すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:階層保護ルールの作成

    ドキュメントセンター

    Anti-DDoS:階層保護ルールの作成

    最終更新日:May 27, 2024

    階層保護ルールを作成して、Anti-DDoS ProxyがAnti-DDoS Originと連携できるようにすることができます。 階層保護機能は、WebサイトをAnti-DDoS Proxyインスタンスに追加した後、サービストラフィックのアクセス遅延が増加する問題を解決するのに役立ちます。 階層保護を有効にすると、Anti-DDoS Originがサービスを保護します。これにより、アクセス遅延が増加することはありません。 ボリューム攻撃が発生すると、代わりにAnti-DDoS Proxyがサービスの保護を開始します。 このトピックでは、階層保護ルールを作成する方法について説明します。

    サポートされているインスタンスタイプ

    職業軽減計画のAnti-DDoSプロキシ (中国本土) 、高度な軽減計画のAnti-DDoSプロキシ (中国本土) 、保険軽減計画のAnti-DDoSプロキシ (中国本土以外) 、および無制限の軽減計画のAnti-DDoSプロキシ (中国本土以外) 。

    前提条件

    • サービスは、elastic IPアドレス (EIP) 、Web Application Firewall (WAF) 、Elastic Compute Service (ECS) 、Server Load Balancer (SLB) インスタンスなどのパブリックIPアドレスが割り当てられたAlibaba Cloudリソースを使用します。

    • Anti-DDoS Originインスタンスが購入され、保護のためにアセットがインスタンスに追加されます。 アセットにはパブリックIPアドレスが割り当てられます。 詳細については、「Anti-DDoS Originインスタンスの購入」および「保護のためのオブジェクトの追加」をご参照ください。

    • Anti-DDoSプロキシ (中国本土) またはAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。

    • WebサイトサービスがAnti-DDoS Proxyに追加されます。 詳細については、「Webサイトの追加」をご参照ください。

    • Anti-DDoS Proxyインスタンスは、サービストラフィックを期待どおりに転送します。 詳細については、「オンプレミスコンピューターでの転送設定の確認」をご参照ください。

    階層保護ルールの作成

    1. Anti-DDoS Proxyコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

      • Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。

    3. 左側のナビゲーションウィンドウで、プロビジョニング > Sec-Traffic Manager を選択します。

    4. 全般 タブで、ルールの作成 をクリックします。 表示されるパネルで、階層型保護 ルールを設定し、次へ をクリックします。

      パラメーター

      説明

      相互作用シナリオ

      階層型保護 を選択します。

      ルール名

      ルールの名前を入力します。

      名前の長さは最大128文字で、英数字、およびアンダースコア (_) を使用できます。

      Anti-DDoS Pro

      Anti-DDoS Proxyインスタンスを選択します。

      相互作用のリソース

      クラウドリソースを設定します。 クラウドリソースが存在するリージョンを選択し、クラウドリソースのIPアドレスを入力します。

      重要

      elastic IPアドレス (EIP) を入力するか、Anti-DDoS Origin Enterpriseインスタンスに追加されたクラウドリソースのIPアドレスを入力する必要があります。 クラウドリソースは、ECS (Elastic Compute Service) インスタンス、SLB (Server Load Balancer) インスタンス、またはWAF (Web Application Firewall) インスタンスです。 詳細については、「保護のためのオブジェクトの追加」をご参照ください。

      [クラウドリソースのIPアドレスの追加] をクリックすると、さらにIPアドレスを追加できます。 最大20個のIPアドレスを追加できます。

      説明

      複数のIPアドレスを追加すると、IPアドレスは指定されたAnti-DDoS Proxyインスタンスに関連付けられます。 IPアドレスの1つが攻撃された場合、トラフィックは他のIPアドレスに転送されます。 すべてのIPアドレスが攻撃された場合にのみ、トラフィックがAnti-DDoS Proxyインスタンスに転送されます。 いずれかのIPアドレスが攻撃されたときにトラフィックをAnti-DDoSプロキシに転送する方法の詳細については、「複数のクラウドリソース間で1つのAnti-DDoSプロキシを共有する」をご参照ください。

      スイッチバックの待機時間

      serviceトラフィックがAnti-DDoS ProxyインスタンスからクラウドリソースのIPアドレスに切り替えられるまでの待機時間を指定します。 攻撃が停止し、指定した待機時間が経過すると、サービストラフィックは自動的にクラウドリソースのIPアドレスに戻ります。

      30から120の範囲の値を指定できます。 単位は分です。 値を60に設定することを推奨します。

    5. オンプレミスコンピューターのhostsファイルを変更して、階層保護ルールを確認します。 これにより、一貫性のないback-to-originポリシーによって引き起こされる非互換性の問題を防ぐことができます。 詳細については、「ローカルコンピューターの転送設定の確認」をご参照ください。

    6. DNSプロバイダーのWebサイトにアクセスし、DNSレコードを変更して、Sec-traffic ManagerのCNAMEにトラフィックを転送します。 詳細については、「CNAMEレコードを変更してトラフィックをSec-traffic Managerにリダイレクトする」をご参照ください。

      DNSレコードを変更した後、ブラウザを使用してWebサイトにアクセスできるかどうかをテストできます。 Webサイトにアクセスできない場合は、問題のトラブルシューティングを行います。 詳細については、「」をご参照ください。Anti-DDoS Proxyインスタンスによって保護されているサービスで、応答の遅さ、遅延、アクセス障害の問題を処理するにはどうすればよいですか。.

    待ち時間を選択します。 階層保護ルールが作成されると、Anti-DDoS Originは、クラウドリソース宛てのサービストラフィックを自動的に保護します。 クラウドリソースでボリュームDDoS攻撃が発生した場合にのみ、serviceトラフィックがAnti-DDoS Proxyインスタンスに自動的に切り替えられ、スクラブされます。 このようにして、サービストラフィックのみがクラウドリソースに転送されます。 serviceトラフィックがAnti-DDoS Proxyインスタンスに自動的に切り替えられた後、攻撃が停止し、指定した待機時間が経過すると、インスタンスはserviceトラフィックをクラウドリソースに切り替えます。

    自動切り替えに加えて、サービストラフィックをAnti-DDoS Proxyインスタンスに手動で切り替えてから、ビジネス要件に基づいて手動でサービストラフィックをクラウドリソースに戻すこともできます。

    次のステップ

    Anti-DDoSプロキシへの切り替え

    Anti-DDoS Proxyインスタンスによってサービストラフィックがスクラブされた場合、image.pngアイコンが クラウドサービス 列に表示されます。 この場合、サービストラフィックを関連するクラウドリソースに手動で切り替えることができます。 ブラックホールフィルタリングがトリガーされる前に、サービストラフィックを手動で切り替えることができます。 これにより、サービスへの悪影響が軽減されます。

    重要

    • インスタンスのIPアドレスに対してブラックホールフィルタリングがトリガーされていない場合にのみ、ServiceトラフィックをAnti-DDoS Proxyインスタンスに切り替えることができます。

    • serviceトラフィックをAnti-DDoS Proxyインスタンスに切り替えた後、serviceトラフィックを自動的に関連付けられたクラウドリソースに戻すことはできません。 サービストラフィックを関連するクラウドリソースに切り替えるには、[スイッチバック] をクリックして、手動でサービストラフィックを切り替える必要があります。

    1. Sec-Traffic Manager ページの 全般 タブで、インタラクションシナリオティアード保護 のルールを見つけます。

    2. 操作 列の Anti-DDoS へ をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。

    スイッチバック

    serviceトラフィックがAnti-DDoS Proxyインスタンスによってスクラブされた場合、image.pngアイコンがAnti-DDoS インスタンス列に表示されます。 この場合、サービストラフィックを関連するクラウドリソースに手動で切り替えることができます。

    重要

    • サービストラフィックを手動で切り替える前に、攻撃が停止し、関連するクラウドリソースも期待どおりに機能することを確認してください。 これにより、関連するクラウドリソースがサンドボックスに追加されるのを防ぎ、サービスの中断を防ぎます。

    • Anti-DDoS へ をクリックしてserviceトラフィックをAnti-DDoS Proxyインスタンスに切り替える場合、スイッチバック をクリックしてserviceトラフィックを関連付けられたクラウドリソースに切り替えます。

    • 関連するすべてのクラウドリソースのIPアドレスに対してブラックホールフィルタリングがトリガーされると、スイッチバックは失敗します。 一部のクラウドリソースでブラックホールフィルタリングが無効になっている場合、サービストラフィックは最初にこれらのクラウドリソースに切り替えられます。 残りのクラウドリソースのブラックホールフィルタリングが無効化された後、サービストラフィックは残りのクラウドリソースに切り替えられます。

    1. Sec-Traffic Manager ページの 全般 タブで、インタラクションシナリオティアード保護 のルールを見つけます。

    2. 操作 列の スイッチバック をクリックします。 表示されたメッセージボックスで、[OK] をクリックします。

    ルールの編集

    1. Sec-Traffic Manager ページの 全般 タブで、インタラクションシナリオティアード保護 のルールを見つけます。

    2. 操作 列の 編集 をクリックします。 Anti-DDoS Anti-DDoS Pro、インタラクションのリソース、スイッチバックの待機時間パラメーターを変更します。 次に、次へ をクリックします。

    ルールの削除

    警告

    インタラクションルールを削除する前に、Webサイトのドメイン名がSec-Traffic ManagerのCNAMEにマッピングされていないことを確認してください。 そうしないと、ルールの削除後にWebサイトへのアクセスが失敗する場合があります。

    1. Sec-Traffic Manager ページの 全般 タブで、インタラクションシナリオティアード保護 のルールを見つけます。

    2. 操作 列の 削除 をクリックします。 表示されるメッセージで、削除 をクリックします。