WAF マネージドルールAnonymousIpListに除外ルールを設定

9月 6, 20219月 7, 2021AWS,AWS WAF

概要

• AWS WAF にマネージドルールを追加しました。その後、死活監視に利用しているIPアドレスが「AnonymousIpList」と判定され、リクエストが Block されてしまいました。
• 今回は、AWS WAF にマネージドルールを追加する方法、マネージドルールの 1つAnonymousIpListに除外ルールを設定する方法の 2点をご紹介します。

 

AWS WAF にマネージドルールを追加する

• Web ACL を選択し、Rulesを選択します。
• 「Add rules」の「Add managed rule groups」を選択します。

 

• managed rule groups の一覧から任意のマネージドルールグループを選択し、「Add to web ACL」をON にします。
• マネージドルールグループを選定する際は、こちらのドキュメントの説明を参照ください。

 

• WCU (Web ACL capacity units) のトータルが1500 に収まる様に選択して、「Add rules」を押します。

 

• 「Save rule」を押すと、Web ACL の設定がアップデートされます。

 

• 次に、ルールの優先順位を設定し、「Save」を押します。マネージドルールの追加が完了しました。

 

AnonymousIpList ルールの誤判定

• AWS WAF にマネージドルールを追加して、経過を観察しました。マネージドルールグループの 1つであるAnonymousIpList ルールによってリクエストが Block されてしまいました。

 

 

AnonymousIpListに除外ルールを設定

• AnonymousIpList ルールに除外ルールを設定します。
• IP マッチルールを作成するためのIP セットを作成します。左メニューの「IP sets」を選択します。
• 「Create IP set」を押すと、下記の画面が現れます。IP set name, Region, IP addresses を指定して、「Create IP set」ボタンを押します。

 

• 次に、Rule の「AWS-AWSManagedRulesAnonymousIpList」を選択、「Edit」を押します。

 

• 「Scope-down statement」を設定します。「If a request」に、「doesn’t match the statement (NOT)」を指定します。
• 「Statement」の「Inspect」に「Originates from an IP address in」を選択します。「IP set」は先ほど作成したIP セットを選択します。
• システムの構成に応じて、「IP address to use as the originating address」を選択します。
• 最後に、「Save rule」を押します。

 

• 上記によって、IP セットに指定したIPアドレスがAnonymousIpList ルールに除外される様になりました。

 

参考資料1

• AWS管理のマネージドルールの詳細は、下記資料を参照ください。

 

参考資料2

• AWS WAF は、サイバーセキュリティクラウドが提供している WafCharm を利用することでルールのチューニングが自動化されます。WafCharm の利用は、下記の記事を参照ください。