はじめに
AWS WAFを導入し、運用していると、誤検知問題にぶつかることがあります。
本来なら問題なく、動作してほしいアクションに対しても、WAFが良かれと思ってブロックしてしまい、想定通りのアクションが行えないことがあります。
そこで、WAFに対して(あらかじめ安全だと確認できている)特定のURI時のリクエストに対してブロックルールを適用しないようにする方法を記載します。
手順
今回は、例として/uploadsのURIのみWAFのルールを適用させたくない場合を想定します。
Regex pattern setsを作成
AWS WAFのマネジメントコンソールからRegex pattern setsを選択し、登録するURIを追加する。
ワイルドカード表記もできるので、ルールを適用させたくない任意のURLを設定。
ルールグループを作成
CloudWatchメトリクスにも記録されるようです。
WAFへのアクセスログをCloudWatchのロググループに配信している場合は、作成したメトリクスが反映されます。
先ほど、登録したRegex pattern setsを選択。
アクションをAllowにすることで、本来BLOCKされてしまう特定URI時のリクエストを許可します。
ルールグループをWAFに適用
先ほど作成したRule Groupを選択
これでWAFへのルールとして適用することができます!
【※注意点】
作成したRule Groupの優先度を、ブロックされてしまうルールよりも高く設定しておくこと。
確認
/uploadsにアクセスしてみて、WAFでブロックされていないことを確認できればOKです!
参考