AWS WAF を使用して、User-Agent ヘッダーを指定しない HTTP リクエストをブロックする方法
最終更新日: 2019 年 12 月 6 日
リクエストに User-Agent ヘッダーがないか、User-Agent ヘッダー値が空である HTTP リクエストをブロックしたいと考えています。AWS WAF を使用してこれらのリクエストをブロックする方法
簡単な説明
デフォルトでは、AWS WAF フィルタは HTTP リクエストパラメータをチェックしません。ただし、HTTP リクエストを確認するために、以下のいずれかの条件でルールを作成できます。
解決方法
方法 #1: 正規表現一致条件でルールを作成する
まず、正規表現一致条件を作成します。
- AWS WAF コンソールを開きます。
- ナビゲーションペインで、[String and Regex matching] を選択します。
- [Create condition] を選択します。
- [Name] に「UA-condition」と入力します。
- [Region] で、ウェブアクセスコントロールリスト (web ACL) を作成したリージョンを選択します。
注意 : web ACL が Amazon CloudFront 用に設定されている場合は、[Global] を選択します。 - [Type] で、[Regex match] を選択します。
- [Part of the request to filter on] で、[Header] を選択します。
- [Header] で、[User-Agent] を選択します。
- [Transformation] で、 [None] を選択します。
- [Regex patterns to match to request] では、デフォルトの [Create regex pattern set] を選択したままにします。
- [New pattern set name] に 「testpattern」と入力します。
- 正規表現「+」を入力し、プラス [+] 記号を選択します。
注意: 正規表現 (regex) は、行末記号を除くすべての文字に一致します。 - [Create pattern set and add filter] を選択します。
- [Create] を選択します。
次に、ルールを作成し、条件を追加します。
- ナビゲーションペインで [Rules] をクリックします。
- [Create Rule] を選択します。
- [Name] に [UA-Rule] と入力します。
注意 : Amazon CloudWatch メトリクス名は、[Name] フィールドの入力内容に基づいて自動的に入力されます。 - [Rule type] で、[Regular rule] を選択します。
- [Region] で、web ACL を作成したリージョンを選択します。
注意 : web ACL が CloudFront 用に設定されている場合は、[Global] を選択します。 - [Add conditions] で、[match at least one of the filters in the string match condition] と条件に一致 [しない を選択します。
- 条件ドロップダウンメニューから [UA-condition] を選択します。
- [Create] を選択します。
最後に、このルールを web ACL に追加します。
- ナビゲーションペインで、[Web ACLs] をクリックします。
- web ACL の名前を選択します。
- [Rules] タブを選択し、[Edit web ACL] を選択します。
- [Rules] で、[UA-Rule] を選択します。
- [Add rule to web ACL] を選択します。
- [Action で [Block] が選択されていることを確認します。
- [Default action] で、[Allow all requests to match any rules] を選択します。
- [Update] を選択します。
方法 #2: サイズ制約条件でルールを作成する
注意 : デフォルトでは、アカウントあたりのパターンセット数は 5 です。この AWS WAF の制限 を超えた場合は、次のサイズ制約ソリューションを使用できます。
まず、Size 制約条件を作成します。
- AWS WAF コンソールを開きます。
- ナビゲーションペインで、[Size constraints] を選択します。
- [Create condition] を選択します。
- [Name] に [UA-condition2] と入力します。
- [Region] で、web ACL を作成したリージョンを選択します。
注意 : web ACL が CloudFront 用に設定されている場合は、[Global] を選択します。 - [Part of the request to filter on] で、[Header] を選択します。
- [Header] に「User-Agent」と入力します。
- [Comparison operator] で、[Greater than or equal] を選択します。
- [Size (Bytes)] で、デフォルト値の 0のままにします。
- [Transformation] で、 [None] を選択します。
- [Add filter] を選択します。
- [Create] を選択します。
次に、ルールを作成し、条件を追加します。
- ナビゲーションペインで [Rules] をクリックします。
- [Create Rule] を選択します。
- [Name] に [UA-Rule2] と入力します。
注意 : CloudWatch メトリクス名は、[Name] フィールドの入力内容に基づいて自動的に入力されます。 - [Rule type] で、[Regular rule] を選択します。
- [Region] で、web ACL を作成したリージョンを選択します。
注意 : web ACL が CloudFront 用に設定されている場合は、[Global] を選択します。 - [条件の追加] で、一致 [しない ] を選択し、サイズ制約条件のフィルタを少なくとも 1 つ選択します。
- 条件ドロップダウンメニューから [UA-condition2] を選択します。
- [Create] を選択します。
最後に、このルールを web ACL に追加します。
- ナビゲーションペインで、[Web ACLs] をクリックします。
- web ACL の名前を選択します。
- [Rules] タブを選択し、[Edit web ACL] を選択します。
- [Rules] で、[UA-Rule] を選択します。
- [Add rule to web ACL] を選択します。
- [Action] に [Block] が選択されていることを確認します。
- [Default action] で、[Allow all requests to match any rules] を選択します。
- [Update] を選択します。