AWS WAF がルールおよびルールグループのアクションを処理する方法 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS WAF がルールおよびルールグループのアクションを処理する方法

このセクションでは、AWS WAF がルールとルールグループを使用してアクションを処理する方法について説明します。

ルールとルールグループを設定する際に、一致するウェブリクエストを AWS WAF が処理する方法を選択します。

  • Allow および Block は終了アクションです – Allow および Block アクションは、一致するウェブリクエストにおける保護パック (ウェブ ACL) のその他の処理をすべて停止されます。保護パック (ウェブ ACL) のルールがリクエストに一致するものを見つけ、かつルールアクションが Allow または Block である場合、その一致によってウェブ ACL のウェブリクエストの最終的な処理が決まります。AWS WAF は、一致するルールの後に来るウェブ ACL 内の他のルールを処理しません。これに該当するのは、保護パック (ウェブ ACL) に直接追加するルールや、追加されたルールグループに属するルールです。Block アクションでは、保護されたリソースはウェブリクエストを受信または処理しません。

  • Count は非終了アクションです – Count アクションのあるルールがリクエストと一致すると、AWS WAF はリクエストをカウントし、その後に保護パック (ウェブ ACL) ルールセットに従うルールの処理を続行します。

  • CAPTCHA および Challenge は非終了アクションまたは終了アクションである場合があります – これらのアクションが 1 つあるルールがリクエストと一致すると、AWS WAF はそのトークンステータスを確認します。リクエストに有効なトークンがある場合、AWS WAF は一致を Count と同様に処理し、その後に保護パック (ウェブ ACL) ルールセットに従うルールの処理を続行します。リクエストに有効なトークンがない場合、AWS WAF は評価を終了し、解決する CAPTCHA パズルまたはサイレントバックグラウンドクライアントセッションのチャレンジをクライアントに送信します。

ルール評価で終了アクションが発生しない場合、AWS WAF は保護パック (ウェブ ACL) デフォルトアクションをリクエストに適用します。詳細については、「AWS WAF での保護パック (ウェブ ACL) のデフォルトアクションの設定」を参照してください。

保護パック (ウェブ ACL) では、ルールグループ内のルールのアクション設定をオーバーライドしたり、ルールグループによって返されるアクションを上書きしたりできます。詳細については、「AWS WAF でのルールグループアクションの上書き」を参照してください。

アクションと優先度設定の相互作用

AWS WAF がウェブリクエストに適用するアクションは、保護パック (ウェブ ACL) のルールの優先順位の数値設定の影響を受けます。例えば、保護パック (ウェブ ACL) に Allow アクションと 50 の優先順位の数値を持つルール、ならび Count アクションと 100 の優先順位の数値を持つ別のルールがあるとします。AWS WAF は優先順位に応じて最小のものからウェブ ACL 内のルールが評価するため、許可ルールをカウントルールより先に評価します。両方のルールに一致するウェブリクエストは、最初に許可ルールに一致します。Allow は終了アクションであるため、AWS WAF はこの一致で評価が停止し、カウントルールに対してリクエストを評価しません。

  • 許可ルールに一致しないリクエストのみをカウントルールメトリクスに含める場合は、ルールの優先度設定が便利です。

  • 一方、許可ルールに一致するリクエストに対してもカウントルールのカウントメトリクスを取得する場合、カウントルールには許可ルールより小さい優先順位の数値を設定し、先に実行されるようにする必要があります。

優先順位の設定の詳細については、「ルールの優先度を設定する」を参照してください。