こんにちは、株式会社エーピーコミュニケーションズ クラウド事業部の藤江です。 Webアプリケーション・ファイアウォールを構築する機会があり、その時に感じたWebアプリケーション・ファイアウォールを使う前に知っておいたほうが良いことを記します。今回は主にWebアプリケーション・ファイアウォール・ポリシー(WAFポリシー)を用いたWAFについて記します。

エッジ・ポリシーとWAFポリシーの違い

OCIではWAFが2種類があります。公開資料によって名前が異なるますが、エッジ・ポリシーやGlobal WAFと呼ばれているWebサーバの前段にリバースプロキシとして配置したエッジPoPを使うタイプのWAFとWAFポリシーやRegional WAFと呼ばれるFLBにデプロイするタイプのWAFがあります。

この2つは利用可能な機能が異なるためどの機能が使えるのか把握しておくのが良いです。 検索結果やGemini,ChatGPT等の生成AIへの問い合わせ時に2つのWAFの機能が混ざって表示される場合があり、利用中のWAFと別のWAFの資料を間違えて読み、機能を勘違いしてしまうことが何度かありました。そのためどのWAFについて記載されているか確認しながら読む必要があります。

細かい機能の差異について把握することは難しいですが、WAFの機能概要の比較表は公開されているのでWAFを使う前にこちらを参照したほうが良いです。
OCI Web Application Firewall 概要 - Speaker Deck

WAFポリシーを使ったWAFは複数のFLBに適用することが出来る

WAFの設置方法はWAFポリシーを作成した後にFLBにWAFを関連付けることで設置することが出来ます。そのため同じルールのWAFを複数のFLBに設定することが容易にできます。ただしWAFのサービスログ出力は設置したFLB毎に設定する必要があるため、ログ監視などを行う場合は個別に設定する必要があります。

ルールの判定順位

WAFのルール機能の構成

WAFポリシーの保護機能はアクセス制御、保護ルール、レート制限の3つのモジュールで構成されています。これらのモジュール内にルールを定義することで、WAFの保護機能を設定することが出来ます。 アクセス制御、保護ルール、レート制限には実行順序があり、またそれらに設定するルールにも実行順序があります。

モジュールの実行順序

検証時はアクセス制御、保護ルール、レート制限の順にモジュールが実行されているようでした。ただし、ドキュメントによってはアクセス制御、保護ルール、レート制限の順序で実行されると記載されているものとアクセス制御、レート制限、保護ルールの順に記載されているものの2つがありモジュールの実行順序は明確ではないです。

• OCI Web Application Firewall 概要 - Speaker Deck
• Webアプリケーション・ファイアウォール・サービスの機能および制限

  各モジュール内のルール判定順序

  アクセス制御内のルールの判定順序を決めることが出来ますが、保護ルール、レート制限についてはルールの判定順序を変えることが出来ず、設定した順序でルールを判定することになります。

監視機能の実現方法

WAFの監視はサービスログとコネクタ・ハブを使ったログ監視を用いて行います。通知機能との連携によりメール発報を設定したり、ログ・アナリティクスとの連携によるログのビジュアライズ化を実施することが出来ます。

参考

• OCI Load Balancerに直接アタッチするタイプのWeb Application Firewallを構成する | OCIチュートリアル
• OCI Load Balancerに直接アタッチするタイプのWeb Application Firewallのログを分析する | OCIチュートリアル
• OCI Web Application Firewall 概要 - Speaker Deck
• Webアプリケーション・ファイアウォール