ウェブ ACL のテスト - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ウェブ ACL のテスト

許可する必要のあるウェブリクエストをブロックするように、またはブロックする必要のあるリクエストを許可するように、誤って AWS WAF を設定しないようにするには、ウェブ ACL をウェブサイトまたはウェブアプリケーションで使用する前に徹底的にテストすることをお勧めします。

ウェブ ACL のルールに一致するウェブリクエストのカウント

ルールをウェブ ACL に追加するときは、AWS WAF で、そのルールのすべての条件に一致するウェブリクエストを許可するか、ブロックするか、カウントするかを指定します。以下の設定から始めることをお勧めします。

この設定では、AWS WAFは、最初のルールの match ステートメントに基づいて各 Web リクエストを検査します。Web リクエストがルールと一致する場合、AWS WAFは、そのルールのカウンタをインクリメントします。その後AWS WAFは、次のルールの match ステートメントに基づいてウェブリクエストを検査します。Web リクエストがルールと一致する場合、AWS WAFは、ルールのカウンタをインクリメントします。これはまで続きますAWS WAFリクエストをすべてのルールでマッチステートメントに対して検査しました。

リクエストをカウントするようにウェブ ACL のすべてのルールを設定し、ウェブ ACL を 1 つ以上のAWSリソース (Amazon CloudFront ディストリビューション、Amazon API Gateway REST API、Application Load Balancer、またはAWS AppSyncGraphQL API) を使用すると、結果の数を Amazon CloudWatch グラフで表示できます。ウェブ ACL の各ルールに対して、また、関連付けられたリソースがに転送するすべてのリクエストに対して、AWS WAFウェブ ACL の場合、CloudWatch で以下のことができます。

  • 1 時間前または 3 時間前のデータを表示する

  • データポイント間の間隔を変更する

  • CloudWatch がデータに対して実行する計算 (最大、最小、平均、合計など) を変更する

注記

AWS WAFCloudFront with CloudFront はグローバルサービスであり、メトリクスを使用できるのは、米国東部(バージニア北部)内のリージョンAWS Management Console。別のリージョンを選択した場合、AWS WAFメトリクスが CloudWatch コンソールに表示されます。

ウェブ ACL でルールのデータを表示するには

  1. AWS Management Console にサインインして、CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

  2. ナビゲーションペインの [Metrics (メトリクス)] で、[AWS/WAFV2] を選択します。

  3. データを表示するウェブ ACL のチェックボックスをオンにします。

  4. 該当する設定を変更します。

    統計

    CloudWatch がデータに対して実行する計算を変更します。

    時間範囲

    前の 1 時間のデータを表示するか、前の 3 時間のデータを表示するかを選択します。

    間隔

    グラフでのデータポイント間の間隔を変更します。

    ルール

    データを表示するルールを選択します。

    次の点に注意してください。

    • ウェブ ACL を AWS リソースに関連付けたのが最近である場合は、グラフにデータが表示され、使用可能なメトリクスのリストにウェブ ACL のメトリクスが表示されるまでに数分かかることがあります。

    • 複数のリソースをウェブ ACL に関連付けると、CloudWatch データにはそれらすべてのリクエストが含まれます。

    • データポイントの上にマウスカーソルを置くと、詳細情報が表示されます。

    • グラフは自動的には更新されません。表示を更新するには、更新 ( Icon to refresh the CloudWatch graph ) アイコンを選択します。

  5. (オプション)関連付けられた、個々のリクエストに関する詳細情報を表示します。AWSリソースがAWS WAF。詳細については、「ウェブリクエストのサンプルの表示」を参照してください。

  6. ルールにより、傍受する必要のないリクエストが傍受されていると判断した場合は、該当する設定を変更します。詳細については、「ウェブアクセスコントロールリスト (ウェブ ACL) の管理と使用」を参照してください。

    すべてのルールにより、正しいリクエストのみが傍受されていることを確認したら、各ルールのアクションを [Allow] または [Block] に変更します。詳細については、「ウェブ ACL の編集」を参照してください。

ウェブリクエストのサンプルの表示

AWS WAF コンソールで、リクエストのサンプリングを有効にしている場合は、関連付けられているリソースが検査のために AWS WAF に転送したリクエストのサンプルを表示できます。サンプリングされたリクエストごとに、発生元の IP アドレスやリクエストに含まれるヘッダーなど、リクエストに関する詳細なデータを表示できます。また、リクエストが一致したルールを表示したり、ルールがリクエストを許可するように設定されているかブロックするように設定されているかを確認したりもできます。

リクエストのサンプルには、各ルールのすべての条件に一致した最大 100 件のリクエストと、デフォルトアクションが適用された別の 100 件のリクエストが含まれます。デフォルトアクションは、すべてのルールのすべての条件に一致しなかったリクエストに適用されます。サンプルのリクエストは、過去 15 分間にコンテンツに対するリクエストを受信したすべての保護されたリソースからのものです。

関連付けられているリソースが AWS WAF に転送したウェブリクエストのサンプルを表示するには

  1. にサインインします。AWS Management Console[(ユーザ)]AWS WAFコンソールhttps://console.aws.amazon.com/wafv2/

  2. ナビゲーションペインの [ウェブ ACL] を選択します。

  3. リクエストを表示するウェブ ACL を選択します。

  4. [概要] タブの [Sampled requests (リクエストされたサンプル)] テーブルには、リクエストごとに以下の値が表示されます。

    送信元 IP

    リクエストの発生元の IP アドレス (ビューワーが HTTP プロキシまたはApplication Load Balancer を使用してリクエストを送信した場合は、そのプロキシまたはApplication Load Balancer の IP アドレス)。

    URI

    URL 内でリソースを識別する部分 (/images/daily-ad.jpg など)。

    Matches rule

    ウェブリクエストがすべての条件に一致したウェブ ACL の最初のルールを識別します。ウェブリクエストがウェブ ACL のすべてのルールのすべての条件に一致しない場合、[Matches rule] の値は [Default] です。

    ウェブリクエストがルールのすべての条件に一致し、そのルールのアクションが [Count (カウント)] である場合、AWS WAF によってウェブ ACL の後続のルールに基づいてウェブリクエストが引き続き検査されます。この場合、ウェブリクエストはサンプリングされたリクエストのリストに 2 回表示されることがあります。1 回は、アクションが [Count] のルールに対応し、もう 1 回は、後続のルールまたはデフォルトアクションに対応します。

    アクション

    対応するルールのアクションが [Allow]、[Block]、[Count] のいずれかであるかを示します。

    時間

    その時間AWS WAFは、Amazon CloudFront、Amazon API Gateway、Application Load Balancer、AWS AppSync。

  5. リクエストに関する追加情報を表示するには、そのリクエストの IP アドレスの左側にある矢印を選択します。AWS WAF によって以下の情報が表示されます。

    送信元 IP

    テーブルの [Source IP] 列の値と同じ IP アドレス。

    Country

    リクエスト送信元の国の 2 文字の国コード。ビューアが HTTP プロキシまたはApplication Load Balancer を使用した場合~リクエストを送信する場合、これは HTTP プロキシまたは Application Load Balancer がある国の 2 文字の国コードです。

    2 文字の国コードと対応する国名のリストについては、Wikipedia の「ISO 3166-1 alpha-2」記事を参照してください。

    方法

    リクエストの HTTP リクエストメソッド: GETHEADOPTIONSPUTPOSTPATCHDELETE

    URI

    テーブルの [URI] 列の値と同じ URI。

    リクエストヘッダー

    リクエストのヘッダーとヘッダー値。

  6. サンプルのリクエストのリストを更新するには、[Get new samples] を選択します。