Oracle Cloud Infrastructureドキュメント

Webアプリケーション・ファイアウォール・ポリシーの開始

Webアプリケーション・ファイアウォール・ポリシーの作成と管理を開始します。

開始する前に

Webアプリケーション・ファイアウォールに関する重要な概念については、必要なIAMサービス・ポリシーを参照してください。

WAFサービスの使用を開始するには、次が必要です:

  • 必要なIAMサービス・ポリシー権限があることを確認します。

  • 管理をより簡単かつ安全にするために、Webアプリケーション・ファイアウォール・ポリシーには別のコンパートメントを使用することをお薦めします。詳細は、コンパートメントの管理に関する項を参照してください。

  • HTTPリスナーを含むロード・バランサ。

Webアプリケーション・ファイアウォール・ポリシーを変更できるのは、ポリシー・ステータスがACTIVEの場合のみです。

Webアプリケーション・ファイアウォール・サービスへのアクセス方法

Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。

コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。

Webアプリケーション・ファイアウォール・サービスの機能および制限

Web Application Firewall (WAF)サービスには、次の機能と制限があります。

  • Webアプリケーション・ファイアウォール・ポリシー: テナント当たり100。

  • ネットワーク・アドレス・リスト: テナント当たり100。

    適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。
    ノート

    WAFサービスでは、Webアプリケーション・ファイアウォールを介したアップロードおよびダウンロード・プロセスの合計実行時間として10分が許可されています。
  • WAFポリシーはNetwork Load Balancerをサポートしていません。WAFポリシーでサポートされるのは、Load Balancerのみです。
  • TCPリスナーはWAFポリシーと互換性がありません。WAFポリシーでサポートされるのは、HTTPリスナーのみです。

  • WAFポリシーでは、IPv6がサポートされています。WAFポリシーはロード・バランサに直接アタッチされ、IPv6 Supportを選択できます。

    ロード・バランサを作成してタイプを選択した後、「IPv6アドレス割当ての有効化」を選択します。

    ロード・バランサを作成する場合、IPv4/IPv6デュアルスタック構成の使用を選択できます。IPv6オプションを選択すると、ロード・バランサ・サービスによってIPv4アドレスとIPv6アドレスの両方がロード・バランサに割り当てられます。ロード・バランサは、割り当てられたIPv6アドレスに送信されるクライアント・トラフィックを受信します。ロード・バランサは、IPv4アドレスのみを使用してバックエンド・サーバーと通信します。ロード・バランサとバックエンド・サーバー間にIPv6通信は存在しません。
    ノート

    IPv6アドレスの割当ては、ロード・バランサの作成時にのみ行われます。既存のロード・バランサにIPv6アドレスを割り当てることはできません。
  • WAFポリシーはリージョナル専用です。1つのWAFポリシーを複数のリージョンで同時に使用することはできません。
  • 1つのポリシーを複数のロード・バランサで使用できます。すべてのロード・バランサがポリシーと同じリージョンにあるかぎり、複数のロード・バランサを含むポリシーを使用できます。
  • WAFポリシー・ルールは、次の順序で実行されます。
    1. WAF requestAccessControl
    2. WAF requestRateLimiting
    3. WAF requestProtection
      1. requestProtectionルール1
        1. ヘッダー検査CHECKモードprotectionCapabilities
        2. ヘッダー検査BLOCKモードprotectionCapabilities
        3. 本文検査CHECKモードprotectionCapabilities
        4. 本文検査BLOCKモードprotectionCapabilities
      2. requestProtectionルール2
      3. requestProtectionルールN
    4. <リクエストがバックエンドに転送され、レスポンスが受信されました>
    5. WAF responseAccessControl
    6. WAF responseProtection
      1. responseProtectionルール1
        1. ヘッダー検査CHECKモードprotectionCapabilities
        2. ヘッダー検査BLOCKモードprotectionCapabilities
        3. 本文検査CHECKモードprotectionCapabilities
        4. 本文検査BLOCKモードprotectionCapabilities
      2. responseProtectionルール2
      3. responseProtectionルールN

必要なIAMサービス・ポリシー

Oracle Cloud Infrastructureを使用するには、waas-policy用のポリシー内でアクセス権を付与されている必要があります。アクションを実行しようとしたときに、権限がないか認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプおよび作業するコンパートメントを管理者に確認してください。

必須の権限リスト: 

Allow group-id to manage waas-family in compartment_ocid

Allow group-id to manage web-app-firewall in compartment_ocid

Allow group-id to manage waf-policy in compartment_ocid

Allow group-id to use waf-network-address-list in compartment_ocid

ポリシーの例:

  • 特定のユーザー・グループがテナンシのWebアプリケーション・ファイアウォールを管理できるようにするには:
    Allow group-id to manage web-app-firewall in tenancy
  • 特定のユーザー・グループが、特定のコンパートメント内のWebアプリケーション・ファイアウォール・ポリシーを検査できるようにするには:
    Allow group-id to inspect waf-policy in compartment_ocid
  • 特定のユーザー・グループがテナンシのWebアプリケーション・ファイアウォール・ネットワーク・アドレス・リストを使用できるようにするには:
    Allow group-id to use waf-network-address-list in tenancy

ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。WAFのポリシーの詳細は、WAFサービスの詳細を参照してください。