AWS WAF がウェブ ACL を処理する方法 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド
AWS WAF がウェブ ACL のルールアクションを処理する方法ウェブ ACL のデフォルトアクションの決定ルールグループ全体のアクションの上書きルールグループでのルールの除外AWS リソースが AWS WAF からのレスポンスの遅延を処理する方法

AWS WAF がウェブ ACL を処理する方法

ウェブ ACL がウェブリクエストを処理する方法は、以下に応じて異なります。

  • ルールおよびウェブ ACL のアクション設定

  • 追加したルールおよびルールグループに設定した上書き

  • ルールおよびルールグループの順序

複数のルールをウェブ ACL に追加すると、ウェブ ACL に表示されるルールの順に AWS WAF で各リクエストが評価されます。ウェブ ACL にルールグループを追加すると、AWS WAF はウェブ ACL にリストされている順序でルールグループを処理し、ルールグループに属するルールをグループでリストされている順に処理します。

AWS WAF がウェブ ACL のルールアクションを処理する方法

ウェブ ACL のルールでは、一致するウェブリクエストをカウントするか、許可するか、またはブロックするかを選択できます。

  • 許可アクションとブロックアクションは、終了アクションです。一致するウェブリクエストに対するウェブ ACL のその他の処理はすべて停止されます。許可アクションまたはブロックアクションを含むルールをウェブ ACL に組み込んだ場合、そのルールが一致を検出すると、ウェブ ACL のウェブリクエストの最終処理が決定されます。AWS WAF は、一致するルールより後にあるウェブ ACL の他のルールを処理しません。これに該当するのは、ウェブ ACL に直接追加するルールや、追加されたルールグループに属するルールです。

  • カウントアクションは、非終了アクションです。カウントアクションを含むルールがリクエストと一致すると、AWS WAF はリクエストをカウントし、ウェブ ACL ルールセットに続くルールの処理を継続します。一致する唯一のルールにカウントアクションが設定されている場合、AWS WAF はウェブ ACL のデフォルトのアクション設定を適用します。

AWS WAF がウェブリクエストに適用するアクションは、ウェブ ACL に含まれるルールの相対的な位置の影響を受けます。たとえば、ウェブリクエストがリクエストを許可するルールと一致し、リクエストをカウントする別のルールと一致した場合、リクエストを許可するルールが先頭にリストされていると、AWS WAF はリクエストをカウントしません。

ウェブ ACL のデフォルトアクションの決定

ウェブ ACL を作成および設定するときに、ウェブ ACL のデフォルトアクションを設定します。これにより、ウェブ ACL のどのルールにも一致しないウェブリクエストを AWS WAF が処理する方法が決まります。

  • Allow (許可) – 大部分のユーザーに対してはウェブサイトへのアクセスを許可する一方、指定した IP アドレスからのリクエストまたは悪意のある SQL コードや指定した値が含まれている可能性があるリクエストを行う攻撃者に対してアクセスをブロックする場合は、デフォルトアクションとして [Allow (許可)] を選択します。その後、ブロックする特定のリクエストを識別してブロックするルールを、ウェブ ACL に追加します。

  • Block (ブロック) – 大部分の自称ユーザーに対してはウェブサイトへのアクセスを拒否する一方、指定した IP アドレスからのリクエストや指定した値が含まれているリクエストのユーザーに対してアクセスを許可する場合は、デフォルトアクションとして [Block (ブロック)] を選択します。その後、許可する特定のリクエストを識別して許可するルールを、ウェブ ACL に追加します。

独自のルールとルールグループの設定は、ほとんどのウェブリクエストを許可するかブロックするかに応じて、一部が異なります。たとえば、ほとんどのリクエストを許可する場合は、ウェブ ACL のデフォルトアクションを [Allow (許可)] に設定し、ブロックするウェブリクエストを識別するルールを追加します。これには以下のようなリクエストが該当します。

  • リクエスト数が不当に多い IP アドレスからのリクエスト

  • お客様がビジネスを行っていない国、または頻繁に攻撃元になっている国からのリクエスト

  • [User-agent] ヘッダーに不正な値が含まれているリクエスト

  • 悪意のある SQL コードが含まれている可能性があるリクエスト

マネージドルールグループは通常、ブロックアクションを使用します。マネージドルールグループの詳細については、「マネージドルールグループ」を参照してください。

ルールグループ全体のアクションの上書き

ウェブ ACL のルールグループごとに、含まれるルールのアクションを上書きし、すべてのアクションをカウントするように設定できます。グループに含まれるルールアクションのいずれかが [Block (ブロック)] または [Allow (許可)] に設定されている場合は、この上書きによって動作が変更され、一致するルールのみがカウントされます。通常の動作としてルールグループがリクエストを許可するかブロックするかを決定する場合、その動作は行われず、ウェブ ACL が後続のルールの処理を継続します。

リクエストを許可または拒否するために使用するルールを事前にテストする場合は、そのルールの条件に該当するウェブリクエストをカウントするように AWS WAF を設定できます。メトリクスを有効にしている場合は、グループに含まれるすべてのルールの COUNT メトリクスが表示されます。詳細については、「ウェブ ACL のテスト」を参照してください。

ルールグループでのルールの除外

ルールグループごとに、個々のルールを除外できます。これにより、ルールのカウントアクションが効果的に上書きされるため、ルールに対する効果は、グループに含まれるすべてのルールに対する [Override to count (上書きしてカウント)] の効果と同じです。通常の動作としてルールがリクエストを許可するかブロックするかを決定する場合、その動作は行われず、ウェブ ACL が後続のルールの処理を継続します。

1 つのルールを除外すると、誤検出のトラブルシューティングに役立ちます。誤検出は、ルールグループがブロックすると予期していないトラフィックをブロックする場合です。予期していないブロックを行っているルールグループ内のルールを特定し、除外することでルールを無効にすることができます。ルールを除外すると、カウントするルールに設定されているアクションが上書きされます。メトリクスを有効にしている場合は、除外されたルールごとに COUNT メトリクスが表示されます。

AWS リソースが AWS WAF からのレスポンスの遅延を処理する方法

AWS WAF で内部エラーが発生し、関連付けられている AWS リソースへの、リクエストを許可するかブロックするかについての応答が遅延する場合があります。そのような場合は、CloudFront がリクエストを許可するか、コンテンツを提供するのが一般的ですが、Amazon API Gateway および Application Load Balancer はリクエストを拒否し、コンテンツを提供しないのが一般的です。