AWS WAFの例外設定として、指定のポート(例えば8080)の場合は、AWS WAFをパスさせるホワイトリストのようなルールの作成方法を教えてください

2021.07.31

困っていた内容

AWSWAFを開発環境に導入して動作検証していたのですが、開発に必要なページへのアクセスがAWS WAFにブロックされました。 指定のポート(例えば8080)の場合は、AWS WAFをパスさせるホワイトリストのようなルールを、マネージドルールの手前に配置したいのですが、どのようなルールを設定すれば可能でしょうか。

どう対応すればいいの?

ホワイトリストルールの作成方法

AWS WAF では、URIパスを指定したルールにて、アクセスを許可、もしくは遮断することが可能です。

  1. URIパスを指定して(参考資料[1])、Action を選択する(Allow はホワイトリスト、Block はブロックリストとなります。参考資料[2])
  2. 作成したルールに対して Priority を設定し、最初に評価されるようにする(参考資料[3])

指定のポート(例えば8080)の場合の対応方法

AWS WAF で上記を実現する方法はございません。 AWS WAF はアプリケーション層の防御を想定しておりますので、ポート指定をされたい場合は ALB側で行ってください。

参考資料

[1] Web リクエストコンポーネント設定

[2] Web ACL でのルールおよびルールグループアクションの基本的な処理

[3] Web ACL でのルールとルールグループの処理順序