AWS WAF がウェブ ACL 内でルールおよびルールグループのアクションを処理する方法 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF がウェブ ACL 内でルールおよびルールグループのアクションを処理する方法

このセクションでは、AWS WAF がルールとルールグループを使用してアクションを処理する方法について説明します。

ルールとルールグループを設定する際に、一致するウェブリクエストを AWS WAF が処理する方法を選択します。

  • Allow および Block は終了アクションです – Allow および Block アクションは、一致するウェブリクエストにおけるウェブ ACL のその他の処理をすべて停止されます。ウェブ ACL のルールがリクエストに一致するものを見つけ、かつルールアクションが Allow または Block である場合、その一致によってウェブ ACL のウェブリクエストの最終的な処理が決まります。AWS WAF は、一致するルールの後に来るウェブ ACL 内の他のルールを処理しません。これに該当するのは、ウェブ ACL に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。

  • Count は非終了アクションです – Count アクションのあるルールがリクエストと一致すると、AWS WAF はリクエストをカウントし、その後にウェブ ACL ルールセットに従うルールの処理を続行します。

  • CAPTCHA および Challenge は非終了アクションまたは終了アクションである場合があります – これらのアクションが 1 つあるルールがリクエストと一致すると、AWS WAF はそのトークンステータスを確認します。リクエストに有効なトークンがある場合、AWS WAF は一致を Count と同様に処理し、その後にウェブ ACL ルールセットに従うルールの処理を続行します。リクエストに有効なトークンがない場合、AWS WAF は評価を終了し、解決する CAPTCHA パズルまたはサイレントバックグラウンドクライアントセッションのチャレンジをクライアントに送信します。

ルール評価で終了アクションが発生しない場合、AWS WAF はウェブ ACL デフォルトアクションをリクエストに適用します。詳細については、AWS WAF でのウェブ ACL のデフォルトアクションの設定 を参照してください。

ウェブ ACL では、ルールグループ内のルールのアクション設定を上書きしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、でのルールグループアクションの上書き AWS WAF を参照してください。

アクションと優先度設定の相互作用

AWS WAF がウェブリクエストに適用するアクションは、ウェブ ACL のルールの優先順位の数値設定の影響を受けます。たとえば、ウェブ ACL に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。Allow は終了アクションであるため、AWS WAF はこの一致で評価が停止し、カウントルールに対してリクエストを評価しません。

  • 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。

  • 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「ウェブ ACL でのルール優先度の設定」を参照してください。