WAF ポリシー用の DoS の有効化

既存の DoS ポリシーのアクション (指定された期間 IP アドレスをブロックするなど) を WAF エラーに適用するように設定できます。WAF ポリシーの場合、WAF エラーは拒否されて、状況コード ​400​ が返されますが、WAF 処理はコストが高いため、WAF エラーを DoS ポリシーに追加してリソースの使用を保護することをお勧めします。

WAF エラーに対応する DoS ポリシー (DoS しきい値を適用) を設定しないと、リクエストボディの解析で CPU の大部分をコンシュームする可能性があります。受信する要求が多いと、エラーを検出するだけで、CPU の大部分をコンシュームします。 DoS しきい値が実装されている場合、DoS のしきい値を超えると、リクエストボディの解析が停止します。

ブロックされている IP アドレスから接続が試行されると、その IP アドレスのみに基づいて要求が拒否されます。これは、極めて効率的です。DoS で ​[Drop Silently (自動的に削除)]​ が有効になっている場合、TLS 接続は試行されず、さらにリソースを節約できます。

悪意のあるソースの IP アドレスから、WAF がトリガされない多くの要求が試行されることがあります。これらの要求の一部は、有効であるように見える可能性があります。DoS しきい値を超えると、識別された IP アドレスのすべての要求 (正当または不正) が削除されます。

WAF ポリシーを DoS にエスカレートする

WAF ポリシーを DoS にエスカレートするには、​[Denial of Service Policy (サービス拒否ポリシー)]​ が存在することを確認します。

  1. [Security Policies (セキュリティポリシー)]​ のリストで DoS ポリシーを選択し、​[Edit (編集)]​ をクリックします。

  2. 左側のメニューで ​[WAF Errors (WAF エラー)]​ をクリックします。

  3. WAF エラーを設定し、​[Save Policy (ポリシーを保存)]​ をクリックします。
    DoS ポリシーで設定するしきい値で、すべての WAF エラーが処理されます。

    WAF エラーの例

    この例の ​[Rule A (ルール A)]​ では、60 秒以内に 10 件を超える WAF エラーを受信すると、ソース IP アドレスのすべての要求が制限されます。デフォルトは 60 秒ですが、この値は DoS ポリシーの ​[General (一般)]​ タブで変更できます。

[Rule B (ルール B)]​ に表示されている設定では、​[Rule A (ルール A)]​ の間隔の 5 倍の期間 (このケースでは、5 × 60 秒) に IP アドレスで指定の WAF エラーが 3 回発生すると、その IP アドレスが無制限にブロックされます。

DoS ポリシーの設定についての詳細は、​「サービス拒否ポリシー」​を参照してください。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub