例外は、アプリケーションで機能するように WAF ポリシーを調整する一般的な方法です。次のセクションには、例外を作成する際の一般的な使用事例を示します。また、例外の構成方法、推奨されるワークフロー、およびワークフローの一部として構成できる一致要素および XML 例外についても説明します。

これらは、アプリケーションの通常のトラフィックが特定の WAF ルールに一致する場合に作成されます。例外を作成するその他の理由は次のとおりです。

  • 誤検出の回避のため。

  • 攻撃のように見える可能性のあるデータを送信するアプリケーションに対処するため。たとえば、クエリ パラメータで HTML コンテンツを転送する場合です。

  • WAF ポリシーで許可されていない特別な要件を持つアプリケーションに対処するため。たとえば、IP アドレスを使用してアプリケーションにアクセスする場合などです。

  • NSX Advanced Load Balancer 推奨システムを使用して例外を作成するか、それらを手動で追加することができます。詳細については、「推奨事項へのアクセス」を参照してください。

例外を手動で定義するには。次の手順を実行します。

  • [+例外の追加] をクリックして、手動で例外を構成します。

  • IP アドレス/サブネット、パス、または任意の一致要素の例外を構成します。次はその例です。

Subnet- 10.0.0.0/8, Path- /application , Match Element - REQUEST_BODY

  • 必要に応じて、パスと一致要素に対して次のオプションを構成します。

    • [大文字と小文字を区別] - 文字の大文字と小文字が一致する必要があります。

    • [正規表現の一致] - 文字列のパターンが一致する必要があります。

注:

例外は、CRS グループまたはルール レベルで作成できます。

例外 [PATH] - /application が構成されたルールは次のとおりです。



サポートされている一致要素

次の一致要素に対して例外を作成できます。

ARGS、ARGS_GET、ARGS_POST、ARGS_NAMES、FILESQUERY_STRING、REQUEST_BASENAME、REQUEST_BODY、REQUEST_URI、REQUEST_URI_RAW、REQUEST_COOKIES、REQUEST_HEADERS、RESPONSE_HEADERS、XML。

たとえば、WAF ルール レベルで ARGS:password の例外を作成すると、ルールは password HTTP パラメータ(URL または JSON、XML、または HTML 形式の要求本文で送信)を調べません。ルールは、例外として指定されていない HTTP 要求のその他の部分を引き続き確認します。