WAF ルールを含むトラフィックフィルタールールの設定方法
Web アプリケーションファイアウォール(WAF)ルールを含むトラフィックフィルタールールの 設定方法 について説明します。このチュートリアルでは、後続のチュートリアルの基盤を設定します。ここでは、ルールを設定してデプロイし、その後、結果のテストと分析を行います。
設定プロセスを示すために、チュートリアルでは AEM WKND Sites プロジェクトを使用します。
設定の概要
後続のチュートリアルの基盤には、次の手順が含まれます。
config
フォルダーの AEM プロジェクト内での ルールの作成- Adobe Cloud Manager 設定パイプラインを使用した ルールのデプロイ。
- Curl、Vegeta、Nikto などのツールを使用した ルールのテスト
- AEMCS CDN ログ分析ツールを使用した 結果の分析
AEM プロジェクトでのルールの作成
AEM プロジェクト内で 標準 および WAF トラフィックフィルタールールを定義するには、次の手順に従います。
-
AEM プロジェクトの最上位に、
config
という名前のフォルダーを作成します。 -
config
フォルダー内に、cdn.yaml
という名前のファイルを作成します。 -
cdn.yaml
で次のメタデータ構造を使用します。
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
次のチュートリアルでは、実装の強固な基盤として、アドビの 推奨される標準トラフィックフィルタールールと WAF ルール を上記のファイルに追加する方法について説明します。
Adobe Cloud Manager を使用したルールのデプロイ
ルールのデプロイの準備として、次の手順に従います。
-
my.cloudmanager.adobe.com にログインし、プログラムを選択します。
-
プログラムの概要 ページから パイプライン カードに移動し、「+ 追加」をクリックして新しいパイプラインを作成します。
-
パイプラインウィザードの場合:
- タイプ:デプロイメントパイプライン
- パイプライン名:Dev-Config
-
ソースコード設定:
- デプロイするコード:ターゲットデプロイメント
- 次を含む:設定
- デプロイメント環境:例:
wknd-program-dev
- リポジトリ:Git リポジトリ(例:
wknd-site
) - Git 分岐:作業用分岐
- コードの場所:
/config
-
パイプライン設定を確認し、「保存」をクリックします。
次のチュートリアルでは、パイプラインを AEM 環境にデプロイする方法について説明します。
ツールを使用したルールのテスト
標準トラフィックフィルタールールと WAF ルールの効果をテストするには、様々なツールを使用してリクエストをシミュレートし、ルールの応答方法を分析します。
次のツールがローカルマシンにインストールされていることを確認するか、手順に従ってインストールします。
次のコマンドを使用して、インストールを確認できます。
# Curl version check
$ curl --version
# Vegeta version check
$ vegeta -version
# Nikto version check
$ cd <PATH-OF-CLONED-REPO>/program
$ ./nikto.pl -Version
次のチュートリアルでは、これらのツールを使用して、高いリクエスト負荷と悪意のあるリクエストをシミュレートし、トラフィックフィルターと WAF ルールの効果をテストする方法について説明します。
結果の分析
結果の分析を準備するには、次の手順に従います。
-
AEMCS CDN ログ分析ツール をインストールし、事前定義済みダッシュボードを使用してパターンを視覚化および分析します。
-
Cloud Manager UI からログをダウンロードして、CDN ログの取り込み を実行します。 または、Splunk や Elasticsearch などのサポートされているホストされたログの宛先にログを直接転送することもできます。
AEMCS CDN ログ分析ツール
トラフィックフィルターと WAF ルールの結果を分析するには、AEMCS CDN ログ分析ツール を使用します。このツールでは、AEMCS CDN から収集されたログを活用して、CDN トラフィックと WAF アクティビティを視覚化するための事前定義済みダッシュボードを提供します。
AEMCS CDN ログ分析ツールでは、ELK(Elasticsearch、Logstash、Kibana)と Splunk の 2 つの確認性の高いプラットフォームをサポートします。
ログ転送機能を使用して、ホストされた ELK または Splunk のログサービスにログをストリームできます。ここでは、ダッシュボードをインストールして、標準トラフィックフィルタールールと WAF トラフィックフィルタールールを視覚化および分析できます。ただし、このチュートリアルでは、コンピュータにインストールされたローカルの ELK インスタンスにダッシュボードを設定します。
-
AEMCS-CDN-Log-Analysis-Tooling リポジトリのクローンを作成します。
-
ELK Docker コンテナ設定ガイドに従って、ELK スタックをローカルにインストールおよび設定します。
-
ELK ダッシュボードを使用すると、IP リクエスト、ブロックされたトラフィック、URI パターン、セキュリティアラートなどの指標を調べることができます。
CDN ログの取り込み
CDN ログを ELK スタックに取り込むには、次の手順に従います。
-
Cloud Manager の 環境 カードから、AEMCS パブリッシュ サービスの CDN ログをダウンロードします。
note tip TIP 新しいリクエストが CDN ログに表示されるまでに最大 5 分かかる場合があります。 -
ダウンロードしたログファイル(例:以下のスクリーンショットの
publish_cdn_2025-06-06.log
)を Elastic ダッシュボードツールプロジェクトのlogs/dev
フォルダーにコピーします。 -
Elastic ダッシュボードツールページを更新します。
-
上部の「グローバルフィルター」セクションで、
aem_env_name.keyword
フィルターを編集し、dev
環境値を選択します。 -
時間間隔を変更するには、右上隅にあるカレンダーアイコンをクリックし、目的の時間間隔を選択します。
-
-
次のチュートリアルでは、ELK スタックの事前定義済みダッシュボードを使用して、標準トラフィックフィルタールールと WAF トラフィックフィルタールールの結果を分析する方法について説明します。
概要
AEM as a Cloud Service に WAF ルールを含むトラフィックフィルタールールを実装するための基盤を正常に設定しました。設定ファイルの構造、デプロイメント用のパイプラインを作成し、結果をテストおよび分析するツールを準備しました。
次の手順
次のチュートリアルを使用して、アドビの推奨されるルールを実装する方法について説明します。
標準トラフィックフィルタールールを使用したAEM web サイトの保護
AEM as a Cloud Service でアドビの推奨される標準トラフィックフィルタールールを使用して、AEM web サイトを DoS 攻撃、DDoS 攻撃、ボットの不正使用から保護する方法について説明します。
WAF トラフィックフィルタールールを使用した AEM web サイトの保護
AEM as a Cloud Service でアドビの推奨される web アプリケーションファイアウォール(WAF)トラフィックフィルタールールを使用して、DoS 攻撃、DDoS 攻撃、ボットの不正使用などの高度な脅威から AEM web サイトを保護する方法について説明します。
高度なユースケース
アドビの推奨される標準トラフィックフィルタールールと WAF ルールに加えて、高度なシナリオを実装して特定のビジネス要件を満たすことができます。これらのシナリオには、次が含まれます。