Anti-DDoS Pro または Anti-DDoS Premium は、トラフィックを Anti-DDoS ノードにルーティングしてフィルタリングすることで、ウェブサイトを保護します。悪意のある攻撃トラフィックをフィルタリングし、正当なトラフィックをオリジンサーバーに転送します。このトピックでは、ウェブサイトを Anti-DDoS Pro または Anti-DDoS Premium に迅速に追加し、主要な設定を完了する方法について説明します。
適用範囲
Anti-DDoS Pro または Anti-DDoS Premium インスタンス: ご利用のビジネス要件に基づいて、Anti-DDoS Pro または Anti-DDoS Premium インスタンスを購入済みである必要があります。詳細については、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスの購入」をご参照ください。
ICP 登録: 中国本土にデプロイされた Anti-DDoS Pro または Anti-DDoS Premium インスタンスを使用する場合、ご利用のドメインが ICP 登録を完了していることを確認してください。
ステップ 1: ウェブサイトサービスの追加
Anti-DDoS Pro または Anti-DDoS Premium でウェブサイトを保護するには、まずウェブサイトのドメイン名を追加し、Anti-DDoS Pro または Anti-DDoS Premium コンソールでトラフィック転送ルールを設定します。
Anti-DDoS Proxy コンソールの Website Config ページにログインします。
上部のナビゲーションバーで、ご利用のインスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): [中国本土] リージョンを選択します。
Anti-DDoS Proxy (中国本土以外): [中国本土以外] リージョンを選択します。
ドメイン接続 ページで、ドメインの追加 をクリックします。
説明また、ページの下部にある一括ドメインインポートをクリックして、複数のウェブサイト構成を一度にインポートすることもできます。構成は XML ファイルである必要があります。ファイル形式の詳細については、「その他の操作」をご参照ください。
「Web サイトへのアクセス」の情報を入力し、「次へ」をクリックします。
基本設定
Function Plan: 関連付けたい Anti-DDoS Pro インスタンスのプランを選択します。選択肢: Standard および 強化。
説明Function Plan の横にある
アイコンにカーソルを合わせると、スタンダードプランと拡張プランの機能の違いを表示できます。詳細については、「スタンダードプランと拡張プランの機能の違い」をご参照ください。インスタンス: 関連付ける Anti-DDoS Pro インスタンスを選択します。
重要1 つのドメイン名は最大 8 つの Anti-DDoS Pro インスタンスに関連付けることができます。インスタンスは同じ Function Plan を使用する必要があります。
ドメイン:保護するウェブサイトのドメイン名を入力します。
www.example.comなどの完全一致ドメイン名、または*.example.comなどのワイルドカードドメイン名を入力できます。説明ワイルドカードドメイン名(例:
*.aliyundoc.com)と完全一致ドメイン名(例:www.aliyundoc.com)の両方に構成が存在する場合、Anti-DDoS Pro は完全一致ドメイン名(www.aliyundoc.com)の転送ルールおよび緩和ポリシーを優先します。ルートドメインを入力した場合、ルートドメインのみが保護されます。第 2 レベルドメインおよびその他のサブドメインは保護されません。第 2 レベルドメインを保護する場合は、第 2 レベルドメインまたはワイルドカードドメイン名を入力してください。
ドメイン名のみを入力でき、IP アドレスは入力できません。
プロトコル: ウェブサイトがサポートするプロトコルを選択します。
HTTP / HTTPS: Web サービスの基本プロトコルです。
説明HTTPS 設定の詳細については、HTTPS 設定 タブの説明をご参照ください。
Websocket / Websockets: リアルタイム通信プロトコルです。これらのプロトコルのいずれかを選択すると、HTTP または HTTPS が自動的に選択されます。
サーバー IP: Anti-DDoS Pro がオリジンフェッチ中に使用するバックエンドサーバー (オリジンサーバー) のアドレスを設定します。
オリジン IP アドレス: オリジンサーバーのパブリック IP アドレスを入力します。複数の IP アドレスをコンマで区切って入力できます。例:
オリジンサーバーが Alibaba Cloud 上にある場合: オリジン ECS インスタンスのパブリック IP アドレスを入力します。ECS インスタンスの前に Server Load Balancer (SLB) インスタンスがデプロイされている場合は、SLB インスタンスのパブリック IP アドレスを入力します。
オリジンサーバーが Alibaba Cloud によって管理されていないデータセンターにあるか、別のクラウドプラットフォーム上にある場合:
ping <domain name>コマンドを実行して、ドメイン名が解決されるパブリック IP アドレスをクエリします。次に、そのパブリック IP アドレスを入力します。
オリジンドメイン名:
シナリオ: このオプションは、オリジンサーバーと Anti-DDoS Pro の間に別のプロキシサービスが設定されているシナリオに適しています。例:
WAF が先行プロキシとして使用されている場合、WAF インスタンスの CNAME を入力できます。詳細については、「Anti-DDoS Pro と WAF を一緒にデプロイしてウェブサイト保護を強化する」をご参照ください。
配信元サーバードメイン を Object Storage Service (OSS) バケットの デフォルトパブリックエンドポイント に設定した場合、カスタムドメイン名をバケットにアタッチする必要があります。詳細については、「カスタムドメイン名のアタッチ」をご参照ください。
制限: 最大 10 個のオリジンドメイン名を設定できます。改行で区切ってください。
サーバーポート: オリジンサーバーが Web サービスのリッスンに使用するポートを設定します。
HTTP / Websocket: デフォルトポートは 80 です。
HTTPS / Websockets: デフォルトポートは 443 です。
カスタムサーバーポート:
複数のポート: 複数のポートをコンマで区切って指定できます。Anti-DDoS Pro インスタンスによって保護されるすべてのウェブサイトサービスに対するカスタムポートの合計数は 10 を超えることはできません。これには、異なるプロトコル用のカスタムポートが含まれます。
ポート範囲 (HTTP/HTTPS): 80 から 65535
HTTPS 設定
暗号化認証のために HTTPS を選択した場合、以下の設定を完了してください。
証明書の設定: HTTPS を有効にするには、ウェブサイトドメイン名に一致する SSL 証明書を設定する必要があります。
手動アップロード: [証明書名] を指定し、証明書ファイルの内容を [証明書ファイル] フィールドに貼り付け、秘密鍵ファイルの内容を [秘密鍵] フィールドに貼り付けてください。
説明証明書ファイルが PEM、CER、または CRT 形式の場合、テキストエディターで開いて内容をコピーします。PFX や P7B などの他の形式の場合、まずファイルを PEM 形式に変換してから内容をコピーします。証明書ファイルの形式を変換する方法の詳細については、「証明書の形式を変換する」または「SSL 証明書を PEM 形式に変換する方法」をご参照ください。
ファイルに複数の証明書(例:証明書チェーン)が含まれている場合、それらの内容を連結し、連結した内容を[証明書ファイル] フィールドに貼り付けます。
既存の証明書の選択: Certificate Management Service (Original SSL Certificate) から証明書を申請済み、または Certificate Management Service に証明書をアップロード済みの場合、証明書を直接選択できます。
TLS セキュリティ設定 を設定します。
説明詳細については、「サーバーの HTTPS 証明書の TLS セキュリティポリシーをカスタマイズする」をご参照ください。
TLS バージョン :: 国際標準 HTTPS 証明書がサポートする TLS バージョンを選択します。
TLS 1.0 以降のバージョン。この設定は最高の互換性を提供しますが、セキュリティレベルは低くなります。: TLS 1.0、TLS 1.1、および TLS 1.2 をサポートします。
TLS 1.1 以降のバージョン。この設定は良好な互換性と中程度のセキュリティレベルを提供します。: TLS 1.1 および TLS 1.2 をサポートします。
TLS 1.2 以降のバージョン。この設定は良好な互換性と高いセキュリティレベルを提供します。: TLS 1.2 をサポートします。
Enable TLS 1.3 Support: TLS 1.3 をサポートします。
暗号スイート :: 国際標準 HTTPS 証明書でサポートされている暗号スイートを選択するか、カスタム暗号スイートを選択します。暗号スイートオプションの
アイコンにポインターを合わせると、含まれる暗号スイートを表示できます。
相互認証:
Alibaba Cloud 発行者: デフォルトの CA 証明書を選択 のドロップダウンリストからデフォルトのCA証明書を選択します。この証明書は、Alibaba Cloud の Certificate Management Service (Original SSL Certificate) によって発行されます。
非 Alibaba Cloud 発行者:
まず、自己署名 CA 証明書を Certificate Management Service (Original SSL Certificate) にアップロードします。詳細については、「証明書リポジトリをアップロードする」をご参照ください。
「デフォルトの CA 証明書を選択」ドロップダウンリストで、アップロード済みの自己署名 CA 証明書を選択します。
OCSP Stapling を有効にする: OCSP は Online Certificate Status Protocol の略です。サーバー証明書を発行した認証局 (CA) にクエリを送信し、証明書が取り消されているかどうかを確認するために使用されます。サーバーとの TLS ハンドシェイク中に、クライアントは証明書とその対応する OCSP レスポンスの両方を取得する必要があります。
重要OCSP レスポンスは CA によってデジタル署名されており、偽造することはできません。この機能を有効にしても、追加のセキュリティリスクは発生しません。
Disabled (Default): クライアントは TLS ハンドシェイク中に CA に OCSP クエリを送信し、証明書が取り消されているかどうかを検証します。このプロセスは接続をブロックし、ネットワークの状態が悪い場合はページ読み込みの遅延を引き起こす可能性があります。
Enabled: Anti-DDoS Pro は OCSP クエリを実行し、結果を 3,600 秒間キャッシュします。クライアントがサーバーに TLS ハンドシェイク要求を開始すると、Anti-DDoS Pro はキャッシュされた OCSP レスポンスを証明書チェーンとともにクライアントに送信します。これにより、クライアント側のクエリによって引き起こされるブロックの問題が回避され、HTTPS パフォーマンスが向上します。
SM 証明書: Anti-DDoS Pro (中国本土) インスタンスのみが SM ベースの HTTPS 証明書のアップロードをサポートしています。SM2 アルゴリズムのみがサポートされています。
Allow Access Only from SM Certificate-based Clients: このスイッチはデフォルトでオフになっています。
オン: SM 証明書がインストールされているクライアントからのリクエストのみを処理します。
説明有効にすると、国際的に認められたアルゴリズムを使用する証明書の TLS スイート、相互認証、および OCSP ステープリング設定は適用されません。
オフ: SM 証明書がインストールされているクライアントからのリクエストと、国際的に認められたアルゴリズムを使用する証明書を持つクライアントからのリクエストの両方を処理します。
SM Certificate: SM 証明書を選択する前に、Certificate Management Service にアップロードする必要があります。
SM Cipher Suites for HTTPS Support: 以下の暗号スイートはデフォルトで有効になっており、変更できません。
ECC-SM2-SM4-CBC-SM3
ECC-SM2-SM4-GCM-SM3
ECDHE-SM2-SM4-CBC-SM3
ECDHE-SM2-SM4-GCM-SM3
詳細設定
HTTPS リダイレクトの有効化: この設定は、HTTP と HTTPS の両方をサポートするウェブサイトに適しています。この設定を有効にすると、すべての HTTP リクエストはデフォルトでポート 443 の HTTPS リクエストに強制的にリダイレクトされます。
重要この設定は、HTTP プロトコルと HTTPS プロトコルの両方を選択し、Websocket プロトコルを選択しない場合にのみ有効にできます。
非標準 HTTP ポート (80 以外) を介してウェブサイトにアクセスし、HTTPS への強制リダイレクトを有効にした場合、アクセスリクエストはデフォルトで HTTPS ポート 443 にリダイレクトされます。
HTTP/2 の有効化: このスイッチがオンの場合、HTTP/2 を使用するクライアントは Anti-DDoS Pro にアクセスできます。ただし、Anti-DDoS Pro はオリジンフェッチには引き続き HTTP/1.1 を使用します。HTTP/2 機能の仕様は以下のとおりです。
基本仕様:
接続終了後のアイドルタイムアウト (http2_idle_timeout): 120 秒
接続あたりの最大リクエスト数 (http2_max_requests): 1,000
接続あたりの最大同時ストリーム数 (http2_max_concurrent_streams): 4
HPACK 展開後のリクエストヘッダーリスト全体の最大サイズ (http2_max_header_size): 256 K
HPACK 圧縮リクエストヘッダーフィールドの最大サイズ (http2_max_field_size): 64 K
設定可能な仕様: HTTP 2.0 Stream ストリームの最大数を設定する を設定できます。これは、クライアントと Anti-DDoS Pro の間で許可される同時ストリームの最大数です。
Set Forward Connection Timeout: これは、クライアントと Anti-DDoS Pro 間で確立された TCP 持続的接続のアイドルタイムアウト期間です。2 つのクライアントリクエスト間の最大待機時間です。
説明指定された期間内に新しいリクエストが受信されない場合、Anti-DDoS Pro はリソースを解放するために接続を閉じます。
転送の設定 に移動し、次へ をクリックします。
オリジン戻り設定
Back-to-origin スケジューリングアルゴリズム: 複数のオリジン IP アドレスまたはオリジンドメイン名を設定した場合、ロードバランシングアルゴリズムを変更したり、異なるサーバーに重みを設定したりして、オリジンサーバー間でトラフィックをどのように分散するかを決定できます。
Method
Scenarios
Description
ラウンドロビン (デフォルト)
複数のオリジンサーバーを使用し、高いロードバランシング性能を必要とするシナリオ。
すべてのリクエストは、すべてのサーバーアドレスに順番に分散されます。デフォルトでは、すべてのサーバーアドレスは同じ重みを持っています。サーバーの重みを変更できます。重みが大きいほど、リクエストを受信する可能性が高くなります。
IP hash
セッションの一貫性を必要とするシナリオ。極端な場合、負荷の不均衡が発生する可能性があります。
同じクライアント IP アドレスからのリクエストは常に同じオリジンサーバーに転送され、セッションの一貫性が確保されます。IP ハッシュアルゴリズムを使用しながらサーバーに重みを設定できます。これにより、サーバーの処理能力に基づいてトラフィックを分散し、パフォーマンスの高いサーバーを優先できます。
最小時間
ゲームやオンライン取引など、アクセス速度と応答レイテンシーに非常に敏感なサービス。
インテリジェント DNS 解析機能とオリジンフェッチの最小時間アルゴリズムにより、POP からオリジンサーバーまでのリンク全体のレイテンシーが最短になります。
Back-to-origin の再試行: ドメイン転送のためにオリジンサーバーの可用性をチェックするヘルスチェックプローブの数。デフォルト値は 3 です。リトライメカニズムは次のように機能します。
オリジン戻りリトライ機能は、サービストラフィックがエッジゾーンにアクセスした場合にのみトリガーされます。エッジゾーンがドメイン名のオリジンサーバーが利用できないことを検出すると、オリジンフェッチをリトライします。
最大リトライ回数後もオリジンサーバーに到達できない場合、サイレンス期間に入ります。この期間中、オリジンサーバーにはトラフィックが転送されず、プローブも送信されません。
サイレンス期間が終了すると、サービストラフィックに基づいてオリジン戻りリトライ機能が再度トリガーされます。リトライが成功した場合、オリジンサーバーは再アクティブ化されます。
トラフィックマーキング:
Request Header Forwarding Configuration: Anti-DDoS Proxy はリクエストヘッダー転送をサポートしています。オリジンサーバーにリクエストを転送する際に、HTTP リクエストヘッダーを追加または変更できます。これにより、Anti-DDoS Proxy を通過するトラフィックを識別し、マークすることができます。
Insert X-Client-IP to Get Originating IP Address:クライアントの元の IP アドレスを透過します。
Insert X-True-IP to Forward Client IP: クライアントが接続を確立するために使用した IP アドレスを転送します。
Insert Web-Server-Type to Get Service Type:通常、最初のプロキシによって追加されます。バックエンドサーバーに、どのフロントエンド Web サーバーまたはプロキシがリクエストを処理したかを通知します。
Insert WL-Proxy-Client-IP to Get Connection IP: X-Client-IP と同じ機能です。Oracle WebLogic Server 固有のヘッダーです。
X-Forwarded-Proto (Listener Protocol): クライアントと最初のプロキシ間で使用されるプロトコル。
トラフィックマーク
デフォルトマーク
説明JA3 指紋、JA4 指紋、クライアント TLS 指紋、および HTTP2.0 指紋 の設定には、アカウントマネージャーのサポートが必要です。
ご利用のサービスでデフォルトマークの代わりにカスタムフィールドを使用する場合は、後述の カスタムヘッダー をご参照ください。設定後、オリジンサーバーは Anti-DDoS Proxy から転送されたリクエストからこのフィールドを解析します。解析例については、「Anti-DDoS Proxy 設定後の送信元 IP アドレスの取得」をご参照ください。
クライアントの実際の送信元ポート:HTTP ヘッダー内のクライアントの送信元ポートのヘッダーフィールド名です。通常、
X-Forwarded-ClientSrcPortフィールドに記録されます。クライアントの実際の送信元 IP アドレス:HTTP ヘッダー内のクライアントの送信元 IP アドレスのヘッダーフィールド名です。通常、
X-Forwarded-Forフィールドに記録されます。JA3 指紋:HTTP ヘッダー内のクライアント JA3 フィンガープリントから生成された MD5 ハッシュ値のヘッダーフィールド名です。通常、
ssl_client_ja3_fingerprint_md5フィールドに記録されます。JA4 指紋:HTTP ヘッダー内のクライアント JA4 フィンガープリントから生成された MD5 ハッシュ値のヘッダーフィールド名です。通常、
ssl_client_ja4_fingerprint_md5フィールドに記録されます。クライアント TLS 指紋:HTTP ヘッダー内のクライアント TLS フィンガープリントから生成された MD5 ハッシュ値のヘッダーフィールド名です。通常、ssl_client_tls_fingerprint_md5 フィールドに記録されます。
HTTP2.0 指紋:HTTP ヘッダー内のクライアント HTTP/2.0 フィンガープリントから生成された MD5 ハッシュ値のヘッダーフィールド名です。通常、
http2_client_fingerprint_md5フィールドに記録されます。
カスタムヘッダー:Anti-DDoS Proxy を通過するリクエストをマークするために、カスタム HTTP ヘッダー (フィールド名と値を含む) を追加します。Anti-DDoS Proxy がウェブサイトのトラフィックを転送する際、設定されたフィールド値をオリジンサーバーに送信されるリクエストに追加します。これにより、バックエンドサービスがトラフィックを分析および追跡しやすくなります。
命名制限:元のリクエストヘッダーフィールドの上書きを避けるため、カスタムヘッダーには以下の予約済みまたは一般的なフィールド名を使用しないでください:
Anti-DDoS Proxy のデフォルトフィールド:
X-Forwarded-ClientSrcPort:デフォルトで、レイヤー 7 エンジンアクセス用のクライアントポートを取得するために使用されます。X-Forwarded-ProxyPort:デフォルトで、レイヤー 7 エンジンアクセス用のリスニングポートを取得するために使用されます。X-Forwarded-For:デフォルトで、レイヤー 7 エンジンアクセス用のクライアント IP アドレスを取得するために使用されます。ssl_client_ja3_fingerprint_md5:デフォルトで、クライアント JA3 フィンガープリントの MD5 ハッシュ値を取得するために使用されます。ssl_client_ja4_fingerprint_md5:デフォルトで、クライアント JA4 フィンガープリントの MD5 ハッシュ値を取得するために使用されます。ssl_client_tls_fingerprint_md5:デフォルトで、クライアント TLS フィンガープリントの MD5 ハッシュ値を取得するために使用されます。http2_client_fingerprint_md5:デフォルトで、クライアント HTTP/2.0 フィンガープリントの MD5 ハッシュ値を取得するために使用されます。
標準 HTTP フィールド:例:host、user-agent、connection、upgrade。
一般的なプロキシフィールド:例:x-real-ip、x-true-ip、x-client-ip、web-server-type、wl-proxy-client-ip、eagleeye-rpcid、eagleeye-traceid、x-forwarded-cluster、x-forwarded-proto。
数量制限:最大 5 つのカスタムヘッダーラベルを追加できます。
設定に関する推奨事項:
まず デフォルトマーク を使用してください。
本番環境に適用する前に、ステージング環境でヘッダーフィールドの設定を検証してください。
転送パフォーマンスへの影響を避けるため、フィールド値は 100 文字以下にすることを推奨します。
CNAME Reuse: CNAME 再利用を有効にするかどうかを選択します。CNAME 再利用を有効にすると、同じサーバーでホストされている複数のドメイン名を、それらの DNS レコードを同じ Anti-DDoS Pro CNAME に向けることで Anti-DDoS Pro に追加できます。各ドメイン名に対して個別のウェブサイト設定を追加する必要はありません。詳細については、「CNAME 再利用」をご参照ください。
重要このパラメーターは Anti-DDoS Pro (中国本土以外) のみがサポートしています。
その他の設定
HTTPS back-to-origin リクエストのリダイレクトの有効化: ご利用のウェブサイトがオリジンフェッチに HTTPS をサポートしていない場合、この設定を有効にする必要があります。この設定を有効にすると、すべての HTTPS リクエストは HTTP 経由でオリジンサーバーに送信され、すべての Websockets リクエストは Websocket 経由で送信されます。デフォルトのオリジンポートは 80 です。
説明非標準 HTTPS ポート (443 以外) を介してウェブサイトにアクセスし、オリジンフェッチに HTTP を有効にした場合、アクセスリクエストはデフォルトでオリジンサーバーの HTTP ポート 80 にリダイレクトされます。
HTTP/2.0 Origin: オリジンフェッチに HTTP/2.0 を有効にすると、Anti-DDoS Pro は HTTP/2.0 を使用してオリジンサーバーにリクエストを送信します。
警告この機能を設定するには、ご利用のアカウントマネージャーにお問い合わせください。
ご利用のオリジンサーバーが HTTP/2.0 をサポートしていない場合、この機能を設定しないでください。そうしないと、ご利用のウェブサイトにアクセスできなくなります。
Cookie の設定
ステータス: デフォルトで有効になっています。Anti-DDoS Pro は、クライアント (ブラウザなど) に Cookie を挿入して、クライアントを区別したり、クライアント指紋を取得したりします。詳細については、「HTTP フラッド攻撃保護の設定」をご参照ください。
重要ご利用のアプリケーションを Anti-DDoS Pro に追加した後、ログイン失敗やセッション損失が発生した場合、このスイッチを無効にしてみてください。このスイッチを無効にすると、一部の HTTP フラッド攻撃保護機能が無効になることに注意してください。
Secure 属性: デフォルトで無効になっています。この属性を有効にすると、Cookie は HTTPS 接続でのみ送信され、HTTP 接続では送信されません。これにより、Cookie が盗難されるのを防ぐことができます。
説明ご利用のウェブサイトサービスが HTTPS 接続のみをサポートしている場合は、この属性を有効にすることをお勧めします。
新規接続のタイムアウト時間を設定する: Anti-DDoS Pro がオリジンサーバーへの接続を確立するまで待機する時間です。
説明この期間内に接続が確立されない場合、試行は失敗と見なされます。
読み取り接続タイムアウトの設定: Anti-DDoS Pro が接続を確立し、読み取りリクエストを送信した後、オリジンサーバーからの応答を待機する最大時間です。
書き込み接続タイムアウトの設定: Anti-DDoS Pro がデータを送信した後、オリジンサーバーが処理を開始するまで待機する時間です。
説明Anti-DDoS Pro がすべてのデータをオリジンサーバーに送信できない場合、またはオリジンサーバーがこの期間内にデータの処理を開始しない場合、試行は失敗と見なされます。
Back-to-origin の長時間接続: キャッシュサーバーとオリジンサーバー間の TCP 接続は、各リクエスト後に切断される代わりに一定期間アクティブなままです。これによりリソースが浪費される場合があります。 Back-to-origin の長時間接続 を有効化すると、接続確立時間およびリソース消費を削減でき、リクエスト処理効率と速度を向上させることができます。
長時間接続の再利用リクエスト数: Anti-DDoS Pro からオリジンサーバーへの単一 TCP 接続で送信できる HTTP リクエストの数。これにより、頻繁な接続確立と終了によって引き起こされるレイテンシーとリソース消費が削減されます。
説明この値は、WAF や SLB インスタンスなどのバックエンドオリジンサーバーで設定されている持続的接続あたりのリクエスト数以下に設定することをお勧めします。これにより、接続終了によって引き起こされるサービスアクセス不可を防ぐことができます。
アイドル中の長時間接続のタイムアウト: Anti-DDoS Pro からオリジンサーバーへのアイドル状態の TCP 持続的接続が、Anti-DDoS Pro の接続プールで開いたままにできる最大時間です。この期間内に新しいリクエストが受信されない場合、システムリソースを解放するために接続は閉じられます。
説明この値は、WAF や SLB インスタンスなどのバックエンドオリジンサーバーで設定されているタイムアウト期間以下に設定することをお勧めします。これにより、接続終了によって引き起こされるサービスアクセス不可を防ぐことができます。
ステップ 2: ウェブサイトトラフィックを Anti-DDoS Pro または Anti-DDoS Premium に切り替える
ウェブサイトトラフィックは、オリジンサーバーに転送される前に、まず Anti-DDoS Pro または Anti-DDoS Premium を通過してフィルタリングされる必要があります。これにより、Anti-DDoS Pro または Anti-DDoS Premium は DDoS 攻撃からご利用のウェブサイトを保護できます。
オリジン戻り IP アドレスをホワイトリストに追加: ファイアウォールやセキュリティグループなど、ご利用のオリジンサーバーのセキュリティポリシーで、Anti-DDoS Pro のオリジン戻り IP アドレス範囲をホワイトリストに追加します。これにより、Anti-DDoS Pro からオリジンサーバーに転送されたトラフィックがブロックされるのを防ぎます。詳細については、「Anti-DDoS Pro のオリジン戻り IP アドレスをホワイトリストに追加する」をご参照ください。
ローカルでの設定検証: DNS レコードを切り替える前に、ローカルの
hostsファイルを変更して、転送設定が期待どおりに機能するかどうかを検証します。これにより、サービス中断を防ぐことができます。詳細については、「ローカルマシンでのトラフィック転送設定の検証」をご参照ください。DNS レコードの切り替え: ローカル検証が成功した後、ご利用のウェブサイトドメイン名の DNS レコードを Anti-DDoS Pro が提供する CNAME に変更します。この操作により、サービストラフィックが保護のために Anti-DDoS Pro に切り替わります。詳細については、「CNAME または IP アドレスを使用してドメイン名を Anti-DDoS Pro インスタンスに解決する」をご参照ください。
ステップ 3: 緩和ポリシーの設定
ウェブサイトを追加すると、Anti-DDoS Pro または Anti-DDoS Premium は、デフォルトで DDoS グローバルミティゲーション、インテリジェント保護、および 頻度制御 を有効にします。また、ウェブサイトサービスの保護 タブで追加の保護機能を有効にしたり、保護ルールを変更したりすることもできます。
ドメイン接続 ページで、対象のドメイン名を探し、操作 > Mitigation 設定 をクリックします。
ウェブサイトサービスの保護 タブで、ターゲットドメイン名の緩和ポリシーを作成します。
Configuration Item
Description
インテリジェント保護
デフォルトで有効になっています。Intelligent Protection は、インテリジェントなビッグデータベースの分析エンジンを使用して、トラフィックパターンを学習し、新しいタイプの HTTP フラッド攻撃を検出およびブロックし、ポリシーを動的に調整して悪意のあるリクエストをブロックします。保護モードとレベルを手動で変更できます。詳細については、「インテリジェント保護機能の使用」をご参照ください。
DDoS グローバルミティゲーション
デフォルトで有効になっています。Anti-DDoS Pro または Anti-DDoS Premium は、トラフィックフィルタリング強度によって分類された 3 つの組み込みグローバル緩和ポリシーを提供します。これらのポリシーは、大量攻撃に即座に対応し、応答の適時性を向上させるのに役立ちます。詳細については、「グローバル緩和ポリシーの設定」をご参照ください。
ブラックリストおよびホワイトリスト (ドメイン名)
このポリシーを有効にすると、ブラックリスト内の IP アドレスまたは CIDR ブロックからのリクエストはブロックされ、ホワイトリスト内の IP アドレスまたは CIDR ブロックからのリクエストは、どの緩和ポリシーによるフィルタリングもなしに許可されます。詳細については、「ドメイン名のブラックリストとホワイトリストの設定」をご参照ください。
ブロックされたリージョン (ドメイン名)
指定された場所の IP アドレスからのすべてのウェブサイトアクセスリクエストをブロックします。詳細については、「ドメイン名のロケーションブラックリストの設定」をご参照ください。
正確なアクセス制御
IP、URI、Referer、User-Agent、およびパラメーターなどの一般的な HTTP フィールドに基づいてリクエストをフィルタリングするカスタムアクセスコントロールルールを設定します。ルールに一致するリクエストを許可、ブロック、または検証できます。詳細については、「正確なアクセスコントロールルールの設定」をご参照ください。
頻度制御
デフォルトで有効になっています。単一の送信元 IP アドレスからのウェブサイトへのアクセス頻度を制限します。Frequency Control は有効にするとすぐに有効になります。デフォルトでは、法線モードが一般的な HTTP フラッド攻撃からご利用のウェブサイトを保護するために使用されます。保護を強化するために、保護モードを手動で変更し、カスタムルールを作成できます。詳細については、「頻度制御の設定」をご参照ください。
ステップ 4: 保護データの表示
ウェブサイトを Anti-DDoS Pro または Anti-DDoS Premium に追加した後、Anti-DDoS Pro または Anti-DDoS Premium コンソールのセキュリティレポートとログ機能を使用して保護データを表示します。
セキュリティ概要 ページで、インスタンスとドメイン名の統計、および DDoS 攻撃の詳細を表示します。詳細については、「Security Overview」をご参照ください。
操作ログ ページで、重要な操作記録を表示します。詳細については、「操作ログのクエリ」をご参照ください。
Log Analysis ページで、ご利用のウェブサイトのログを表示します。詳細については、「ログ分析機能の使用」をご参照ください。
説明ログ分析機能は付加価値サービス (VAS) です。このサービスを使用するには、購入して有効にする必要があります。ログ分析を有効にすると、Alibaba Cloud Log Service はウェブサイトアクセスと HTTP フラッド攻撃のログを収集および維持します。ログデータをリアルタイムで検索および分析し、ダッシュボードで結果を表示できます。詳細については、「Log Service とは?」をご参照ください。
よくある質問
ウェブサイトを Anti-DDoS Pro または Anti-DDoS Premium に追加した後、ユーザーからログイン失敗やセッション損失が報告されます。
この問題は、HTTP フラッド攻撃保護に使用される Anti-DDoS Pro または Anti-DDoS Premium のクッキー挿入機能が原因である可能性が高いです。 > Cookie の設定 で ステータス スイッチを無効にしてみてください。
警告この機能を無効化すると、一部の HTTP フラッド攻撃保護ルールの有効性に影響を与えます。
インスタンスを購入したばかりですが、ウェブサイトはすでに保護されていますか?
いいえ。インスタンスの購入は最初のステップにすぎません。コンソールで [Add Website] 設定を完了し、ご利用のドメインの DNS レコードを Anti-DDoS Pro または Anti-DDoS Premium が提供する CNAME アドレスを指すように更新する必要があります。ご利用のウェブサイトトラフィックは、DNS 変更が有効になった後にのみ保護されます。