Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@byulnimk

SSLを使用したOCI LBにWAFポリシーをデプロイしてみる

Last updated at Posted at 2024-02-08

OCIロードバランサにSSL証明書を追加した後、WAFポリシーをデプロイしてみました。
勉強のための備忘録として、ドメイン取得やSSL証明書の取得方法については省略し、なるべくポイントのみにして簡単に全体の流れを紹介します。


■事前作業
・「お名前.com」のサイトよりドメイン取得
・「Let's Encrypt」でSSL証明書を取得

■目次
1.OCI LBに追加するバックエンドサーバーの作成
2.SSL証明書を使用してOCI LB作成
参照:https://oracle-japan.github.io/ocitutorials/intermediates/using-load-balancer/
3.OCI LBにWAFポリシーをデプロイ
参照:https://oracle-japan.github.io/ocitutorials/id-security/web-application-firewall-v2/
4.WAFの動作確認

1.OCI LBに追加するバックエンドサーバーの作成


(1)OCIコンソールにログインし2つのCompute Instanceを作成します。

image.png


(2)作成した2つのCompute InstanceにWebサーバをインストールします。

1. Apache HTTPサーバーをインストールします
sudo yum -y install httpd

2. TCPの80番(http)および443番(https)ポートをオープンします
sudo firewall-cmd --permanent --add-port=80/tcp
sudo firewall-cmd --permanent --add-port=443/tcp

3. ファイアウォールを再ロードします
sudo firewall-cmd --reload

4. Webサーバーを起動します
sudo systemctl start httpd

5. index.html ファイルを作成し、それぞれにどちらのWebサーバーかを示す文字列を記述します。
1台目のWebサーバーで以下を実行します。
  sudo sh -c 'echo "Web Server 1 (host:`hostname`)" > /var/www/html/index.html'

次に2台めのWebサーバーで以下を実行します。
  sudo sh -c 'echo "Web Server 2 (host:`hostname`)" > /var/www/html/index.html'

2.SSL証明書を使用してOCI LB作成


(1)バックエンドの選択 画面で上記1で作成したCompute Instanceを選択します。

image.png


(2)OCI LBのリスナーの構成 画面で以下の項目を入力します。
リスナーで処理するトラフィックのタイプ:HTTPS
リスナーでイングレス・トラフィックをモニターするポート:443

image.png


(3)事前取得したSSL証明書を追加します。

image.png


(4)OCI LBが正常に作成されました。

image.png


(5)セキュリティリストのイングレス・ルールに443ポートの許可を追加します。

image.png


(6)OCIロードバランサの動作確認

HTTPSでの動作が正常に処理されて証明書が有効になっていることを確認しました。

image.png

3.OCI LBにWAFポリシーをデプロイ


(1)強制ポイントの画面にて、事前準備で予め作成、構成していたファイアウォール(上記2で作成したOCIロードバランサ)を選択します。

image.png


(2)アクセス制御の画面にて、「アクセス制御の有効化」ボタンにチェックを入れます。
アクセス制御では、マレーシアからのアクセスを許可し、マレーシア以外の国からのアクセスには401コードを返却するようにルールを作成します。

名前 - 任意 例)access-rule1
Condition type - Country/Region
Operator - Not in list
Countries - Malaysia
アクション名 - Pre-configured 401 Response Code Action

image.png

4.WAFの動作確認


(1)正常確認 ‐ マレーシアからのアクセス

WAFポリシーをアタッチしたOCI Load Balancerにドメインネームでブラウザからアクセスします。

image.png


WAFのログから、WAFへのアクセスログが出力されていることを確認します。

image.png


(2)異常確認 ‐ マレーシア以外の国からのアクセス

WAFポリシーをアタッチしたOCI Load Balancerにドメインネームでブラウザからアクセスします。

image.png
image.png


マレーシアからのアクセスは正常で、マレーシア以外の国からのアクセスは401コードが返却されている内容のログが出力されていることを確認できます。

以上、SSLを使用したOCIロードバランサにWAFポリシーをデプロイしてみました。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?