【目次】
1. はじめに
2026年2月3日に、レート制限ルールのグループの項目にX-Forwarded-Forをベースとした条件がプレビュー版としてリリースされたとAzureから発表がありました。
Public Preview: X-Forwarded-For (XFF) grouping for rate limiting on Application Gateway WAF v2
Application Gateway向けAzure WAFのレートベースルールについては、以下のブログ記事もご参考ください。
Azure WAFにてレートベースルールが適用できるようになりました
※Public Preview(プレビュー版)は、フィードバックや評価の目的でAzureのユーザーに提供される機能となります。今後提供される可能性のある機能を試せる機会となりますが、一般提供されている他の機能とは異なりますので、リリースタイミングが確定していない点や、プレビュー版がそのままリリースされるとは限らない点に注意が必要です。
また、プレビューの追加使用条件が適用されます。詳細については、Microsoft Azure プレビューの追加使用条件をご参考ください。
2. グループとは
グループは、レート制限ルールの設定を行う際に、指定必須の項目として表示される「トラフィックのレート制限の基準となるグループ」という項目を指します。
当該項目のツールチップを表示すると、以下の通り何をするための項目かが記載されています。
レート制限での要求カウントの基準にするグループを定義します (たとえば、国を基準にグループにすると、その国からのすべての要求が、レート制限期間にしきい値に対してカウントされます)。
3. X-Forwarded-Forによるグルーピングについて
今回のリリースで追加されたのは、以下の2つの項目です。
- クライアント アドレス XFF ヘッダー (プレビュー)
- geo XFF ヘッダー (プレビュー)
クライアント アドレス XFF ヘッダーを選択すると、X-Forwarded-For ヘッダーにある IP アドレスに基づいてグループ化が行われます。以前から存在している「クライアント アドレス」という項目のX-Forwarded-For ヘッダー版だと思うと、理解しやすいかもしれません。
geo XFF ヘッダーを選択すると、X-Forwarded-For ヘッダーにある IP アドレスから地域を判定し、その地域をもとにグループ化されます。こちらは、既存の「geo ロケーション」のという項目のX-Forwarded-For ヘッダー版のようです。
例えば、以下のような設定を行った場合、X-Forwarded-For ヘッダーに記載されている同一のIPアドレスから大量のリクエストがきた場合にブロックすることが可能となります。
- レート制限の期間:5分
- レート制限のしきい値 (要求数):100回
- トラフィックのレート制限の基準となるグループ:クライアント アドレス XFF ヘッダー (プレビュー)
- 条件
- 一致の種類:IPアドレス
- 演算:次の値を含まない
- IP アドレスまたは範囲:255.255.255.255/32
- アクション(結果):トラフィックを拒否する
いずれの項目も、Application Gatewayの前段にCDNが存在していて、対象のクライアントIPアドレスをX-Forwarded-For ヘッダーから取得したいという場合に、利用できる機能となっています。
4. WafCharmとの併用
2026年2月9日現在、WafCharmの方ではこちらのアップデートに追随できておらず、対応中となります。お客様にてクライアント アドレス XFF ヘッダーあるいはgeo XFF ヘッダーを用いたレート制限ルールを追加した場合、WafCharm側でエラーが発生する可能性があります。ご不便をおかけし申し訳ありませんが、対応が完了次第ご案内いたしますので今しばらくお待ちください。
5. おわりに
これまでCDNなどが前段にあった場合にはレート制限が難しい状況でしたが、X-Forwarded-For ヘッダーを用いたグループ化により、より柔軟な制御が可能になりました。
しかしながら、ヘッダー名の指定等はできないため、X-Forwarded-For以外のヘッダーをご利用の場合には引き続きレート制限が行えない状態となりますので、注意が必要かもしれません。