webサイトサービスで、ボリューム攻撃や、SQLインジェクション、クロスサイトスクリプティング (XSS) 、コマンドインジェクション攻撃などの高度なWebアプリケーション攻撃が発生した場合は、webサイトサービスをAnti-DDoS ProxyおよびWeb Application Firewall (WAF) に追加して、さまざまな潜在的な脅威から保護することを推奨します。 このトピックでは、WebサイトサービスをAnti-DDoS ProxyおよびWAFに追加する方法について説明します。
ネットワークアーキテクチャ
WebサイトサービスにAnti-DDoSプロキシとWAFを設定するには、次のネットワークアーキテクチャを適用します。 中間層でWAFを使用して、webアプリケーション攻撃から防御します。 Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、仮想プライベートクラウド (VPC) 、またはデータセンター内のサーバーをオリジンサーバーとして設定します。 このように、トラフィックはAnti-DDoS Proxyによってスクラブされ、WAFによってフィルタリングされます。 サービストラフィックのみがオリジンサーバーに転送されます。 これにより、サービスとデータのセキュリティが確保されます。 次の図は、トラフィックの転送方法を示しています。
使用上の注意
リクエストは、オリジンサーバーに到達する前に複数の中間プロキシサーバーに送信されます。 オリジンサーバーは、リクエストの発信IPアドレスを直接取得できません。 送信元IPアドレスの取得方法については、「リクエストの送信元IPアドレスの取得」をご参照ください。
前提条件
Anti-DDoS Proxyインスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。
WAFインスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」または「従量課金WAF 3.0インスタンスの購入」をご参照ください。
説明このトピックでは、WAF 3.0を例として使用します。 WAF 2.0を使用する場合は、このトピックの手順を参照することもできます。
ステップ1: WebサイトサービスをWAFに追加する
CNAMEレコードモードまたはクラウドネイティブモードでWebサイトサービスをWAFに追加できます。 Webサイトサービスを追加する前に、各モードで推奨されるシナリオを理解することをお勧めします。 詳細については、「概要」をご参照ください。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[CNAMEレコード] または [クラウドネイティブ] タブで、WebサイトサービスをWAFに追加します。
CNAMEレコードモード
On theCNAME アクセスタブをクリックします。追加.
Listener 設定 ステップで、パラメーターを設定し、次へ をクリックします。
次の表では、パラメーターについて簡単に説明します。 パラメーターの詳細については、「WAFへのドメイン名の追加」をご参照ください。
パラメーター
説明
ドメイン名
Webサイトサービスのドメイン名を入力します。
プロトコルタイプ
Webサイトサービスで使用されるプロトコルタイプとポートを選択します。 ポート番号を入力するたびにEnterキーを押します。
説明HTTPSを選択した場合、ドメイン名に関連付けられている証明書をWAFにアップロードする必要があります。
HTTPSを選択して証明書を設定した後、HTTP/2を有効にするかどうか、HTTPSルーティングを有効にするかどうか、TLSバージョンを選択するか、HTTPS暗号スイートを選択するかどうかを指定することもできます。
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
Yes を選択し、クライアント IP の取得方法 を指定します。
X-Forwarded-For フィールドのファースト IP アドレスをクライアントのソースアドレスにする (デフォルト)
デフォルトでは、WAFは
X-Forwarded-Forフィールドの最初のIPアドレスをクライアントの送信元IPアドレスとして使用します。[推奨] X-Forwarded-For偽造を防ぐために、指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用する。
X-Client-IPやX-Real-IPなど、カスタムヘッダーフィールドにクライアントの送信元IPアドレスを含むプロキシを使用する場合は、この値を選択します。 次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。
説明カスタムヘッダーフィールドを使用してクライアントの送信元IPアドレスを格納し、WAFでヘッダーフィールドを指定することを推奨します。 このように、攻撃者はX-Forwarded-Forフィールドを偽造してWAF保護を回避することはできません。 これにより、ビジネスのセキュリティが向上します。
詳細設定
IPv6アドレスと排他的IPアドレスを有効にするかどうかを指定し、ビジネス要件に基づいて使用する保護リソースのタイプを選択します。
リソースグループ
ドロップダウンリストから、ドメイン名を追加するリソースグループを選択します。 リソースグループを選択しない場合、ドメイン名はデフォルトリソースグループに追加されます。
転送ルールの設定 ステップで、パラメーターを設定し、サブミット をクリックします。
追加完了 ステップで、WAFによって提供されるCNAMEを取得します。
パラメーター
説明
ロードバランシングアルゴリズム
配信元サーバーに複数のアドレスがある場合は、ビジネス要件に基づいて負荷分散アルゴリズムを選択します。
配信元サーバーアドレス
オリジンサーバーのパブリックIPアドレスまたはドメイン名を入力します。 IPアドレスまたはドメイン名は、WAFによって転送されるback-to-originリクエストを受信するために使用されます。
HTTPS 詳細設定
ビジネス要件に基づいて、Back-to-origin Requestの再試行とトラフィックマークの有効化を選択するかどうかを指定します。
他の詳細設定
トラフィックマークを有効にしてBack-to-originリクエストを再試行するか、Back-to-origin Keep-aliveリクエストを有効にするかを指定し、ビジネス要件に基づいてConnection Timeout Periodパラメーターを設定します。
クラウドネイティブモード
詳細については、「クラウドネイティブモード」をご参照ください。
Webサイトサービスに次のAlibaba Cloudサービスを使用する場合は、SDKモジュールモードでWebサイトサービスをWAFに追加することを推奨します。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute
. WebサイトサービスにAlibaba Cloud Classic Load Balancer (CLB) またはECSを使用している場合は、WebサイトサービスをリバースプロキシクラスターモードでWAFに追加することを推奨します。
ステップ2: WebサイトサービスをAnti-DDoSプロキシに追加する
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
ウェブサイト構成 ページで、ドメインの追加 をクリックします。 次の表に、Webサイトサービスを追加するためのパラメーターを示します。
パラメーター
説明
Function Plan
使用するAnti-DDoS Proxyインスタンスの関数プランを選択します。
インスタンス
使用するAnti-DDoS Proxyインスタンスを選択します。
最大8つのインスタンスをドメイン名に関連付けることができます。 ドメイン名に関連付けられたインスタンスは、同じFunction Planを使用する必要があります。
ドメイン
Webサイトサービスのドメイン名を入力します。
プロトコル
Webサイトサービスのプロトコルタイプを選択します。
説明HTTPSを選択した場合、Webサイトサービスのドメイン名で使用される証明書をアップロードする必要があります。
HTTPSを選択した後、ビジネス要件に基づいてHTTPSリダイレクトの有効化、Back-to-originリクエストのHTTPリダイレクトの有効化、およびHTTP/2の有効化をオンにできます。
OCSP Stapling を有効にする
オンライン証明書ステータスプロトコル (OCSP) 機能を有効にするかどうかを指定します。
重要この機能は、HTTPSをサポートするWebサイトサービスでのみ使用できます。 プロトコルでHTTPSが選択されている場合は、この機能を有効にすることを推奨します。
サーバー IP
CNAMEレコードモードでドメイン名をWAFに追加する場合は、[オリジンドメイン名] を選択し、[ステップ1] で取得したCNAMEを入力します。
クラウドネイティブモードでWebサイトサービスのドメイン名をWAFに追加する場合は、[オリジンIPアドレス] を選択し、オリジンサーバーのパブリックIPアドレスを入力します。
サーバーポート
プロトコルの値に基づいて指定するサーバーポート。
HTTPまたはWebsocketを選択した場合、デフォルトのポート80が使用されます。
HTTPS、HTTP/2、またはWebsocketsを選択した場合、デフォルトのポート443が使用されます。
カスタム をクリックして、カスタムポートを入力できます。 複数のポートはコンマ (,) で区切ります。
CNAME Reuse
CNAMEの再利用を有効にするかどうかを指定します。 このパラメーターは、Anti-DDoS Proxy (Outside Chinese Mainland) でのみ使用できます。 詳細については、「CNAME再利用機能の使用」をご参照ください。
Anti-DDoSプロキシによって提供されるCNAMEをコピーします。
ステップ3: ドメイン名のDNSレコードを変更する
Webサイトサービスのドメイン名を、Anti-DDoS Proxyが提供するCNAMEに解決する必要があります。 次の例では、ドメイン名はAlibaba Cloud DNS (DNS) でホストされています。 サードパーティのDNSサービスを使用している場合、次の手順は参考用です。
DNSコンソールにログインします。
[ドメイン名の解決] ページで、管理するドメイン名を見つけ、[操作] 列の [DNS設定] をクリックします。
[DNS設定] ページで、管理するDNSレコードを見つけ、[操作] 列の [変更] をクリックします。
説明リストに変更するDNSレコードが見つからない場合は、[DNSレコードの追加] をクリックしてレコードを追加します。
DNSレコードの変更 (またはDNSレコードの追加) パネルで、レコードタイプのCNAMEを選択し、レコード値をステップ2で取得したCNAMEに設定します。
[OK] をクリックし、設定が有効になるのを待ちます。
Webサイトサービスにブラウザからアクセスできるかどうかを確認します。
参考資料
CNAMEレコードモードと透過プロキシモードでドメイン名をWAF 2.0に追加する方法の詳細については、「WAFにドメイン名を追加する」と「透過プロキシモード」をご参照ください。
DNSレコードの変更後にWebサイトサービスにアクセスするときに発生する可能性のある例外のトラブルシューティング方法の詳細については、Anti-DDoS Proxyインスタンスによって保護されているサービスで、応答の遅さ、遅延、アクセス障害の問題を処理するにはどうすればよいですか。.
Anti-DDoS ProxyとCDNの両方をデプロイする方法の詳細については、「CDNまたはDCDNインタラクション機能の使用」をご参照ください。