Posted at

IBM Cloud Internet Services (CIS) 以外からのアクセスを拒否する


CISのクラウドWAF経由でWEBサーバーにアクセスする。WAF以外からのアクセスは拒否しなければならない。

WEBサーバーのファイアウォール(セキュリティグループ)で、WAFからWEBサーバーへのソースIPアドレスだけ許可し、それ以外を拒否する。せっかくWAFを実装しているのに、WAFを迂回されたら意味がない。図にするとこんな感じ。この時、WAFのIPアドレス帯を知るにはどうするのか。


WEBサーバーのアクセスログを取得したら…

クラウドWAFからのIPアドレスは「103.xx.xx.xx」と「108.xx.xx.xx」の2つあった。冗長化されているのかな、IPアドレスが変わらないという保証もないし、これをファイアウォールに登録するだけでは不十分。


IPアドレスのレンジが掲載されていた。

沢山あった。面倒だが仕方ない。”FromCloudFlare”というセキュリティグループを作ることにした。TLS暗号化は検証用として[クライアントからエッジ(WAF)]モードにしたのでtcp80を許可したが、TLS暗号化を[エンドツーエンド]にするならtcp443ですね。

<https://www.cloudflare.com/ips/>


アクセス許可・拒否の検査をしたら終了。

PCからWAF経由でWEBサーバーへアクセスしたら、WEB画面が表示された(合格)。

PCからWAFを経由せず、直接WEBサーバーのIPアドレスにアクセスしたら、タイムアウトになった(合格)。