ルールの作成と条件の追加 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

ルールの作成と条件の追加

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 月より前に AWS WAF でルールやウェブ ACL などの AWS WAF リソースを作成し、それらをまだ最新バージョンに移行していない場合にのみ、このバージョンを使用する必要があります。リソースを移行するには、「AWS WAF Classic リソースを AWS WAF に移行する」を参照してください。

最新バージョンの AWS WAF については、AWS WAF」を参照してください。

同じルールに複数の条件を追加すると、そのすべての条件にウェブリクエストが一致した場合に限り、AWS WAF Classic はそのルールに基づいてリクエストを許可またはブロックします。

ルールを作成して条件を追加するには

  1. AWS Management Console にサインインして AWS WAF コンソール (https://console.aws.amazon.com/wafv2/) を開きます。

    ナビゲーションペインに、[Switch to AWS WAF Classic] ( Classic に切り替える) が表示されたら、それを選択します。

  2. ナビゲーションペインで [Rules] (ルール) を選択します。

  3. [Create rule] (ルールの作成) を選択します。

  4. 次の値を入力します。

    [Name] (名前)

    名前を入力します。

    [CloudWatch metric name] (CloudWatch メトリクス名)

    AWS WAF Classic によって作成されてルールに関連付けられる CloudWatch メトリクスの名前を入力します。名前には英数字 (A~Z、a~z、0~9) のみを使用することができ、最大 128 文字、最小 1 文字です。空白や、「All」および「Default_Action」など AWS WAF Classic 用に予約されたメトリクス名は使用できません。

    [Rule type] (ルールタイプ)

    [Regular rule] または [Rate–based rule] のいずれかを選択します。レートベースのルールは通常ルールと同じですが、5 分間に IP アドレスから着信したリクエストの数も考慮に入れます。これらのルールタイプの詳細については、「AWS WAF Classic の仕組み」を参照してください。

    [Rate limit] (レート制限)

    レートベースのルールの場合、ルールの条件に一致する IP アドレスから 5 分間に許可するリクエストの最大数を入力します。レート制限は 100 以上にする必要があります。

    レート制限を単独で指定することも、レート制限と条件を指定することもできます。レート制限のみを指定した場合、AWS WAF はすべての IP アドレスに制限を設けます。レート制限と条件を指定した場合、AWS WAF は条件に一致する IP アドレスに制限を設定します。

    IP アドレスがレート制限のしきい値に達すると、AWS WAF は割り当てられたアクション (ブロックまたはカウント) をできるだけ早く (通常は 30 秒以内) 適用します。アクションが実行されると、IP アドレスからのリクエストなしで 5 分が経過すると、AWS WAF はカウンターをゼロにリセットします。

  5. ルールに条件を追加するには、次の値を指定します。

    [When a request does/does not] (リクエストが次の条件内/条件外)

    AWS WAF Classic で条件内のフィルターに基づいてリクエストを許可またはブロックする場合は、[does] (条件に該当) を選択します。例えば、IP 一致条件に含まれている IP アドレス範囲が 192.0.2.0/24 で、これらの IP アドレスから送信されたリクエストを AWS WAF Classic で許可またはブロックする場合は、[does] (条件に該当) を選択します。

    AWS WAF Classic で条件内のフィルターを逆に適用してリクエストを許可またはブロックする場合は、[does not] (条件に非該当) を選択します。例えば、IP 一致条件に含まれている IP アドレス範囲が 192.0.2.0/24 で、これらの IP アドレスから送信されていないリクエストを AWS WAF Classic で許可またはブロックする場合は、[does not] (条件に非該当) を選択します。

    [match/originate from] (一致/次から生じている)

    ルールに追加する条件のタイプを選択します。

    • クロスサイトスクリプティング一致条件 - [match at least one of the filters in the cross-site scripting match condition] (クロスサイトスクリプティング一致条件の少なくとも 1 つのフィルターに一致する) を選択します。

    • IP 一致条件 - [originate from an IP address in] (IP アドレスより送信) を選択します

    • Geo 一致条件 - [originate from a geographic location in] (地理的場所より送信) を選択します

    • サイズ制約条件 - [match at least one of the filters in the size constraint condition] (サイズ制約条件の少なくとも 1 つのフィルターに一致する) を選択します

    • SQL インジェクション一致条件 - [match at least one of the filters in the SQL injection match condition] (SQL インジェクション一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    • 文字列一致条件 - [match at least one of the filters in the string match condition] (文字列一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    • 正規表現一致条件 - [match at least one of the filters in the regex match condition] (正規表現一致条件の少なくとも 1 つのフィルターに一致する) を選択します

    [condition name] (条件名)

    ルールに追加する条件を選択します。リストには、前のステップで選択したタイプの条件のみが表示されます。

  6. ルールに別の条件を追加するには、[Add another condition] (別の条件を追加) を選択して、ステップ 4〜5 を繰り返します。次の点に注意してください。

    • 複数の条件を追加した場合は、各条件の少なくとも 1 つのフィルターにウェブリクエストが一致すると、AWS WAF Classic はそのルールに基づいてリクエストを許可またはブロックします

    • 同じルールに 2 つの IP 一致条件を追加した場合、AWS WAF Classic は両方の IP 一致条件に該当する IP アドレスからのリクエストのみを許可またはブロックします

  7. 条件の追加が終了したら、[Create] (作成) を選択します。