エッジ・ポリシーのアクセス・ルール
Web Application Firewallを使用して、エッジ・ポリシー内のアクセス・ルールを管理します。
WAF管理者は、様々な条件を満たすリクエストに対して明示的なアクションを定義できます。条件では、様々な操作および正規表現を使用します。一致したすべてのリクエストのCAPTCHAをログに記録して許可、検出、ブロック、リダイレクト、バイパスまたは表示するようにルール・アクションを設定できます。
次の情報は、アクセス・ルールで使用可能な条件を示しています。
| 基準タイプ | 基準 |
|---|---|
| URL |
次に基づいて1つ以上の基準を定義します:
URL正規表現一致では、Perl互換の正規表現が使用されます。 アクセス・ルールでのURLベースの一致は、同じドメイン上の場所(たとえば、/login.php)に対するものです。完全な絶対URLをターゲットにするには、ヘッダー一致(Host: www.example.com)とURL "/login.php"の組合せを使用できます。 |
| IPアドレス |
次に基づいて1つ以上の基準を定義します:
これらの値は、範囲に対する有効なIPv4アドレス、サブセットまたはCIDR表記にすることができます。IPアドレス基準を使用して、IPアドレスとCIDR範囲の両方に固有の受信トラフィックを制限できます。IPv6はまだサポートされていません。 アクセス・ルールで使用できるIPアドレスのリストを作成する方法の詳細は、「エッジ・ポリシーのIPアドレス・リスト」を参照してください。 |
| 国/リージョン |
次に基づいて1つ以上の基準を定義します:
APIの場合、2文字の国コードを使用します。 |
| ユーザー・エージェント |
ブラウザ・クライアントを指定します。
|
| HTTPヘッダー |
基準として評価します:
「HTTPヘッダーは次を含みます」では、<name>: <value>のようにコロンで区切って値を入力します。ワイルドカードは使用できません。 |
| HTTPメソッド |
基準として評価します:
使用可能なメソッドには、GET、POST、PUT、DELETE、HEAD、CONNECT、OPTIONS、TRACEおよびPATCHがあります。 |
- 「Access Rules」と「IP Whitelist」タブを処理するシーケンスでは、最初にIPホワイトリストがトリガーされます。IPアドレスがIPアドレス許可リストにない場合、順序はアクセス・ルールに移動します。
- WAFでは、次のHTTPリダイレクト・レスポンス・コードがサポートされています:
- 301 - 永続的に移動: このレスポンス・コードは、WebサイトがリダイレクトURLに永久的に移動されていて、検索エンジンがそれを索引付けする場合に使用します。
- 302 - 一時的リダイレクト: このレスポンス・コードは、特定のURLが別のアドレスに短期間変更されている場合に使用します。
- CAPTCHAはフル・ページとしてのみ含めることができ、Webサイトのインライン・コンポーネントとして含めることはできません。
- アクセス・ルールの順序を変更できるのは、APIを使用してリストされたルールを手動で並べ替える場合のみです。
- BLOCK処理を使用してアクセス・ルールを作成する場合は、アクセス・ルールの順序を変更できません。
- 特定のIPアドレスを除くすべてをブロックする最も簡単な方法は、「IPアドレスがアドレス・リストにない」場合にブロックする単一のアクセス・ルールを作成することです。このルールは、IPアドレス・リストにあるIPアドレス以外のすべてのトラフィックをブロックします。他のセキュリティ機能が有効になっている場合は、アドレス・リスト内のIPアドレスに対しても、まだアクティブです。すべてのセキュリティ対策をバイパスするには、IPアドレスをIPアドレス・ホワイトリストに追加します。