Oracle Cloud Infrastructureドキュメント

WAFの開始

Oracle Cloud Infrastructure WAFの新しい場合、このトピックでは続行方法に関するガイダンスを提供します。

始める前に

WAFサービスの使用を開始するには、HTTPS/443でサイトを実行する場合、次の情報が必要です:

  • アプリケーションの完全修飾ドメイン名(FQDN)の公開証明書。
  • サイトに対応する秘密キー。
  • アプリケーションのLBaaSまたはその他のパブリック対応エンドポイントのIPアドレス。
  • ドメインのDNSレコードを更新する機能。

WAFの保護

WAFを保護するには、WAFサーバーからトラフィックを受け入れるようにサーバーを構成する必要があります。 次のCIDR範囲からの接続のみを受け入れるようにオリジン・イングレス・ルールを構成してください:

  • 192.157.18.0/23
  • 205.147.88.0/21
  • 192.69.118.0/23
  • 198.181.48.0/21
  • 199.195.6.0/23

WAFを介してトラフィックをルーティングするポリシーの作成

開始するには、ルールを有効にしないでWAFを介してトラフィックをルーティングするポリシーを作成します。 ルールを有効にしないでポリシーを作成することで、アプリケーションの前に逆のプロキシを設定しても、低下が発生しないことを保証できます。

ポリシーを作成するには

DNSを有効に更新WAF

このステップでは、インターネット・クライアントからWAFにリクエストをルーティングするようにゾーンのCNAMEを更新します。 このDNS変更をコンソールで行うには、次の手順を使用します。 DNSの設定が別のプロバイダにある場合は、その手順のドキュメントを参照してください。

ゾーンのCNAMEを更新するには

証明書およびキーのアップロード

このステップでは、サイトがHTTPS/443で実行されていることを前提としています。

証明書とキーをアップロードするには

アプリケーションのテスト

このステップでは、リクエストがWAFにルーティングされていること、およびアプリケーションがトポロジ内のリバース・プロキシを使用して正常に機能することを確認します。

アプリケーションをテストするには

単にルールを検出するようにWAFを有効化

このステップでは、WAFを有効にして、リクエストをブロックせずに保護ルールを検出できます。 WAFを過渡的にルールを検出できるようにすると、サイトに対する脅威にさらされる可能性があるトラフィックをビジュアル化しやすくなり、falseのポジティブを除外するようにWAFをチューニングできます。

WAFで保護ルールを検出できるようにするには
WAFでアクセス・ルールを検出できるようにするには

ルールのテスト

ポリシーがアクティブである場合、ルールがWAFによって検出されたことをテストできます。

リクエストを開始するには
WAFがリクエストの検出をしていることを確認するには

推奨の表示

保護ルール推奨を表示するには

  1. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、セキュリティに移動して「WAFポリシー」をクリックします。

  2. 保護ルール推奨を表示するWAFポリシーの名前をクリックします。WAFポリシー概要が表示されます。
  3. 「保護ルール」をクリックします。
  4. 「推奨」タブをクリックします。 このリストは、WAFWAFのフローを検出したトラフィックに基づいて生成されます。 このリストに何も表示されない場合は、アプリケーションのFQDNをテストし、後で確認してください。
  5. 「検出」推奨処理のある保護ルールを選択し、「推奨事項の受入れ」をクリックします。

ヒント

「推奨操作」フィルタを使用して、推奨を「検出」で見つけることができます。

WAFをアクティブにブロックするリクエストの有効化

リクエストが検出されていることを確認した後で、望ましくないトラフィックのブロックを開始できます。

  1. 「ナビゲーション・メニュー」を開きます。 ガバナンスと管理の下で、セキュリティに移動して「WAFポリシー」をクリックします。

  2. ルール設定を構成するWAFポリシーの名前をクリックします。 WAFポリシー概要が表示されます。
  3. 「保護ルール」をクリックします。
  4. 「ルールID」フィルタにルールID 941140を入力します。
  5. (オプション)検出アクションを持つルールを検索するには、「ルール・アクション」フィルタから「検出」チェック・ボックスを選択します。
  6. ルールID 941140「アクション」ドロップダウン・メニューおよびフィルタリングしたその他の保護ルールから、「ブロック」を選択します。
  7. WAFポリシーで、「公開されていない変更」をクリックします。
  8. 「すべて公開」をクリックします。
  9. 「変更を公開」ダイアログ・ボックスで、「すべて公開」をクリックします。
  10. 「ルールのテスト」リクエストを開始することにより、再実行します。 URLでJavaScriptでテストするときは、403禁止エラーを取得する必要があります。