AWS WAF ルール - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF ルール

このセクションでは、 AWS WAF ルールとその仕組みについて説明します。

AWS WAF ルールは、 HTTP(S) ウェブリクエストを検査する方法と、検査基準に一致するリクエストに対して実行するアクションを定義します。ルールは、ルールグループまたはウェブ のコンテキストでのみ定義しますACL。

ルールは AWS WAF 、それ自体は に存在しません。これらは AWS リソースではなく、Amazon リソースネーム () もありませんARNs。ルールは、ルールグループまたはルールACLが定義されているウェブ内の名前でアクセスできます。ルールグループまたはルールACLを含むウェブのJSONビューACLsを使用して、ルールを管理し、他のウェブにコピーできます。ウェブグループACLsとルールグループで使用できる AWS WAF コンソールルールビルダーを使用して管理することもできます。

ルール名

各ルールには名前が必要です。AWS で始まる名前や、他のサービスによって管理されているルールグループまたはルールに使用されている名前は避けてください。「他のサービスによって提供されるルールグループを識別する」を参照してください。

注記

ルールの名前を変更し、ルールのメトリクス名に変更を反映する場合は、メトリクス名も更新する必要があります。ルール名を変更しても、 はルールのメトリクス名を自動的に更新 AWS WAF しません。コンソールでルールを編集するときに、ルールJSONエディタを使用してメトリクス名を変更できます。また、 と を使用してAPIs、ウェブACLまたはルールグループの定義に使用するJSONリストで両方の名前を変更することもできます。

ルールステートメント

各ルールには、ルールがウェブリクエストを検査する方法を定義するルールステートメントも必要です。ルールステートメントには、ルールとステートメントのタイプに応じて、ネストされたステートメントを任意の深さに含めることができます。一部のルールステートメントは、条件のセットを採用します。例えば、IP セット一致ルールに最大 10,000 個の IP アドレスまたは IP アドレス範囲を指定できます。

次のような基準を検査するルールを定義できます。

  • 悪意のある可能性が高いスクリプト。攻撃者は、ウェブアプリケーションの脆弱性を悪用できるスクリプトを埋め込みます。これはクロスサイトスクリプティング () と呼ばれますXSS。

  • リクエストの発生元の IP アドレスまたはアドレス範囲。

  • リクエスト送信元の国または地理的場所。

  • クエリ文字列など、リクエストの指定した部分の長さ。

  • SQL 悪意のある可能性が高い コード。攻撃者は、ウェブリクエストに悪意のあるSQLコードを埋め込むことで、データベースからデータを抽出しようとします。これはインSQLジェクションと呼ばれます。

  • リクエストに表示される文字列。例えば、User-Agent ヘッダーに表示される値、またはクエリ文字列に表示されるテキスト文字列です。正規表現を使用してこれらの文字列を指定することもできます。

  • ウェブ内の以前のルールがリクエストに追加ACLしたラベル。

上記のリストにあるようなウェブリクエスト検査基準を持つステートメントに加えて、 は、ルール内のステートメントを組み合わせるためにNOT使用する ANDOR、および の論理ステートメント AWS WAF をサポートします。

例えば、攻撃者からの最近のリクエストに基づいて、次のネストされたステートメントを組み合わせた論理 AND ステートメントを使用してルールを作成できます。

  • リクエストが 192.0.2.44 から発生した。

  • リクエストの User-Agent ヘッダーに BadBot 値が含まれる。

  • クエリ文字列に SQLのようなコードが含まれているように見えます。

この場合、上位のレベルの AND に一致するようにするには、ウェブリクエストはすべてのステートメントに一致する必要があります。

トピック