概要

IPアドレスのルール設定にて参照するIPアドレスとして、特定のヘッダーに含まれるIPアドレスを指定できるようになっています。
参考：IPアドレス

[特定ヘッダ] オプションを利用するケースについて、以下に説明します。

IP参照について

IPアドレス に記載の通り、IPアドレスの項目では、リクエスト内のどのIPアドレスを参照するかの設定も可能です。Allowlist、Denylist両方に対して同じ設定が適用されます。

• Source IP
  • リクエスト元のIPアドレスであるSource IP（Client IP）を検査対象とします。
• 特定ヘッダ
  • X-Forwarded-Forなどのヘッダー名を登録いただき、指定されたヘッダーに記載されるIPアドレスを検査対象とします。
  • 特定のヘッダー内のIPアドレスを参照する場合は、参照したいIPアドレスの位置も「参照するヘッダ位置」からご指定ください。

特定ヘッダを使用するケース

基本的には、CDN を ALB の前段に配備して、ALB にアタッチした Web ACL で WafCharm を利用する場合にご利用いただく項目です。

上記の図のように、CloudFrontやCDNの後段にALBがあり、ALBにWeb ACLをアタッチしてWafCharmをご利用されている場合、ALBから見た「リクエスト元のIPアドレス」はCloudFrontやCDNのIPアドレスとなります。

この状態でIP参照の項目に「Source IP」を選択した場合、WafCharmではCDNのIPアドレスを利用して各種機能を提供します。具体的には、Denylist機能に含まれる「シグネチャ再マッチングによる自動 Denylist 管理機能」にて特定のリクエストを検知した場合、CDNのIPアドレスをDenylistに登録するような動作となります。

この機能でCDNのIPアドレスがDenylistに追加されると、基本的にはすべての（CDNを経由した）リクエストがブロックされてしまいます。

CDNのIPアドレスをDenylistに登録されてしまうことがないよう、このような構成でご利用の場合には、以下のいずれかの対応をご検討ください。

• Web ACLをCDNにアタッチする構成に変更する（推奨）
• Web ACLはALBにアタッチしたまま、IP参照で「特定ヘッダ」を有効にする

特定ヘッダを有効にする上での注意点

• Legacy Ruleポリシーでご利用の場合、「シグネチャ再マッチングによる自動 Denylist 管理機能」が無効になります。
  • Advanced Ruleポリシーの場合は「シグネチャ再マッチングによる自動 Denylist 管理機能」でも指定されたヘッダーを参照しますので、無効になりません。
• リクエスト内に指定したヘッダーが存在しない場合、指定したヘッダーに IP アドレスが存在しない場合、いずれもAllowlist・Denylistが効きません。
• Source IPおよび特定ヘッダの併用はできません。
  • CDNが前段にあるものの、ALBに対して直接アクセスが行われるケースがあるという場合には、片方の制御をお客様側のルールとして作成して管理してください。