悪い奴らから守ってくれる正義の味方、WAF(ウェブ・アプリケーション・ファイアウォール)。

ファイアウォールのwebアプリケーションバージョンみたいなやつです。ほとんどのレンタルサーバーで無料で導入できるし、強力なのでこれを活用しないなんて信じられない。

と、ある人に言われたので導入してみました。1分もあれば完了できる優れものです。

waf

WAFとは

「ウェブ・アプリケーション・ファイアウォール」と聞いても、ピンときません。まずはwebアプリケーションから解説していきます。

webアプリケーションとは

webアプリケーションとはインターネットから利用するソフトウェアのことです。YouTubeやfacebook、メルカリなど普段から利用しているサービスをchromeなどのwebブラウザで利用する仕組みです。

WordPressで作られたサイトも、利用者からのリクエスト要求に答えて動的にページを表示するのでwebアプリケーションのひとつと言えます。

WAFとファイアウォールの違い

ファイアウォールはIPアドレスとポート番号でアクセス制限を行うものです。しかし、ファイアウォールでは通信の中身までは確認できません。

そこで、WAFでは通信の中身を確認して「この要求は怪しんじゃね?」と判断して、アクセスを拒否してくれます。具体的にはシグネチャ(不正な通信、不正な攻撃パターンをまとめた定義ファイル)と照らし合わせて判断されます。

ファイアウォールで大雑把な通信制限して、細かいところをWAFで通信制限する感じです。

WAFは無料で導入できると書きましたが、ファイアウォールに関してはレンタルサーバー会社が設置、監視してくれています。

XserverでWAFの設定

何となくWAFのイメージができてきたので、実際に導入していきます。今回はXserverでやっていますが、他のサーバー会社でも無料で簡単にできちゃいます。

まずはサーバーパネルにログインします。

https://www.xserver.ne.jp/login_server.php

対象ドメインを指定して、「WAF設定」

waf01

WAF設定画面で最初は全てoffになっているので、全てonにして「確認画面へ進む」

waf02

確認画面になるので、「設定する」

waf03

状態のところが”反映待ち”になっています。WAFの設定反映は少し時間がかかります。(最大1時間)

waf04

以上で設定は完了です。これだけです。

WAF設定後に不具合が発生したら

WAFはパターン定義との比較によって攻撃を検知するので、場合によっては不具合が発生する可能性があります。管理画面に入れなかったり、コメントできなくなったりなど。

その場合は、とりあえずWAF設定を全てoffにして改善されるか確認します。改善されるようなら、1個づつonにしてみて、影響を与えているものだけoffにしておきます。

全てoffにしても改善されないようであればWAF以外が影響している事になります。

【編集後記】

導入も無効化も簡単で、劇的にセキュリティーを高めてくれるWAFは弱者を助けてくれるヒーローだ。