ファイアウォール・ルールへのアクションの割り当て
ファイアウォールルールは非推奨です。 CIS 既存のファイアウォールルールをWAFカスタムルールに移行した。 この変更に関する詳細は 、「カスタムルールへの移行」 を参照してください。
ファイアウォール・ルール・アクションは、定義する基準に一致する要求に応答する方法を CIS に伝えます。
軽量ファイアウォール・ルールの場合は、 「セキュリティー」>「IP ファイアウォール」 に移動します。これには、IP ルール、ユーザー・エージェント・ルール、およびドメイン・ロックダウン・ルールが含まれています。 ファイアウォール・ルールは IP アドレス、IP アドレス範囲、自律システム番号 (ASN)、国/地域に基づきます。
ドメインロックダウンルールでは、ドメイン、サブドメイン、または URL にアクセスできるIPアドレス、CIDR範囲、またはネットワークのリストを指定します。 リストにないものはすべてブロックされます。
より強固なファイアウォールルールを設定するには 、「セキュリティ」>「ファイアウォールルール」 に移動し、受信した HTTP トラフィックを一連のフィルタに照らし合わせ、一致するリクエストをブロック、確認、ログ、または許可するルールを作成します。
以下の表に、ルールに割り当てることができるアクションを記載します。 優先度列は、そのアクションが受け取る優先順位を示しています。 ある要求が、同じ優先順位の 2 つの異なるルールに一致する場合は、先行する方が実行するアクションを決定します。
| アクション | フェーズが | 説明 | 優先順位 |
|---|---|---|---|
| ログ |
|
エンタープライズの Logpush と Logpull でアクセスするために、CIS エッジで一致する要求をログに記録します。 ルール遵守の徹底を図るために、より厳しい措置を講じることをお勧めします。 エンタープライズのお客様だけが使用できます。 | 1 |
| バイパス |
|
要求のセキュリティー機能を動的に無効にすることができます。 Browser Integrity Check、 Domain Lockdown、 Hotlink Protection、 Rate Limiting、 Security Level、 User Agent Block、 WAF Managed Rules の 1 つ以上の機能を含むユーザー定義リストに基づいて、一致する要求を評価から除外します。 一致する要求は、実行順序に基づいて、ファイアウォール・ルール内の評価の対象となります。 |
2 |
| 許可 |
|
他の CIS ファイアウォール機能(IPファイアウォールやアクセスルールなど)がリクエストをブロックしないことを条件に、サイトへのアクセスリクエストを許可します。 | 3 |
| チャレンジ (Captcha) |
|
ユーザーは Google reCaptcha チャレンジに合格しないと進めません。 合格した場合、CIS は一致した要求を受け入れます。合格しなかった場合はブロックされます。 | 4 |
| JS チャレンジ |
|
ユーザーは CIS JavaScript チャレンジに合格しないと進めません。 合格した場合、CIS は一致した要求を受け入れます。合格しなかった場合はブロックされます。 | 5 |
| ブロック |
|
一致した要求がサイトにアクセスできないようにします。 | 6 |