AWS WAF のルールと ALB のセキュリティグループどちらが先に評価されますか?

2022.03.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていた内容

ALB に AWS WAF が設定されている場合、
インターネットから ALB へのトラフィックは、ALB の セキュリティグループ と WAF のルールではどちらが先に評価されるでしょうか。
また、ALB のリスナールールと WAF のルールの評価順序についても教えてください。

具体的な回答

WAF がトラフィックを評価する流れは、下記の順序で行います。
1. 元となるサービスがウェブサイトへのリクエストを受け取る
2. それを精査するために WAF へ転送
3. ルール評価を WAF が行う

よくある質問 - AWS WAF | AWS

2.AWS WAF はどのようにトラフィックをブロックまたは許可しますか?
基礎となるサービスがウェブサイトへのリクエストを受け取ると、ルールに対して検査するためにそれらのリクエストを AWS WAF へ転送します。

そのため結論としては、ALB セキュリティグループ → WAF の順序で評価されます。

ALB の セキュリティグループ と WAF のルールの場合、
ALB に到達するトラフィックは、セキュリティグループがネットワークインターフェイスに適用されているため、ALB へ HTTP リクエストが到達する前に評価されます。
その後、セキュリティグループによって評価されたリクエストは、ルールに対する評価を行うため WAF に転送されます。

ALB のリスナールールと WAF のルールに関しても同様の評価順序です。
ALB のリスナールールの処理を行ったあと、対象のリクエストを WAF へ転送し WAF のルール評価を行います。
リクエストが WAF のルールで定義された条件を満たすと、ALB は対応するアクション(ターゲットグループへ転送、固定レスポンス等)を実行いたします。

参考資料