もう8月も終わりですね。みえないプログラマです。

 

最近、AWSのWAFを設定する機会があったので、ルールの選び方やその決まりについて備忘がてらのメモです。

 

AWSのWAFでは、リクエストを検査する方法をルールとして設定する。

このルールにはヘッダーなどのリクエストの中身からどのように許可(拒否)するかを独自で設定できるほか、AWSやセキュリティ会社が提供するマネージドのルールがある。マネージドルールの場合、追加で料金がかかるものもあるため注意する。

ルールにはその処理の重さに応じてWCUというコストが設定されていて、デフォルトで1500、問い合わせによる拡張で5000以下になるようにルールを選択する必要がある。そのため、何でもかんでもルールを設定すれば良いというわけではなく、取捨選択が必要。

 

ルールを設定する際、本番でいきなり有効にすると本来許可されるべきなリクエストが弾かれてしまうこともある。そのため、まずはblockではなくcountモードで設定して、一通りの流れを試すと良い。もし引っかかった場合はログに記録が残るので、対策の設定をしたのちblockモードに切り替える。(でも、本番ではない環境で試せるのがベストかな…わかりやすいので。)

 

それでは！