AWS WAFとは

• 2017.9月時点で、CloudFrontとALBにのみ適用可能
• 悪意あるウェブリクエストのアクセスを拒否する

IP address（IP一致制限条件）でできること

• 設定したIPアドレスのアクセスを拒否or許可
• 指定したしきい値（最小2000）以上のリクエストを、5分以内に行ったIPアドレスのみ自動で拒否（Rate-based ruleのみ）

やること

• Web ACLsの作成（Application Load Balancerへの適用）
• Conditionsの作成（IP addresses）
• Rulesの作成
• AWS WAFを作成済みのALBに適用させる

前提

• Application Load Balancerを作成済み。

WAF作成手順

1.AWSコンソールにログインする。

2.WAFの画面へ移動

[サービス]⇒[WAF & Shield]

3.ACLの作成

[Create web ACL]⇒[Next]
- Web ACL name: 任意のACL名
- CloudWatch metric name: 任意の名前（Web ACL nameを入力すると自動ではいる。）
- Reigion: 任意のリージョン
- AWS resource to associate: WAFの適用先

4.Conditionsの作成（今回はIP制限、ブラックリストによる制限）

IP match conditionsの[Create condition]⇒設定項目を入力⇒[Next]
- Name: 任意のCondition名
- IP Version: WAFの対象となるIPアドレスバージョン
　※ここで設定しないと、デフォルトアクションが適用される。
　　⇒デフォルトアクションがAllowの場合、全許可（0.0.0.0/0）。
　　　デフォルトアクションがBlockの場合、全拒否になる。

5.Rulesの作成

[Create rule]⇒[Create]
●Ruleの作成
- Name: 任意のRule名
- CloudWatch metric name: 任意の名前（Nameを入力すると自動ではいる。）
- Rule type: [Rate-based rule]を選択。
- Rate limit: 任意のしきい値（5分間のリクエスト数の上限）最低2000
●Add match conditionsの設定
- does: リクエストが条件に一致するときに選択
- does not: リクエストが条件に一致しないときに選択
- original from an IP address in: IP制限のときに選択
- 4.で作成したConditionを選択（多分Black listとかになる？）

6.作成したRuleの動作を設定

作成したRuleの動作（BlockかCount）とデフォルトアクション（AllowかBlock）⇒[Review and create]

7.最終確認をして作成する

[Confirm and create]