概念
The Cloudflare Web Application Firewall (Cloudflare WAF) checks incoming web and API requests and filters undesired traffic based on sets of rules called rulesets. The matching engine that powers the WAF rules supports the wirefilter syntax using the Rules language.
ルールは、フィルターを定義し、そのフィルターに一致する受信リクエストに対して実行するアクションを定義します。
ルールセットは、Cloudflareのグローバルネットワーク上のトラフィックに適用できる順序付けされたルールのセットです。
Cloudflare WAFには以下が含まれます:
- 管理されたルール(例えば、Cloudflare管理ルールセット)は、Cloudflareによって作成された署名ベースのルールで、既知の攻撃に対して即座に保護を提供します。
- メタデータでリクエストを豊かにするトラフィック検出(例えば、ボットスコアや攻撃スコア)。
- カスタムルールやレート制限ルールなど、特定のニーズに合わせたユーザー定義のルール。
Cloudflare WAFの主な役割は以下の2つです:
-
検出:受信リクエストを1つ以上のトラフィック検出を通じて実行し、悪意のあるまたは潜在的に悪意のある活動を見つけます。有効な検出からのスコアは、セキュリティ分析ダッシュボードで利用可能で、セキュリティの状況を分析し、最も適切な軽減ルールを決定できます。
-
軽減:カスタムルール、WAF管理ルール、レート制限ルールなどのさまざまな軽減機能を通じてリクエストをブロック、チャレンジ、または制限します。トラフィックを軽減するルールは、表現の中でトラフィックスキャンからのスコアを含めて、悪意のあるリクエストにより適切に対処できます。
WAFは現在、受信リクエスト内のセキュリティ脅威を見つけるために以下の検出を提供しています:
- ボット:トラフィックを1(ボットの可能性が高い)から99(人間の可能性が高い)までのスケールでスコアリングします。
- 攻撃:既知の攻撃のバリエーションや悪意のあるペイロードをチェックします。トラフィックを1(悪意がある可能性が高い)から99(悪意がない可能性が高い)までのスケールでスコアリングします。
- 悪意のあるアップロード:アップロードされたファイルなどのコンテンツオブジェクトをスキャンし、マルウェアのような悪意のある署名を探します。
Cloudflareダッシュボードでトラフィック検出を有効にするには、ドメイン > セキュリティ > 設定に移動します。
WAFは、セキュリティ脅威としてのトラフィックに対して以下の軽減機能を提供します:
- カスタムルール:ゾーンへのリクエストをフィルタリングすることによって、受信トラフィックを制御できます。定義したルールに従って、受信リクエストに対してブロックや管理チャレンジなどのアクションを実行できます。
- レート制限ルール:表現に一致するリクエストのレート制限を定義し、そのレート制限に達したときに実行するアクションを定義できます。
- 管理されたルール:一般的な攻撃に対して即座に保護を提供する事前構成された管理ルールセットを展開できます。
これらの軽減機能をCloudflareダッシュボードで構成するには、ドメイン > セキュリティ > WAFに移動します。
Cloudflareは、受信リクエストを処理する際に異なるタイプのルールを評価します。ルールの実行順序は以下の通りです:
- ファイアウォールルール(非推奨)
- カスタムルールセット
- カスタムルール
- レート制限ルール
- WAF管理ルール
- Cloudflareレート制限(以前のバージョン、非推奨)
各WAF機能が実行されるルールセットエンジンのフェーズに関する詳細については、WAFフェーズを参照してください。