日本語 Deutsch English (US) Español (España) Français (France) 한국어 Português do Brasil 简体中文

Cloudflareヘルプセンター

Detailed system status >

このセクションの記事

Cloudflareコミュニティとつながる

答えを見つける

Cloudflareレート制限を設定する

  • 更新

Cloudflareレート制限を設定し、サービス妨害攻撃、ブルートフォース攻撃のログイン試行、その他の不正行為からWebサイトアプリケーションを保護します。

概要

Cloudflareレート制限は、特定のURLに対する過剰なリクエストレート、またはドメイン全体に対する過剰なリクエストレートを自動的に特定し、軽減します。リクエストレートは、個々のCloudflareデータセンターでローカルに計算されます。レート制限の用途は、DDoS攻撃対策、ブルートフォース攻撃対策、フォーラム検索、APIコール、オリジンでのデータベース集中操作を含むリソースへのアクセス制限が最も一般的です。

個々のIPv4アドレスまたはIPv6 /64 IP範囲がルールのしきい値を超えると、クライアントがリクエストの送信を再開できるタイミングを示す Retry-After ヘッダーを含むHTTP 429レスポンスで、オリジンWebサーバーへのリクエストがさらにブロックされます。

キャッシュされたリソースと既知の検索エンジンクローラーがお客様のレート制限ルールから除外されます。レート制限は、WebサイトのSEOランキングには悪影響を与えません。

分析

セキュリティ」タブ下のCloudflare分析アプリにあるレート制限分析を表示します。レート制限分析では、実線はシミュレートされたリクエストと一致するトラフィックを表し、点線は実際にブロックされたリクエストを表します。レート制限ルールで生成されたログは、Cloudflare ログを通じてEnterpriseプランのお客様にだけ表示されます。

Cloudflareは、ブロックされたリクエストに対してHTTP 429エラーを返します。ロケーションごとにブロックされたリクエストの詳細は、「トラフィック」タブ下のCloudflare分析アプリにあるステータスコード分析で、Enterpriseプランのお客様に表示されます。

オリジンWebサーバーが独自のレート制限を適用する場合、HTTP 429 には、オリジンから返された429のレスポンスが含まれます。

プランごとのレート制限許可

レート制限は、全てのお客様のプランを対象にしたアドオン(追加)サービスです。「ツール」タブにあるCloudflareダッシュボードのファイアウォールアプリから使用できます。

レート制限ルール数の上限は、ドメインのプランによって異なります:

プラン ルール数 アクション アクション時間 リクエスト期間
Free 1 ブロック 1分または1時間 10秒または1分
Pro 10 ブロック、チャレンジ、JSチャレンジ、ログ 1分または1時間 10秒または1分
Business 15 ブロック、チャレンジ、JSチャレンジ、ログ 1分、1時間、または24時間 10秒、1分または10分
Enterprise 100 ブロック、チャレンジ、JSチャレンジ、ログ 10秒から86400秒(24時間)の間で入力された時間 10秒から3600秒(1時間)の間で入力された任意の値

Cloudflareレート制限は、ドメインのClouflareプランによって、複数のレベルの設定管理をサポートしています。次の表では、ご利用中のプランでできることをまとめています:

サイト

タスク

利用できるプラン

1

基本レート制限ルールを設定

全プラン

2

高度な条件を設定

BusinessプランとEnterpriseプラン

3

高度なレスポンスを設定

BusinessプランとEnterpriseプラン

4

バイパスオプションを設定

Enterpriseプラン

レート制限ルールのコンポーネント

レート制限ルールは3つの異なるコンポーネントから構成されています。次のコンポーネントをクリックして詳細をご覧ください:

受信リクエストは次項と一致するものとします:

リクエストパス

例:

  • http://example.com/example
  • http://example.com/example/*

リクエストパスは、アルファベットの大文字と小文字が区別されません。パターンは、クエリ文字列 (?)またはアンカー (#)の後のコンテンツと一致しません。アスタリスク (*) は、空のシーケンスを含め、どの文字のシーケンスとも一致します。例:

  • *.example.com/* は、example.comのサブドメインでなら、どのパスでも一致します
  • *example.com/example.html は、example.com の example.htmlと一致し、example.com*のサブドメインはどれでも、
  • サイトのページと一致します。

example.com/path のリクエストは、example.com/path/と同じではありません。 このルールで唯一の例外はホームページで、example.com example.com/と一致します。

リクエストスキーム

HTTP またはHTTPSです。指定されるものがない場合、両方が一致し、ルールには_ALL_と表示されます。

リクエスト方法

POST (投稿)または GET(取得)です。指定されるものがない場合、全ての方法が一致し、ルールには_ALL_と表示されます。

(任意)オリジンレスポンスコード

例えば、HTTP401または403がオリジンWebサーバーから返される時だけ、レート制限ルールを適用します。レスポンスコード基準を満たすトリガールールは、オリジンレスポンスコードにかかわらず、クライアントからの後続のリクエストをブロックします。

ルールは、同じクライアントからのリクエスト全てで、その数も期間も一致することがあります。

リクエストの数

最低でもリクエストを2つ指定します。1つのリクエストをブロックする場合は、パスを利用不可能にします。例えば、オリジンWebサーバーが403を返すように設定します。

リクエスト期間

クライアントのリクエストが特定期間中にしきい値を超えると、ルールがトリガーされます。

 

ルール緩和は次の要素で構成されます:

緩和アクション

レート制限アクションは、プランごとのレート制限許可で述べた通り、ドメインプランに基づいています。

  • ブロック - しきい値を超えると、CloudflareがHTTP 429 エラーを出します。
  • チャレンジ - 訪問者は、CAPTCHAチャレンジで正解する必要があります。正解した場合、Cloudflareがリクエストを許可します。
  • JS チャレンジ -訪問者はCloudflare Javascriptチャレンジに正解する必要があります。正解すると、Cloudflareがリクエストを許可します。
  • ログ - リクエストは Cloudflare ログに記録されます。これは、本番で適用される前にルールをテストするのに役立ちます。

禁止期間

しきい値よりも短いタイムアウトを設定すると、APIが自動的にしきい値と同じになるようにタイムアウトを増やします。

レート制限訪問者には、カスタムエラーページが特定されない場合、既定のHTMLページが表示されます。さらに、BusinessプランとEnterpriseプランのお客様は、ルールそのものでレスポンスを特定できます。下記のTask 3:高度なレスポンスを設定するをご覧ください。

レート制限のしきい値を特定する

Cloudflareレート制限の一般的なしきい値を特定するには、キャッシュされていない24時間のWebサイトリクエスト数を同じ24時間のユニーク訪問者数で割ります。そして、これを訪問の推定平均時間(分)で割ります。最後に4(またはそれ以上)を掛けて、1分間あたりの推定しきい値を決めます。攻撃のほとんどが典型的なトラフィックレートを1桁上回るため、4より上の値は問題ありません。

特定のURLへのURLレート制限を識別するために、特定のURLへの24時間分のキャッシュされていないリクエストとユニーク訪問者数を使用します。ユーザーレポートとご自身のモニタリングに基づいてしきい値を調整します。

Task 1: 基本レート制限ルールを設定する

Cloudflare レート制限ルールの一般的な2つのルールを作成する方法についてクリックして詳細をご覧ください。

レート制限では、ログインを保護する機能をワンクリックで設定でき、5分以内に6 POST(投稿)以上のリクエストを送信する場合、15分間クライアントをブロックするというルールを作成できます。これはブルートフォースのほとんどの試行をブロックします。

  1. Cloudflareアカウントにログインします。
  2. 保護するドメインを選択します。
  3. ファイアウォールアプリをクリックし、「ツール」(Tool)タブをクリックします。
  4. レート制限の「ログインを保護する」をクリックします。
  5. ダイアログが表示される「ログインを保護する」で、ルール名と「ログインURLを入力する」を入力します。
  6. 保存」(save)をクリックします。
  7. レート制限ルールの一覧に、ルール名が表示されます。

1. Cloudflareダッシュボードにログインします。

2. ドメインを選択します。

3. ファイアウォールアプリをクリックし、「ツール」タブをクリックします。

4. 「カスタムルールを作成する」をクリックします。新しいルールの詳細を特定する箇所で、ダイアログが開きます。

旧 URL: https://support.cloudflare.com/hc/article_attachments/360023090791/cf-firewall-rate_limiting-create-rule-basic.png Article IDs: 115001635128 | Cloudflare ダッシュボードでレート制限を設定する

5. わかりやすい「ルール名」を入力します。

6. 「URLと一致するトラフィックの場合」(If Traffic Matching the URL)では、ドロップダウンからHTTPスキームとURLを選択します。

7. 「同じIPアドレスからの超過」(from the sme IP address exceeds)では、サンプリング期間のリクエスト数に、1より大きい整数を入力します。

8. 「時間ごとのリクエスト」(requests per)については、サンプリング期間(リクエストがカウントされる期間)を選択します。Enterpriseプランのドメインは、手動で10秒から3600秒(1時間)までの任意の時間を入力できます。

9. 「次に」(Then)ドロップダウンでは、ご利用中のプランで利用できるアクションを1つ選びます。詳細については、上記のレート制限ルールのコンポーネントにあるルール緩和セクションを確認してください。

10.ブロックまたはログを選択した場合、訪問者からのトラフィックと一致させるために、しきい値がトリガーされた場合に、オプションを適用する時間(期間)を選択します。Enterprise プランのドメインは、10秒から86400秒(24時間)の間で任意の値を入力できます。

11.新しいルールをアクティブ化するために、保存してデプロイするをクリックします。

12. レート制限ルールの一覧に、ルール名が表示されます。

レート制限ルールが変更されると、ルールが現在トリガーされているアクションが消去されます。現在進行中の攻撃を軽減するためにレート制限ルールを編集する際は、注意を払ってください。

一般的に、低いしきい値を設定する際は:

  1. 既存のルールをそのままにし、低いしきい値で新しいルールを追加します。
  2. 新しいルールが設定されたら、古いルールを削除する前に古いルールのアクション期間が経過するのを待ちます。

(正当なクライアントのブロックが原因で)高いしきい値を設定する際は、既存のルール内でしきい値を増やします。

Task 2: 高度な基準を設定する(BusinessとEnterpriseプランのみ)

高度な基準オプションでは、HTTPメソッド、ヘッダーレスポンス、レート制限ルールと一致するオリジンレスポンスコードを設定します。

新規のルールまたは既存のルールに高度な基準を設定するには、次の手順にしたがってください。

1. 「高度な基準」をクリックします。

旧 URL: https://support.cloudflare.com/hc/article_attachments/360023090851/cf-firewall-rate_limiting_create_rule_advanced_criteria.png Article IDs: 115001635128 | Cloudflare ダッシュボードでレート制限を設定する

2. メソッドドロップダウンから値を選択します。「全て」は、HTTPメソッド全てと一致するデフォルトです。

3. HTTPレスポンスヘッダーでフィルターをかけます。CF-Cache-Statusヘッダーは、デフォルトで表示されます。そのため、Cloudflareはこうしたリソースのレート制限ではなく、キャッシュされたリソースを提供します。「ヘッダーレスポンスフィールドを追加する」をクリックし、オリジンWebサーバーから戻されたヘッダーを含めます。

HTTPレスポンスヘッダーで、複数のヘッダーがある場合、ANDブール論理が適用されます。ヘッダーを除外する場合は、「等しくない(Not Equals)」オプションを使用します。また、各ヘッダーはアルファベットの大文字と小文字を区別しません。

4.オリジンレスポンスコードで、一致する各HTTPレスポンスコードの数値を入力します。カンマを使って、二つ以上のHTTPコードを区切ります。例:401, 403 

5. 「保存して展開する」をクリックするか、ご利用中のプランで追加が許可されるレート制限機能を設定します。

Task 3: 高度なレスポンスを設定する(BusinessとEnterpriseプランのみ)

高度なレスポンスオプションは、ルールのしきい値が超えた時にCloudflareによって戻される情報フォーマットを設定します。これは、次の手順で設定されます。

1. 「高度なレスポンス」をクリックします。

旧 URL: https://support.cloudflare.com/hc/article_attachments/360023060072/cf-firewall-rate_limiting-create-rule-advanced_response.png Article IDs: 115001635128 | Cloudflare ダッシュボードでレート制限を設定する

2. レスポンスタイプのフォーマットを選択します。最大レスポンスサイズは、32kbです。

カスタムHTMLページまたは32kB制限以上を表示するために、アクションパラメーターのレスポンスオブジェクトを経由し、Cloudflare APIを介してメタデータ更新レート制限ルールに追加します。例:

"response": { "content_type": "text/html", "body": "\u003cmeta http-equiv=\"refresh\" content=\"0; url=https://www.example.com/about\" /\u003e"}

レート制限ルールは、リダイレクトURLと一致してはいけません。DDoS攻撃から保護するには、リダイレクトするページにCloudflareがキャッシュしたリソースが含まれている必要があります。

3. 保存して展開するをクリックするか、ご利用中のプランにある追加機能を設定します。

Task 4: バイパスオプションを設定する(Enterpriseプランのみ)

バイパスによって許可リストまたは例外が作成され、レート制限が一致しても、特定のURLセットにアクションが適用されないようになります。次の手順でバイパスを設定します。

1. バイパスをクリックします。

2. こうしたURLテキストボックスのバイパスルールで、レート制限ルールを免除するためにURLを入力します。URLの行に各URLを入力します。 URLで指定されているHTTPまたはHTTPSは、ルールが保存されると自動的に消去され、代わりにHTTPとHTTPSの両方に適用されます。

旧 URL: https://support.cloudflare.com/hc/article_attachments/360023091091/cf-firewall-rate_limiting-create-rule-bypass.png Article IDs: 115001635128 | Cloudflareダッシュボードでレート制限を設定する

3. 「保存して展開する」をクリックするか、ご利用中のプランに基づいて追加機能を設定します。

ルール実行の順序

ユースケース1:リクエストが以下の両方のルールと一致する場合、

  • ルール1:test.example.comと一致
  • ルール2:*.example.comと一致

または、

  • ルール1:*.example.com*と一致
  • ルール2:test.example.comと一致

ルール2が最初にトリガーされます。これはルール2が後で作成されたためです。

ユースケース2:ドメインの最後にあるアステリスク(*)を削除すると、最後に作成されたルールに沿って実行されます

  • ルール1:test.example.comと一致
  • ルール2:*.example.comと一致

リクエストが両方のルールと一致する場合、ルール2が最初にトリガーされます。

  • ルール1:*.example.comと一致
  • ルール2:test.example.comと一致

リクエストが両方のルールと一致する場合、ルール2が最初にトリガーされます。

関連リソース

必要なものが見つかりませんでしたか?

サポートに関する質問の95%が、検索によって解決できます。検索は、回答を得るために最速の方法です。

コミュニティに質問する リクエストを送信

関連記事

必要なものが見つかりませんでしたか?

サポートに関する質問の95%が、検索によって解決できます。検索は、回答を得るために最速の方法です。

コミュニティに質問する リクエストを送信する