classic で許可またはブロックする場合は、 を選択します。

    AWS WAF Classic で条件内のフィルターの逆数に基づいてリクエストを許可またはブロックする場合は、そうしないを選択します。例えば、IP 一致条件に IP アドレス範囲 192.0.2.0/24 が含まれていて、それらの IP アドレスから来ないリクエストを AWS WAF Classic で許可またはブロックする場合は、そうしないを選択します。

    [match/originate from] (一致/次から生じている)

    ルールに追加する条件のタイプを選択します。

    • クロスサイトスクリプティング一致条件 - [match at least one of the filters in the cross-site scripting match condition] (クロスサイトスクリプティング一致条件の少なくとも 1 つのフィルターに一致する) を選択します。

    • IP 一致条件 - [originate from an IP address in] (IP アドレスより送信) を選択します

    • Geo 一致条件 - [originate from a geographic location in] (地理的場所より送信) を選択します

    • サイズ制約条件 - [match at least one of the filters in the size constraint condition] (サイズ制約条件の少なくとも 1 つのフィルターに一致する) を選択します

    • SQL インジェクション一致条件 - [match at least one of the filters in the SQL injection match condition] (SQL インジェクション一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    • 文字列一致条件 - [match at least one of the filters in the string match condition] (文字列一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    • 正規表現一致条件 - [match at least one of the filters in the regex match condition] (正規表現一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    [condition name] (条件名)

    ルールに追加する条件を選択します。リストには、前のステップで選択したタイプの条件のみが表示されます。

  6. ルールに別の条件を追加するには、[Add another condition] (別の条件を追加) を選択して、ステップ 4〜5 を繰り返します。次の点に注意してください:

    • 複数の条件を追加する場合、 AWS WAF Classic がそのルールに基づいてリクエストを許可またはブロックするには、ウェブリクエストがすべての条件の少なくとも 1 つのフィルターと一致する必要があります。

    • 同じルールに 2 つの IP 一致条件を追加すると、 AWS WAF Classic は両方の IP 一致条件に表示される IP アドレスからのリクエストのみを許可または拒否します。

  7. 条件の追加が終了したら、[Create] (作成) を選択します。