AWS WAF カスタムルールが機能しないのはなぜですか?

解決方法

カスタム AWS WAF ルールが想定どおりに動作しない場合は、次を確認してください。

• ルールの優先順位
• テキスト変換
• ブール論理

ルールの優先順位

カスタムルールが正しい優先順位に設定されていることを確認してください。詳細については、「ウェブ ACL でのルールとルールグループの処理順序」を参照してください。

ルールには、定義されているルールグループまたはウェブ ACL の名前でアクセスできます。

AWS WAF ルールの評価順序は上から順になっており、最初に一致した　Allow、Block、または CAPTCHA 終了ルールで停止します。リクエストがカスタムルールの上に配置された終了ルールのいずれかに一致する場合、AWS WAF はそのルールで指定されたアクションを実行します。リクエストはカスタムルールに照らして評価されません。詳細については、「ウェブ ACL でのルールおよびルールグループアクションの基本的な処理」を参照してください。

例えば、AWS マネージドルールグループ (AMR) によってブロックされるリクエストを許可するカスタム許可ルールを作成するとします。カスタムルールは、リクエストをブロックしている AMR よりも上に (より低い優先順位の数値で) 配置する必要があります。

優先順位は、ウェブ ACL とルールグループ用に使用できる AWS WAF コンソールの Rule Builder を通じて管理できます。AWS API を使用して優先順位を変更するには、UpdateWebACL および UpdateRuleGroup API コールを使用します。AWS CLI を使用して優先順位を変更するには、update-web-acl および update-rule-group コマンドを使用します。

テキスト変換

カスタムルールでテキスト変換を使用している場合は、適切に適用されていることを確認してください。詳細については、AWS WAF の「テキスト変換」を参照してください。

AWS WAF は、リクエストを検査する前に変換を適用します。複数の変換を指定した場合、AWS WAF はリストされた順序でそれらを処理します。カスタムルールで複数の変換を使用する場合は、変換と変換の順序を確認する必要があります。

例えば、クエリ引数の文字列について Base64 デコードと URL デコードを実行するカスタムルールを作成したとします。AWS WAF はまず、受信リクエストでクエリ文字列の Base64 デコードを実行します。Base64 デコードの結果の文字列は、URL デコードを使用してさらに変換されます。その後、URL デコードの結果の文字列が、ルール設定で指定した文字列と照合して検査されます。

ブール論理

論理ルールステートメントを使用している場合は、カスタムルールに使用されている AND、OR、または NOT ロジックが正しいことを確認します。詳細については、「ルールステートメントリスト」を参照し、論理ルールステートメントの指示に従ってください。

ブール論理を使用してこれを検証するには、次の例を考えます。

次の条件でリクエストと一致するカスタムルールを作成した場合: リクエストに URI「/test」があり、かつ (AND)、ソース IP が IP セット X にある場合、Block する。

リクエスト 1

リクエストに URI「/test」があり (ブール値 1)、かつ (AND)、IP が IP セット X に含まれていない (NOT) (ブール値 0) 場合、ブール値 1 および (AND) ブール値 0 はブール値 0 になります。

このリクエストはカスタムルールと一致しません。

リクエスト 2

リクエストに URI「/test」がなく (ブール値 0)、かつ (AND)、IP が IP セット X に含まれていない (NOT) (ブール値 0) 場合、ブール値 0 および (AND) ブール値 0 はブール値 0 になります。

このリクエストはカスタムルールと一致しません。

リクエスト 3

リクエストに URI「/test」があり (ブール値 1)、かつ (AND)、IP が IP セット X に含まれている (ブール値 1) 場合、ブール値 1 および (AND) ブール値 1 はブール値 1 になります。

このリクエストはカスタムルールと一致します。

---