概要
Allowlistは特定のIPアドレスを許可するルール、Denylistは特定のIPアドレスをブロックするルールです。
Allowlistについて
Allowlistには、以下の機能が含まれます。Allowlistルールは、登録されたIPアドレスからのリクエストを許可します。正規表現ルールなど、その他のルールによってブロックされることはありません。
- お客様自身でIPアドレスを登録するAllowlist機能(手動で登録する機能)
Denylistについて
Denylistには、以下の機能が含まれます。登録されたIPアドレスからのリクエストをブロックします。
※Allowlistルールの方が先に評価される(優先される)ため、AllowlistとDenylistに同じIPアドレスが登録されていた場合、当該IPアドレスからのリクエストは許可されます。
- ログを数百ものシグネチャに再マッチング処理をしており、都度Denylist登録する機能(自動Denylist機能)
- 弊社独自のIPレピュテーションによるDenylist機能(IPレピュテーション機能)
- お客様自身でIPアドレスを登録するDenylist機能(手動で登録する機能)
なお、Denylistの詳細については、ご利用のプラットフォームなどによっても異なります。
AWS WAF v2 Advanced Ruleポリシーの場合
- 自動Denylist機能では、WAFログを使用して再マッチング処理を行います。
- WAFログ連携(新方式)が有効になっていない場合には、自動Denylist機能が有効にならず、再マッチング処理は行われません。
- WAFログ連携(新方式)の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
- Advanced Ruleポリシーでは、以下の2つに分かれます。
- WafCharm_DenyIps_XXX:手動で登録したIPアドレス用のDenylistルールです。
- WafCharm_Automated_DenyIps_XXX:自動Denylist機能、IPレピュテーション機能で登録されたIPアドレス用のDenylistルールです。
AWS WAF Classic/AWS WAF v2 Legacy Ruleポリシーの場合
- 自動Denylist機能では、アクセスログを使用して再マッチング処理を行います。
- Web Site Config(アクセスログ連携)の設定が行われていない場合には、自動Denylist機能が有効にならず、再マッチング処理は行われません。
- Web Site Config(アクセスログ連携)の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
- WafCharmでは、ALBおよびCloudFrontのアクセスログのみ処理が可能です。
Azureの場合
- 自動Denylist機能では、アクセスログを使用して再マッチング処理を行います。
- Webサイト設定が行われていない場合には、自動Denylist機能が有効にならず、再マッチング処理は行われません。
- Webサイト設定の設定状況にかかわらず、IPレピュテーション機能と、手動で登録する機能の2つは利用可能です。
GCPの場合
- 自動Denylist機能では、アクセスログを使用して再マッチング処理を行います。
- WAF Configに登録された値を元に、アクセスログを取得します。Log Routing Sinkの設定などが行われていない場合、アクセスログの取得やルールの適用に失敗しますので、WafCharmの基本的な機能をご利用いただけない状態となります。