ルールセットのロジック
マジックファイアウォールのルールは、CloudflareのDDoS緩和策が適用された後に実行されます。これらの2つのシステムは独立しており、したがって、マジックファイアウォール内でのトラフィックの許可は、私たちのDDoS緩和策内での許可を意味しません。トラフィックは、Cloudflareのシステムを通過する際に最初に適用されるDDoS緩和策によってブロックされる可能性があります。
デフォルトでは、マジックファイアウォールは明示的にルールによってブロックされるまで、すべてのトラフィックを許可します。ルールが構成されていない場合、CloudflareのDDoS緩和策が適用された後、すべてのトラフィックが許可されます。
セキュリティポリシーを構成するための2つのオプションがあります:
- ポジティブセキュリティモデルを強制し、必要なトラフィックのみを許可し、それ以外はすべてブロックします。
- 最小限のルールセットから始めて特定のトラフィックをブロックし、デフォルトではそれ以外のすべてを許可します。
トラフィックは、構成されたルールの順序で照合されます。トラフィックが有効なルールによって照合されると、それ以降のルールに対してはもはや検証されず、トラフィックは無効なルールを通過します。ダッシュボードのマジックファイアウォールの下では、ルールの順序は上から始まり、ルールのリストを下に流れます。
例えば、ルール#4で全てのTCPトラフィックを許可する場合、全てのTCPトラフィックが許可されることになります。IPアドレスx.x.x.xのトラフィックをブロックするルール#5はチェックされません。
セキュリティポリシーを構成する際のベストプラクティスについては、ベストプラクティスを参照してください。
Cloudflareからのトラフィックも、構成したマジックファイアウォールのルールの対象となります。すべてのICMPトラフィックをブロックすると、Cloudflareのエンドポイントヘルスチェックもブロックされます。ICMPトラフィックをブロックする際は、最初にCloudflareのパブリックIPからあなたのプレフィックスエンドポイントIPへのICMPを許可するルールを適用してから、ICMPブロックルールを適用してください。
CloudflareのパブリックIPのリストについては、IP範囲 ↗を参照してください。
マジックファイアウォールは、トラフィックを2つのフェーズで処理します:最初のフェーズでは、マジックファイアウォールがカスタムフェーズのルールに対してパケットを照合します。2番目のフェーズでは、マジックファイアウォールが管理フェーズのルールに対してパケットを照合します。
マジックファイアウォールのカスタムフェーズは、ユーザーによって定義されたルールのセットです。これらのルールの表現、順序、およびアクションは、ユーザーによってカスタマイズできます。
さらに、ユーザーはこのカスタムフェーズにルールを追加して、管理フェーズのルールの動作を上書きすることができます。
管理フェーズのルールセットはCloudflareによって更新および維持され、Cloudflareはベストプラクティス、既知の悪意のあるパターン、およびその他の基準に基づいてこれらのルールを作成します。
Cloudflareは、管理フェーズのルールの表現と実行順序を維持します。ルールは有効、無効、または一致したパケットをログに記録するように設定できます。
詳細については、管理ルールセットを有効にするを参照してください。