WAF マネージドルールAnonymousIpListに除外ルールを設定
概要
- AWS WAF にマネージドルールを追加しました。その後、死活監視に利用しているIPアドレスが「AnonymousIpList」と判定され、リクエストが Block されてしまいました。
- 今回は、AWS WAF にマネージドルールを追加する方法、マネージドルールの 1つAnonymousIpListに除外ルールを設定する方法の 2点をご紹介します。
AWS WAF にマネージドルールを追加する
- Web ACL を選択し、Rulesを選択します。
- 「Add rules」の「Add managed rule groups」を選択します。
- managed rule groups の一覧から任意のマネージドルールグループを選択し、「Add to web ACL」をON にします。
- マネージドルールグループを選定する際は、こちらのドキュメントの説明を参照ください。
- WCU (Web ACL capacity units) のトータルが1500 に収まる様に選択して、「Add rules」を押します。
- 「Save rule」を押すと、Web ACL の設定がアップデートされます。
- 次に、ルールの優先順位を設定し、「Save」を押します。マネージドルールの追加が完了しました。
AnonymousIpList ルールの誤判定
- AWS WAF にマネージドルールを追加して、経過を観察しました。マネージドルールグループの 1つであるAnonymousIpList ルールによってリクエストが Block されてしまいました。
AnonymousIpListに除外ルールを設定
- AnonymousIpList ルールに除外ルールを設定します。
- IP マッチルールを作成するためのIP セットを作成します。左メニューの「IP sets」を選択します。
- 「Create IP set」を押すと、下記の画面が現れます。IP set name, Region, IP addresses を指定して、「Create IP set」ボタンを押します。
- 次に、Rule の「AWS-AWSManagedRulesAnonymousIpList」を選択、「Edit」を押します。
- 「Scope-down statement」を設定します。「If a request」に、「doesn’t match the statement (NOT)」を指定します。
- 「Statement」の「Inspect」に「Originates from an IP address in」を選択します。「IP set」は先ほど作成したIP セットを選択します。
- システムの構成に応じて、「IP address to use as the originating address」を選択します。
- 最後に、「Save rule」を押します。
- 上記によって、IP セットに指定したIPアドレスがAnonymousIpList ルールに除外される様になりました。
参考資料1
- AWS管理のマネージドルールの詳細は、下記資料を参照ください。
参考資料2
- AWS WAF は、サイバーセキュリティクラウドが提供している WafCharm を利用することでルールのチューニングが自動化されます。WafCharm の利用は、下記の記事を参照ください。