すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:ポート転送ルールの設定

    ドキュメントセンター

    Anti-DDoS:ポート転送ルールの設定

    最終更新日:Dec 06, 2024

    Anti-DDoS Proxyを使用して、クライアントベースのアプリケーションなどのWebサイト以外のサービスを保護するには、ポート転送ルールを作成する必要があります。 次に、Anti-DDoS Proxyは、サービス向けのトラフィックをスクラブし、ポート転送ルールに基づいてサービストラフィックのみを配信元サーバーに転送します。 このトピックでは、Webサイト以外のサービスにポート転送ルールを追加する方法について説明します。

    使用上の注意

    • ルールのバッチ構成は、Anti-DDoSプロキシ (中国本土) のみでサポートされ、Anti-DDoSプロキシ (中国本土以外) ではサポートされません。

    • アプリケーション層保護スイッチは、Anti-DDoSプロキシ (中国本土) でのみ使用できます。 このスイッチをアクティブにすると、HTTPまたはHTTPSプロトコルを使用しないアプリケーション層の攻撃から保護されます。

    • Alibaba CloudアカウントのすべてのAnti-DDoS Proxyインスタンスが1か月間リリースされると、そのアカウントのAnti-DDoS Proxyに関連付けられているすべてのドメイン名とポート転送設定が自動的にクリアされます。 複数のAnti-DDoS Proxyインスタンスがある場合、クリアのカウントダウンは最後のインスタンスのリリース時刻から開始されます。

    • 拡張機能プランでAnti-DDoSプロキシインスタンスを購入すると、UDPポート転送ルールを設定すると、UDPリフレクション攻撃の対象となることが多い共通ポートが自動的にブロックされます。 通常、このブロックはサービスを中断しません。 ただし、サービスがこれらのポートにアクセスする必要がある場合は、手動でブロックを解除する必要があります。 詳細については、「UDPリフレクション攻撃軽減機能の設定」をご参照ください。

      説明

      UDPリフレクション攻撃保護下のポートのカスタム設定は、デフォルト設定を上書きします。

    前提条件

    Anti-DDoSプロキシ (中国本土) またはAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。

    ポート転送ルールの追加

    ポート転送ルールの追加

    1. Anti-DDoS Proxyコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

      • Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。

    3. 左側のナビゲーションウィンドウで、接続管理 > ポート接続 を選択します。

    4. Anti-DDoS Proxyインスタンスを選択し、ルールの作成 をクリックしてルールを設定し、[OK] をクリックします。

      説明

      ポート転送ルールの 叹号[転送プロトコル] 列のプロトコルの横にアイコンが表示されている場合、Webサイトを追加したときにルールが自動的に生成されます。 このポート転送ルールは、Webサイトサービスのトラフィックを転送するために使用されます。 自動的に生成されるルールを変更または削除することはできません。 これらのポート転送ルールを使用するWebサイトがインスタンスから削除された場合、ポート転送ルールは自動的に削除されます。 Webサイトサービスの設定方法の詳細については、「1つ以上のWebサイトの追加」をご参照ください。

      • インスタンスにドメイン名を追加するときにオリジンサーバーにポート80を指定すると、Anti-DDoS Proxyは自動的にポート転送ルールを生成します。 このポート転送ルールは、TCPトラフィックをポート80を介してオリジンサーバーに転送するために使用されます。

      • インスタンスにドメイン名を追加するときにオリジンサーバーのポート443を指定すると、Anti-DDoS Proxyは自動的にポート転送ルールを生成します。 このポート転送ルールは、TCPトラフィックをポート443経由でオリジンサーバーに転送するために使用されます。

      パラメーター

      説明

      アプリケーション層の保護

      このパラメーターは、HTTPまたはHTTPSプロトコルを使用しないアプリケーション層攻撃から保護するために、TCPベースのWebサイト以外のサービスでのみ使用できます。

      攻撃の種類の詳細については、「シナリオ固有のanti-DDoSソリューション」をご参照ください。

      転送プロトコル

      トラフィックの転送に使用するプロトコル。 有効な値: TCPおよびUDP。

      リダイレクトポート

      トラフィックの転送に使用するポート。

      説明

      • [リダイレクトポート][オリジンサーバーポート] の両方に同じ値を指定することを推奨します。

      • ドメイン所有者が独自のDNSサーバーを作成できないようにするため、Anti-DDoS Proxyはポート53を使用するサービスを保護しません。

      • インスタンスの場合、同じプロトコルを使用する転送ルールは、異なる転送ポートを使用する必要があります。 別のルール用に構成されているプロトコルと転送ポートを使用してルールを作成しようとすると、これらのルールが重複していることを示すエラーメッセージが表示されます。

      • 作成するルールが、Webサイトをインスタンスに追加するときに自動的に生成されるルールと競合しないようにしてください。

      配信元サーバーポート

      オリジンサーバーのポート。

      Back-to-originスケジューリングアルゴリズム

      ポーリングモードはデフォルトで使用され、変更できません。

      オリジンIPアドレス

      配信元サーバーのIPアドレス。

      説明

      負荷分散を実装するために、最大20のオリジンIPアドレスを指定できます。 複数の IP アドレスはカンマ (,) で区切ります。

    ポート転送ルールを一括で追加

    複数のポート転送ルールを一括で追加する場合、アプリケーション層保護機能を有効にすることはできません。 この機能を有効にするには、まずルールを追加してから、バッチモードで [アプリケーション層保護] スイッチを変更します。

    1. ポート接続 ページに移動し、一括操作 > ルールの作成 をクリックします。

    2. ルールの作成 ダイアログボックスで、サンプルファイルのように必要な情報を入力し、[OK] をクリックします。

      各行はルールを表します。 左から右に、各ルールのフィールドは、プロトコル、転送ポート、配信元サーバーポート、配信元IPアドレスの情報を示します。 フィールドはスペースで区切られます。

    3. ルールの作成 ダイアログボックスで、追加するルールを選択し、[アップロード] をクリックします。

    次のステップ

    ポート転送ルールを追加した後、オリジンサーバーでインスタンスのback-to-origin IPアドレスを許可し、転送ルールがコンピューターで有効であることを確認してから、Webサイト以外のサービスのトラフィックをインスタンスに切り替える必要があります。

    1. オリジンサーバー上のインスタンスのback-to-origin IPアドレスを許可します。 これにより、インスタンスからのトラフィックは、オリジンサーバー上のセキュリティソフトウェアによって許可されます。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。

    2. コンピューターでポート転送ルールが有効であることを確認して、無効な転送ルール設定によるサービス例外を防止します。 詳細については、「ローカルマシンでのトラフィック転送設定の確認」をご参照ください。

      警告

      ポート転送ルールが有効になる前にサービストラフィックをインスタンスに切り替えると、サービスが中断される可能性があります。

    3. Webサイト以外のサービスのトラフィックをインスタンスに切り替えます

      ほとんどの場合、サービスIPアドレスをインスタンスの排他的IPアドレスに置き換えて、Webサイト以外のサービスのトラフィックをインスタンスに切り替えることができます。 IPアドレスを置き換える方法は、プラットフォームによって異なります。

      説明

      • サーバーアドレスとして機能するドメイン名からもサービスにアクセスできる場合は、インスタンスにドメイン名を追加する必要はありません。 例えば、ドメイン名e example.comは、ゲームのサーバアドレスとして使用されるか、またはクライアントプログラムにおいてハードコードされる。 この場合、トラフィックをインスタンスの専用IPアドレスにリダイレクトするには、ドメイン名のDNSプロバイダーのAレコードを変更する必要があります。 詳細については、「DNSレコードの変更」をご参照ください。

      • 一部のシナリオでは、ドメイン名を使用してレイヤー4サービスを複数のAnti-DDoS Proxyインスタンスに追加し、これらのインスタンス間でトラフィックを切り替える自動メカニズムを設定する必要がある場合があります。 サービスのドメイン名をAnti-DDoS Proxyに追加し、ドメイン名のCNAMEを変更することを推奨します。 詳細については、「CNAMEレコードを変更してトランスポート層サービスを保護する」をご参照ください。

    関連する API 操作

    オリジンIPアドレスの変更

    次の図は、1つのルール (①) と複数のルール (②) の配信元IPアドレスを変更する場所を示しています。image

    アプリケーション層保護スイッチの変更

    次の図には、1つのルールの切り替え (①) と、バッチモードで複数のルールの切り替え (②) の2つの切り替えオプションが表示されています。 アプリケーション層保護 タブの 変更 をクリックしないでください。このボタンをクリックすると、保護ポリシーを設定できます。

    image

    ポート転送ルールの削除

    警告

    使用されなくなった手動で追加された転送ルールを削除できます。 この操作の前に、インバウンドトラフィックがAnti-DDoS Proxyインスタンスに転送されないようにしてください。 Anti-DDoS ProxyインスタンスのIPアドレスから実際のIPアドレスにサービスのIPアドレスを復元する前に転送ルールを削除すると、サービスが中断される可能性があります。

    次の図は、1つのルール (①) と複数のルール (②) を削除する場所を示しています。

    image