WAF ルールを含むトラフィックフィルタールールの設定方法

Web アプリケーションファイアウォール(WAF)ルールを含むトラフィックフィルタールールの​ 設定方法 ​について説明します。このチュートリアルでは、後続のチュートリアルの基盤を設定します。ここでは、ルールを設定してデプロイし、その後、結果のテストと分析を行います。

設定プロセスを示すために、チュートリアルでは AEM WKND Sites プロジェクトを使用します。

設定の概要

後続のチュートリアルの基盤には、次の手順が含まれます。

  • config フォルダーの AEM プロジェクト内での​ ルールの作成
  • Adobe Cloud Manager 設定パイプラインを使用した​ ルールのデプロイ
  • Curl、Vegeta、Nikto などのツールを使用した​ ルールのテスト
  • AEMCS CDN ログ分析ツールを使用した​ 結果の分析

AEM プロジェクトでのルールの作成

AEM プロジェクト内で​ 標準 ​および WAF トラフィックフィルタールールを定義するには、次の手順に従います。

  1. AEM プロジェクトの最上位に、config という名前のフォルダーを作成します。

  2. config フォルダー内に、cdn.yaml という名前のファイルを作成します。

  3. cdn.yaml で次のメタデータ構造を使用します。

kind: "CDN"
version: "1"
metadata:
  envTypes: ["dev", "stage", "prod"]
data:
  trafficFilters:
    rules:

WKND AEM プロジェクトルールファイルとフォルダー

次のチュートリアルでは、実装の強固な基盤として、アドビの​ 推奨される標準トラフィックフィルタールールと WAF ルール ​を上記のファイルに追加する方法について説明します。

Adobe Cloud Manager を使用したルールのデプロイ

ルールのデプロイの準備として、次の手順に従います。

  1. my.cloudmanager.adobe.com にログインし、プログラムを選択します。

  2. プログラムの概要 ​ページから​ パイプライン ​カードに移動し、「+ 追加」をクリックして新しいパイプラインを作成します。

    Cloud Manager パイプラインカード

  3. パイプラインウィザードの場合:

    • タイプ:デプロイメントパイプライン
    • パイプライン名:Dev-Config

    Cloud Manager 設定パイプラインダイアログ

  4. ソースコード設定:

    • デプロイするコード:ターゲットデプロイメント
    • 次を含む:設定
    • デプロイメント環境:例:wknd-program-dev
    • リポジトリ:Git リポジトリ(例:wknd-site
    • Git 分岐:作業用分岐
    • コードの場所/config

    Cloud Manager 設定パイプラインダイアログ

  5. パイプライン設定を確認し、「保存」をクリックします。

次のチュートリアルでは、パイプラインを AEM 環境にデプロイする方法について説明します。

ツールを使用したルールのテスト

標準トラフィックフィルタールールと WAF ルールの効果をテストするには、様々なツールを使用してリクエストをシミュレートし、ルールの応答方法を分析します。

次のツールがローカルマシンにインストールされていることを確認するか、手順に従ってインストールします。

  • Curl:リクエスト/応答フローをテストします。
  • Vegeta:高いリクエスト負荷をシミュレートします(DoS テスト)。
  • Nikto:脆弱性をスキャンします。

次のコマンドを使用して、インストールを確認できます。

# Curl version check
$ curl --version

# Vegeta version check
$ vegeta -version

# Nikto version check
$ cd <PATH-OF-CLONED-REPO>/program
$ ./nikto.pl -Version

次のチュートリアルでは、これらのツールを使用して、高いリクエスト負荷と悪意のあるリクエストをシミュレートし、トラフィックフィルターと WAF ルールの効果をテストする方法について説明します。

結果の分析

結果の分析を準備するには、次の手順に従います。

  1. AEMCS CDN ログ分析ツール ​をインストールし、事前定義済みダッシュボードを使用してパターンを視覚化および分析します。

  2. Cloud Manager UI からログをダウンロードして、CDN ログの取り込み ​を実行します。 または、Splunk や Elasticsearch などのサポートされているホストされたログの宛先にログを直接転送することもできます。

AEMCS CDN ログ分析ツール

トラフィックフィルターと WAF ルールの結果を分析するには、AEMCS CDN ログ分析ツール ​を使用します。このツールでは、AEMCS CDN から収集されたログを活用して、CDN トラフィックと WAF アクティビティを視覚化するための事前定義済みダッシュボードを提供します。

AEMCS CDN ログ分析ツールでは、ELK(Elasticsearch、Logstash、Kibana)と Splunk の 2 つの確認性の高いプラットフォームをサポートします。

ログ転送機能を使用して、ホストされた ELK または Splunk のログサービスにログをストリームできます。ここでは、ダッシュボードをインストールして、標準トラフィックフィルタールールと WAF トラフィックフィルタールールを視覚化および分析できます。ただし、このチュートリアルでは、コンピュータにインストールされたローカルの ELK インスタンスにダッシュボードを設定します。

  1. AEMCS-CDN-Log-Analysis-Tooling リポジトリのクローンを作成します。

  2. ELK Docker コンテナ設定ガイドに従って、ELK スタックをローカルにインストールおよび設定します。

  3. ELK ダッシュボードを使用すると、IP リクエスト、ブロックされたトラフィック、URI パターン、セキュリティアラートなどの指標を調べることができます。

    ELK トラフィックフィルタールールダッシュボード

NOTE
ログがまだ AEMCS CDN から取り込まれていない場合、ダッシュボードは空で表示されます。

CDN ログの取り込み

CDN ログを ELK スタックに取り込むには、次の手順に従います。

  • Cloud Manager の​ 環境 ​カードから、AEMCS パブリッシュ ​サービスの CDN ログをダウンロードします。

    Cloud Manager CDN ログのダウンロード

    note tip
    TIP
    新しいリクエストが CDN ログに表示されるまでに最大 5 分かかる場合があります。
  • ダウンロードしたログファイル(例:以下のスクリーンショットの publish_cdn_2025-06-06.log)を Elastic ダッシュボードツールプロジェクトの logs/dev フォルダーにコピーします。

    ELK ツールログフォルダー {width="800" modal="regular"}

  • Elastic ダッシュボードツールページを更新します。

    • 上部の「グローバルフィルター」セクションで、aem_env_name.keyword フィルターを編集し、dev 環境値を選択します。

      ELK ツールグローバルフィルター

    • 時間間隔を変更するには、右上隅にあるカレンダーアイコンをクリックし、目的の時間間隔を選択します。

  • 次のチュートリアルでは、ELK スタックの事前定義済みダッシュボードを使用して、標準トラフィックフィルタールールと WAF トラフィックフィルタールールの結果を分析する方法について説明します。

    ELK ツールの事前定義済みダッシュボード

概要

AEM as a Cloud Service に WAF ルールを含むトラフィックフィルタールールを実装するための基盤を正常に設定しました。設定ファイルの構造、デプロイメント用のパイプラインを作成し、結果をテストおよび分析するツールを準備しました。

次の手順

次のチュートリアルを使用して、アドビの推奨されるルールを実装する方法について説明します。

標準トラフィックフィルタールールを使用した AEM web サイトの保護

標準トラフィックフィルタールールを使用したAEM web サイトの保護

AEM as a Cloud Service でアドビの推奨される標準トラフィックフィルタールールを使用して、AEM web サイトを DoS 攻撃、DDoS 攻撃、ボットの不正使用から保護する方法について説明します。

ルールを適用

WAF トラフィックフィルタールールを使用した AEM web サイトの保護

WAF トラフィックフィルタールールを使用した AEM web サイトの保護

AEM as a Cloud Service でアドビの推奨される web アプリケーションファイアウォール(WAF)トラフィックフィルタールールを使用して、DoS 攻撃、DDoS 攻撃、ボットの不正使用などの高度な脅威から AEM web サイトを保護する方法について説明します。

WAF をアクティブ化

高度なユースケース

アドビの推奨される標準トラフィックフィルタールールと WAF ルールに加えて、高度なシナリオを実装して特定のビジネス要件を満たすことができます。これらのシナリオには、次が含まれます。

機密性の高いリクエストの監視

機密性の高いリクエストの監視

AEM as a Cloud Service のトラフィックフィルタールールを使用して機密性の高いリクエストをログに記録し、監視する方法について説明します。

詳細情報

アクセスの制限

アクセスの制限

AEM as a Cloud Service のトラフィックフィルタールールを使用して特定のリクエストをブロックし、アクセスを制限する方法について説明します。

詳細情報

リクエストの標準化

リクエストの標準化

AEM as a Cloud Service のトラフィックフィルタールールを使用してリクエストを変換し、標準化する方法について説明します。

詳細情報

その他のリソース

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69