ウェブ ACL のデフォルトアクション - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブ ACL のデフォルトアクション

ウェブ ACL を作成および設定するときに、ウェブ ACL のデフォルトアクションを設定する必要があります。AWS WAF は、終了アクションが適用されることなく、ウェブ ACL のルール評価をすべて通過したウェブリクエストすべてに、このアクションを適用します。終了アクションは、リクエストのウェブ ACL 評価を停止し、保護されたアプリケーションへのリクエストの継続を許可またはブロックします。ルールアクションについては、「ルールアクション」を参照してください。

ウェブ ACL のデフォルトアクションがウェブリクエストの最終的な処理を決定する必要があります。したがって、これは終了アクションです。

  • Allow – ほとんどのユーザーに対してウェブサイトへのアクセスを許可する一方、指定した IP アドレスからのリクエストまたは悪意のある SQL コードや指定した値が含まれている可能性があるリクエストを行う攻撃者に対してアクセスを拒否する場合、デフォルトアクションとして Allow を選択します。その後、ブロックする特定のリクエストを識別してブロックするルールを、ウェブ ACL に追加します。このアクションを使用すると、保護されたリソースに転送する前に、カスタムヘッダーをリクエストに挿入できます。

  • Block – ほとんどのユーザーに対してはウェブサイトへのアクセスを拒否する一方、指定した IP アドレスからのリクエストまたは指定した値が含まれているリクエストを行うユーザーに対してアクセスを許可する場合、デフォルトアクションとして Block を選択します。その後、許可する特定のリクエストを識別して許可するルールを、ウェブ ACL に追加します。デフォルトでは、Block アクションの場合、AWS リソースは HTTP 403 (Forbidden) ステータスコードで応答しますが、応答をカスタマイズできます。

リクエストとレスポンスをカスタマイズする方法については、「AWS WAF のカスタマイズされたウェブリクエストとレスポンス」を参照してください。

独自のルールとルールグループの設定は、ほとんどのウェブリクエストを許可するかブロックするかに応じて、一部が異なります。たとえば、ほとんどのリクエストを許可する場合、ウェブ ACL のデフォルトアクションを Allow に設定し、その後にブロックするウェブリクエストを識別するルールを追加します。これには次のようなリクエストが該当します。

  • リクエスト数が不当に多い IP アドレスからのリクエスト

  • お客様がビジネスを行っていない国、または頻繁に攻撃元になっている国からのリクエスト

  • User-agent ヘッダーに不正な値が含まれているリクエスト

  • 悪意のある SQL コードが含まれている可能性があるリクエスト

マネージドルールグループのルールは通常、Block アクションを使用しますが、すべての場合に限りません。例えば、Bot Control に使用される一部のルールでは、CAPTCHA および Challenge アクション設定を使用します。マネージドルールグループの詳細については、「マネージドルールグループ」を参照してください。