Webアプリケーション・ファイアウォール・ポリシーの開始
Webアプリケーション・ファイアウォール・ポリシーの作成と管理を開始します。
開始する前に
Webアプリケーション・ファイアウォールに関する重要な概念については、必要なIAMサービス・ポリシーを参照してください。
WAFサービスの使用を開始するには、次が必要です:
-
必要なIAMサービス・ポリシー権限があることを確認します。
-
管理をより簡単かつ安全にするために、Webアプリケーション・ファイアウォール・ポリシーには別のコンパートメントを使用することをお薦めします。詳細は、コンパートメントの管理に関する項を参照してください。
-
HTTPリスナーを含むロード・バランサ。
Webアプリケーション・ファイアウォール・ポリシーを変更できるのは、ポリシー・ステータスがACTIVEの場合のみです。
Webアプリケーション・ファイアウォール・サービスへのアクセス方法 🔗
Oracle Cloud Infrastructure (OCI)には、コンソール(ブラウザベースのインタフェース)、REST APIまたはOCI CLIを使用してアクセスできます。 コンソール、APIおよびCLIの使用手順は、このドキュメント全体のトピックに記載されています。使用可能なSDKのリストについては、ソフトウェア開発キットとコマンドライン・インタフェースを参照してください。
コンソールにアクセスするには、サポートされているブラウザを使用する必要があります。コンソールのサインイン・ページに移動するには、このページ上部のナビゲーション・メニューを開き、「インフラストラクチャ・コンソール」をクリックします。クラウド・テナント、ユーザー名およびパスワードの入力を求められます。
Webアプリケーション・ファイアウォール・サービスの機能および制限 🔗
Web Application Firewall (WAF)サービスには、次の機能と制限があります。
-
Webアプリケーション・ファイアウォール・ポリシー: テナント当たり100。
-
ネットワーク・アドレス・リスト: テナント当たり100。
適用可能な制限のリストと制限の引上げをリクエストする手順は、サービス制限を参照してください。リソースまたはリソース・ファミリにコンパートメント固有の制限を設定するために、管理者は、コンパートメント割当てを使用できます。ノート
WAFサービスでは、Webアプリケーション・ファイアウォールを介したアップロードおよびダウンロード・プロセスの合計実行時間として10分が許可されています。
- WAFポリシーはNetwork Load Balancerをサポートしていません。WAFポリシーでサポートされるのは、Load Balancerのみです。
- TCPリスナーはWAFポリシーと互換性がありません。WAFポリシーでサポートされるのは、HTTPリスナーのみです。
-
WAFポリシーでは、IPv6がサポートされています。WAFポリシーはロード・バランサに直接アタッチされ、IPv6 Supportを選択できます。
ロード・バランサを作成してタイプを選択した後、「IPv6アドレス割当ての有効化」を選択します。
ロード・バランサを作成する場合、IPv4/IPv6デュアルスタック構成の使用を選択できます。IPv6オプションを選択すると、ロード・バランサ・サービスによってIPv4アドレスとIPv6アドレスの両方がロード・バランサに割り当てられます。ロード・バランサは、割り当てられたIPv6アドレスに送信されるクライアント・トラフィックを受信します。ロード・バランサは、IPv4アドレスのみを使用してバックエンド・サーバーと通信します。ロード・バランサとバックエンド・サーバー間にIPv6通信は存在しません。ノート
IPv6アドレスの割当ては、ロード・バランサの作成時にのみ行われます。既存のロード・バランサにIPv6アドレスを割り当てることはできません。 - WAFポリシーはリージョナル専用です。1つのWAFポリシーを複数のリージョンで同時に使用することはできません。
- 1つのポリシーを複数のロード・バランサで使用できます。すべてのロード・バランサがポリシーと同じリージョンにあるかぎり、複数のロード・バランサを含むポリシーを使用できます。
- WAFポリシー・ルールは、次の順序で実行されます。
- WAF requestAccessControl
- WAF requestRateLimiting
- WAF requestProtection
- requestProtectionルール1
- ヘッダー検査CHECKモードprotectionCapabilities
- ヘッダー検査BLOCKモードprotectionCapabilities
- 本文検査CHECKモードprotectionCapabilities
- 本文検査BLOCKモードprotectionCapabilities
- requestProtectionルール2
- requestProtectionルールN
- requestProtectionルール1
- <リクエストがバックエンドに転送され、レスポンスが受信されました>
- WAF responseAccessControl
- WAF responseProtection
- responseProtectionルール1
- ヘッダー検査CHECKモードprotectionCapabilities
- ヘッダー検査BLOCKモードprotectionCapabilities
- 本文検査CHECKモードprotectionCapabilities
- 本文検査BLOCKモードprotectionCapabilities
- responseProtectionルール2
- responseProtectionルールN
- responseProtectionルール1
必要なIAMサービス・ポリシー 🔗
Oracle Cloud Infrastructureを使用するには、waas-policy用のポリシー内でアクセス権を付与されている必要があります。アクションを実行しようとしたときに、権限がないか認可されていないというメッセージが表示された場合は、付与されているアクセス権のタイプおよび作業するコンパートメントを管理者に確認してください。
必須の権限リスト:
Allow group-id to manage waas-family in compartment_ocid
Allow group-id to manage web-app-firewall in compartment_ocid
Allow group-id to manage waf-policy in compartment_ocid
Allow group-id to use waf-network-address-list in compartment_ocid
ポリシーの例:
- 特定のユーザー・グループがテナンシのWebアプリケーション・ファイアウォールを管理できるようにするには:
Allow group-id to manage web-app-firewall in tenancy
- 特定のユーザー・グループが、特定のコンパートメント内のWebアプリケーション・ファイアウォール・ポリシーを検査できるようにするには:
Allow group-id to inspect waf-policy in compartment_ocid
- 特定のユーザー・グループがテナンシのWebアプリケーション・ファイアウォール・ネットワーク・アドレス・リストを使用できるようにするには:
Allow group-id to use waf-network-address-list in tenancy
ポリシーを初めて使用する場合は、ポリシーの開始および共通ポリシーを参照してください。WAFのポリシーの詳細は、WAFサービスの詳細を参照してください。