CloudflareのFirewall関連機能が拡充されています。アクセス制御に関して、以前はIPアドレス、国、AS番号を元にしたポリシーのみ具備していましたが、現在はレイヤー7で検知できるFirewall Rulesという機能が追加されています。IPアドレス、国、AS番号に加え、ホスト名、Cookie、User-Agent、URI Query Stringなど複数項目の複合条件でルールにマッチさせ、アクションを取ることが出来ます。
各条件は、AndやOrで結ぶことが出来ます。 また、マッチした際にとるアクションは、許可、不許可だけでなく、JS Challenge(JavaScriptのチャレンジを送信)、Challenge(CAPTCHAを出す)、Bypass(WAFなど特定のセキュリティ機能をバイパスする)などが選択可能です。
このFirewall Rule機能を使うことで、例えば以下のようなことが可能になります。
執筆者:角田 貴寛
三井情報株式会社
ソリューション技術本部 次世代基盤第二技術部 第一技術室
CISSP、CEH
現在、セキュリティ関連調査研究・教育業務に従事