コンテンツにスキップ

WAF管理ルール(旧バージョン)

管理ルールは、Cloudflare WAF(Webアプリケーションファイアウォール)の機能であり、HTTP GET および POST リクエストに対する疑わしい活動を特定し、排除します。

管理ルールが特定する悪意のあるコンテンツの例には、以下が含まれます:

  • コメントスパムで使用される一般的なキーワード(XXRolexViagraなど)
  • クロスサイトスクリプティング攻撃(XSS)
  • SQLインジェクション(SQLi)

WAF管理ルール(旧バージョン)は、Pro、Business、およびEnterpriseプランで、Cloudflareにプロキシされた任意のサブドメインに利用可能です。管理ルールの設定は、セキュリティ > WAF > 管理ルールで制御します。

管理ルールには、以下の3つのパッケージが含まれています:

セキュリティイベントダッシュボードのアクティビティログを使用して、WAF管理ルールによってブロックされた脅威を確認できます。ダッシュボードは、セキュリティ > イベントで利用可能です。

Cloudflare管理ルールセット

Cloudflare管理ルールセットには、Cloudflareによって作成およびキュレーションされたセキュリティルールが含まれています。グループの下でルールセット名を選択すると、ルールの説明が表示されます。

Cloudflare Specialsは、一般的な攻撃に対するコアファイアウォールセキュリティを提供するグループです。

ルールセットを表示すると、Cloudflareはデフォルトモードの下にリストされた各ルールのデフォルトアクションを示します。特定のCloudflare管理ルールセット内の個々のルールに対して利用可能なモードは以下の通りです:

  • デフォルト:特定のルールを表示する際に、デフォルトモードにリストされたデフォルトアクションを取ります。
  • 無効:グループ内の特定のルールをオフにします。
  • ブロック:リクエストを破棄します。
  • インタラクティブチャレンジ:訪問者はインタラクションを必要とするチャレンジページを受け取ります。
  • シミュレート:リクエストは通過しますが、アクティビティログに記録されます。

CloudflareのWAF変更ログを使用すると、顧客はCloudflare管理ルールセットの継続的な変更を監視できます。

OWASP ModSecurityコアルールセット

OWASP ModSecurityコアルールセットパッケージは、各リクエストに対して、どれだけのOWASPルールがトリガーされるかに基づいてスコアを割り当てます。一部のOWASPルールは、他のルールよりも高い感度スコアを持っています。

OWASPがリクエストを評価した後、Cloudflareは最終スコアをゾーンに設定された感度と比較します。スコアが感度を超えると、リクエストはパッケージ:OWASP ModSecurityコアルールセット内で設定されたアクションに基づいて処理されます:

  • ブロック:リクエストは破棄されます。
  • チャレンジ:訪問者はインタラクティブなチャレンジページを受け取ります。
  • シミュレート:リクエストは通過しますが、アクティビティログに記録されます。

特定の感度をトリガーするために必要な感度スコアは以下の通りです:

  • :60以上
  • :40以上
  • :25以上

AJAXリクエストの場合、以下のスコアが適用されます:

  • :120以上
  • :80以上
  • :65以上

最終スコアとトリガーされた個々のルールについては、アクティビティログを確認してください。

OWASPパッケージの制御

OWASP ModSecurityコアルールセットパッケージには、OWASPプロジェクトからのいくつかのルールが含まれています。CloudflareはOWASPルールを作成またはキュレーションしません。Cloudflare管理ルールセットとは異なり、特定のOWASPルールはオンまたはオフに設定されます。

OWASPの閾値を管理するには、パッケージ:OWASP ModSecurityコアルールセットの下で感度、またはに設定します。

感度オフに設定すると、すべてのルールを含むOWASPパッケージ全体が無効になります。適切な感度を決定するには、ビジネス業界や運用に依存します。たとえば、設定は以下のような場合に適しています:

  • WAFをトリガーする可能性が高い特定のビジネス業界。
  • 大きなファイルのアップロード。

高い感度では、大きなファイルのアップロードがWAFをトリガーします。

Cloudflareは、最初に感度をに設定し、偽陽性を確認してから感度をさらに上げることを推奨します。

重要な注意事項

  • 管理ルールは、限られた量のレイテンシを導入します。

  • WAF管理ルールの変更は、グローバルに更新されるまで約30秒かかります。

  • Cloudflareは、トラフィックをフィルタリングするために独自のルールを使用します。

  • 確立されたWebSocketは、その後のリクエストに対して管理ルールをトリガーしません。

  • 管理ルールは、APIを対象とした脆弱性を特定するためにJSONレスポンスを解析します。JSONペイロードの解析は128 KBに制限されています。

  • 管理ルールは、パディング技術を軽減します。Cloudflareは以下を推奨します:

    1. ルールID 100048を有効にします。このルールはパディングタイプの攻撃から保護しますが、顧客環境で偽陽性を引き起こす可能性が高いため、デフォルトでは展開されていません。ただし、顧客は管理ルールの設定を調整することが重要です。

    2. ヘッダーやボディをチェックして大きなペイロード(> 128 KB)をブロックする必要がある場合は、式エディタを使用してWAFカスタムルールを作成します。この目的のために以下のフィールドを使用します:

      • http.request.body.truncated
      • http.request.headers.truncated

      ルールが偽陽性を生成する可能性があるため、最初にログモードでルールをテストすることをお勧めします(利用可能な場合)。

  • Cloudflareは、Cloudflareダッシュボードで管理ルールをオフにしても無効にしない管理ルールがいくつかあります。たとえば、ルールID WP0025B100043A、および100030などです。

関連リソース

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings