目次

  1. 1.はじめに
  2. 2.国別制限ルール(Geomatch)とは
  3. 3.国別制限ルール(Geomatch)設定方法
  4. 4.Bot 検知ルールとは
  5. 5.Bot 検知ルール設定方法
  6. 6.おわりに

1. はじめに

2021/07/30 PTD にて Azure WAF にて国別制限ルールと bot 検知ルール の一般提供が開始されました。今までも利用はできていた機能になりますが、一般提供機能となったことから、改めてそれぞれがどのような機能か解説します。

https://azure.microsoft.com/en-us/updates/general-availability-web-application-firewall-waf-bot-protection-on-application-gateway/
https://azure.microsoft.com/en-us/updates/general-availability-web-application-firewall-waf-geomatch-custom-rules-on-application-gateway/

2.国別制限ルール(Geomatch)とは

国別制限ルールとは文字通り、国によってアクセスの可否を制限できるルールとなります。
「〜以外」といった作り方もできるので特定の国以外は BLOCK といった条件も可能です。

特定のユーザーを対象にしたサイトであれば、アクセス元を制限しても問題ないことが多いと思います。国外からの利用を想定していない、ウェブサイトなどで活用できるのではないでしょうか。
国の設定は二桁の国/地域コードを利用します。ISO 3166-1 に準ずるように見受けられますがドキュメントには明記されていません。
IP アドレスと国の紐付けの細かい仕様についての説明は公式情報から確認できませんでした。
他の WAF 製品の同様機能の傾向から、国を判定できなかった場合はマッチさせることはできないものと考えられます。

公式情報
https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/geomatch-custom-rules

3.国別制限ルール(Geomatch)設定方法

国別制限ルールはカスタムルールとして登録します。
「カスタムルール」選択後に「カスタムルールの追加」を選択します。

auto

ルール名等を入力して条件を作成します。
以下は日本以外を BLOCK するルール例です。

auto

ルール設定後に保存してください。

また、一致変数は「RemoteAddr」以外に「RequestHeaders」も指定できるので、特定のヘッダー情報も対象にできます。

auto

4.Bot 検知ルールとは

Microsoft ThreatIntelligence から構成された、既知の悪評の高い IP アドレスをを検知するルールとなります。「管理されているルール」の一つとして提供されており、OWASPコアルールセットと併用可能です。現在は Malicious Bots の1ルールだけなので IP アドレスベースで細かいコントロールなどはできません。

5.Bot 検知ルール設定方法

Bot 検知ルールは管理されているルールとして提供されます。
「管理されているルール」を選択します。

auto

ルールセットの項目から「Microsoft_BotManagerRuleSet_0.1」を追加します。

auto

変更後、保存してください。

6.おわりに

どちらのルールも単純なロジックで不要なアクセスを減らすことができるという観点で、使い勝手のいいルールとなります。ただし強いアクセス制限になるため、LOG 状態で様子をみてから BLOCK に変更することを推奨します。意図せず正常なアクセスを制限しないように気をつけましょう。

WafCharm をお使いのお客様であれば、国別制限でのルールの作成もカスタマイズとして可能ですのでご依頼ください。
※ビジネスプラン以上のご契約で無償でカスタマイズ可能です。

まだ、WafCharm をお試しでない方はトライアル可能ですのでこの機会に是非お試しください。

https://www.wafcharm.com/jp