WAF保護ルール
保護ルールは、Webトラフィックとルール基準を照合し、条件が満たされたときに実行するアクションを決定します。「保護ルールの設定」では、保護ルールに一致したときに実行する処理を示すパラメータを定義できます。推奨は、WAFセキュリティ・プロファイルの最適化に役立ちます。Security Operationsチームは、すべてのイベントをプロアクティブにモニターして、特定のルールセットのアクションに関する推奨を提供します。詳細は、サポートされている保護ルールを参照してください。
エッジ・ポリシーには、約680のルールがあります。エッジ・ポリシーの成熟度のため、複数のバージョンのコア・ルールセット(CRS)が含まれています。ルールの作成に加えて、既存のルールを継続的に更新および最適化します。脆弱性の問題のため、ルールに緩和パターンを提供できません。
WAFポリシーはCRSおよびCVEを使用して最新に保たれ、新しい定義および更新された定義は四半期ごとにリリースされます。使用中のルール定義は、予期しない動作を引き起こす可能性があるため更新されません。新しい定義は常にオフ状態でプッシュされます。
WAFポリシーごとに最大100個のルールを有効にできます。
詳細は、サポートされている保護ルールを参照してください。
APIの使用およびリクエストの署名の詳細は、REST APIのドキュメントおよびセキュリティ資格証明を参照してください。SDKの詳細は、SDKおよびCLIを参照してください。
保護ルールの推奨のリストおよび受入れ
{
"name": "SQL authentication bypass attempts",
"action": "OFF",
"description": "Detects basic SQL authentication bypass attempts.",
"exclusions": [],
"key": "981244",
"tags": "SQL Injections, Recommended"
},
{
"modSecurityRuleIds": [
"950001",
"959070",
"959071",
"959072",
"950908",
"959073"
],
"name": "Common SQL Injections",
"action": "OFF",
"description": "detects common SQL injection attacks",
"exclusions": [],
"key": "950001",
"tags": "SQL Injections, WASCTC, OWASP, A1, PCI, Recommended"
},
[
"981244",
"950001"
]
保護ルールに固有の設定
複数の保護ルール設定は、特定の保護ルールの設定です。
設定 | ルールID | ルール名 |
---|---|---|
許可されているHTTPメソッド | 911100 | HTTPリクエスト・メソッドの制限 |
合計引数の最大長 | 960341 | 合計引数の制限 |
引数の最大数 | 960335 | 引数の数の制限 |
引数の最大長 | 960208 | 値の制限 |
「引数」という語は、PUT/POSTリクエスト内の問合せパラメータまたは本文パラメータを指します。たとえば、「引数の最大数」が2で、RuleID 960335がBLOCKに設定されている場合、次のリクエストはいずれもブロックされます:
GET /myapp/path?query=one&query=two&query=three
POST /myapp/path with Body {"arg1":"one","arg2":"two","arg3":"three"}
POST /myapp/path?query=one&query=two with Body {"arg1":"one"}
「引数の最大長」は、名前または引数の値の長さです。「合計引数の最大長」は、名前と値の長さの合計を表します。
除外
Web Application Firewallサービスで例外を構成します。
保護ルールによって誤検出がトリガーされる場合もあります。誤検出を生成するリクエストに特定の引数またはCookieが含まれ、それを使用してそのリクエストがルールに通常行われるアクションから除外されることを特定できる場合は、例外を構成できます。次の除外パラメータを使用できます:
名前 |
説明 |
---|---|
リクエスト・パラメータ |
検査から除外するform-urlencoded、XML、JSON、AMPまたはPOSTペイロードのパラメータ値のリスト(パラメータ名別)。 |
リクエストCookie |
検査から除外するHTTPリクエストCookie値のリスト(Cookie名別)。 |