注文と優先順位
Cloudflareのファイアウォールルール(現在は非推奨)は、HTTPリクエストのためのより大きな評価チェーンの一部であり、以下の図に示されています。例えば、ファイアウォールルールは、最初にIPアクセスルールをクリアしたリクエストのみを評価します。チェーンのいずれかの段階でルールによってリクエストがブロックされた場合、Cloudflareはそのリクエストをさらに評価しません。
デフォルトでは、Cloudflareはファイアウォールルールをリスト順で評価します。これは、ルールがファイアウォールルールリストに表示される順序で評価されることを意味します。リスト順は、少数のルールを扱う際に便利で、ドラッグアンドドロップで順序を管理できます。しかし、ルールの数が増えると、リスト順での管理が難しくなります。ここで優先順位の順序が重要になります。
優先順位の順序が有効になっている場合、Cloudflareはファイアウォールルールを優先順位番号の順に評価し、最も低い番号から始めます。同じ優先順位の2つのルールにリクエストが一致した場合、アクションの優先度がそのタイを解決するために使用されます。この場合、最も高い優先度を持つルールのアクションのみが実行されます。ただし、そのアクションがLogまたはBypassである場合は除きます(詳細についてはファイアウォールルールのアクションを参照してください)。優先順位の順序は、大量のファイアウォールルールを管理するのを非常に簡単にし、ルールの数が200を超えると、Cloudflareはこれを要求します。
比較的少数のファイアウォールルール(200を超えない)を持つユーザーは、デフォルトでリスト順が有効になっていることに気付くでしょう。リスト順が有効になっている場合、ルールリストではファイアウォールルールをドラッグアンドドロップで位置を変更できます。以下に示すように:
200を超える合計ルール(非アクティブルールを含む)がある場合、優先順位の順序を使用して評価を管理する必要があります。この閾値を超えると、ファイアウォールルールインターフェースは自動的に優先順位の順序に切り替わります。
アクティブおよび非アクティブなファイアウォールルールの数が200を超えると、優先順位の順序が自動的に有効になりますが、ルールリストからいつでも手動で優先順位の順序を有効にすることができます。
Cloudflareのファイアウォールルールはデフォルトの優先順位を課さず、すべてのルールに優先順位を設定する必要はありません。
手動で優先順位の順序を有効にするには:
- ルールリストの上部でOrderingを選択します。
- Priority Numbersを選択します。
優先順位の順序が有効になると、各ファイアウォールルールに対して優先順位番号を設定できます。
ファイアウォールルールの優先順位番号を設定するには:
-
ルールリストで目的のルールを見つけてEdit(レンチアイコン)を選択します。
-
Edit firewall ruleパネルで、Priorityに正の整数値を入力します。
-
Saveを選択します。
ルールリストのPriority列には、各ルールの優先順位値が表示されます。
Cloudflareは優先順位の順序を非常に柔軟に設計しています。この柔軟性は、Cloudflare APIを介して大規模なルールセットをプログラム的に管理する際に特に便利です。priorityプロパティを設定するには、ファイアウォールルールの更新コマンドを使用します。詳細についてはCloudflare API: ファイアウォールルールを参照してください。
優先順位番号のスキームは任意で構いませんが、以下の点に留意してください:
-
評価シーケンスは最も低い優先順位番号から始まり、最も高い番号に進みます。
-
優先順位番号がないルールは最後に評価され、そのアクションの優先度の順に評価されます。例えば、Logアクションを持つルールは、Blockアクションを持つルールよりも先に評価されます。アクションの優先度については、ファイアウォールルールのアクションを参照してください。
-
将来のルール順序の変更を容易にするために、優先順位として
1を使用することは避けてください。 -
優先順位番号の範囲を、デプロイメントに意味のあるカテゴリにグループ化することを検討してください。以下はその例です:
- 5000-9999: 信頼されたIPアドレス
- 10000-19999: 悪質なクローラーのためのブロックルール
- 20000-29999: 悪用ユーザー/スパムのためのブロックルール