AWS WAF のルールと ALB のセキュリティグループどちらが先に評価されますか?

AWS WAF のルールと ALB のセキュリティグループどちらが先に評価されますか?

AWSテクニカルサポートノート

AWSテクニカルサポートノート

#AWS WAF
#Application Load Balancer(ALB)
#AWS
yama

yama

facebook logohatena logotwitter logo
Clock Icon2022.03.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

ALB に AWS WAF が設定されている場合、
インターネットから ALB へのトラフィックは、ALB の セキュリティグループ と WAF のルールではどちらが先に評価されるでしょうか。
また、ALB のリスナールールと WAF のルールの評価順序についても教えてください。

具体的な回答

WAF がトラフィックを評価する流れは、下記の順序で行います。
1. 元となるサービスがウェブサイトへのリクエストを受け取る
2. それを精査するために WAF へ転送
3. ルール評価を WAF が行う

よくある質問 - AWS WAF | AWS

2.AWS WAF はどのようにトラフィックをブロックまたは許可しますか?
基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。

そのため結論としては、ALB セキュリティグループ → WAF の順序で評価されます。

ALB の セキュリティグループ と WAF のルールの場合、
ALB に到達するトラフィックは、セキュリティグループがネットワークインターフェイスに適用されているため、ALB へ HTTP リクエストが到達する前に評価されます。
その後、セキュリティグループによって評価されたリクエストは、ルールに対する評価を行うため WAF に転送されます。

ALB のリスナールールと WAF のルールに関しても同様の評価順序です。
ALB のリスナールールの処理を行ったあと、対象のリクエストを WAF へ転送し WAF のルール評価を行います。
リクエストが WAF のルールで定義された条件を満たすと、ALB は対応するアクション(ターゲットグループへ転送、固定レスポンス等)を実行いたします。

参考資料

Share this article

facebook logohatena logotwitter logo

関連記事

AWS WAF のBot Control で検証済みBotをブロックする

AWS WAF のBot Control で検証済みBotをブロックする

User avatar
なおにし
2024.11.13
ALB から Cognito へのアクセス時、WAF によってブロックされてしまうときの対処方法を教えてください。

ALB から Cognito へのアクセス時、WAF によってブロックされてしまうときの対処方法を教えてください。

User avatar
yama
2024.11.08
AWS WAF の地理的一致ルールステートメントを使用する場合、検査対象としている国の判定は WAF ログのどのフィールドから確認可能か教えてください。

AWS WAF の地理的一致ルールステートメントを使用する場合、検査対象としている国の判定は WAF ログのどのフィールドから確認可能か教えてください。

User avatar
yama
2024.11.08
AWS WAFのTraffic overviewやSampled requestsにデータが表示されない事象について

AWS WAFのTraffic overviewやSampled requestsにデータが表示されない事象について

User avatar
Lei
2024.11.07
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.