Alibaba Cloud CDNは、Web Application Firewall (WAF) と統合して、POPs (ポイントオブプレゼンス) でセキュリティサービスを提供できます。 WAFは、悪意のあるリクエストを特定して除外できます。 信頼できるリクエストのみを配信元サーバーにリダイレクトできます。 WAFは、webサーバーを侵入から保護し、重要なビジネスデータを保護し、攻撃によって引き起こされるサーバーの異常を防ぎます。
WAFはWebSocketと互換性がありません。 両方を有効にすることはできません。
前提条件
WAF Pro EditionまたはWAF Business Editionが有効化されています。 WAF Pro EditionまたはWAF Business Editionを有効化するには、チケットを起票
高速化ドメイン名のWAFを有効にする前に、ドメイン名の高速化リージョンがGlobalまたはGlobal (中国本土を除く) に設定されていることを確認してください。 高速化ドメイン名の高速化リージョンを変更する方法の詳細については、「高速化リージョンの変更」をご参照ください。
説明
Alibaba Cloud CDNは、POP上のリソースを保護するためにWAFと統合できます。 WAF保護の詳細については、「」をご参照ください。Webアプリケーションファイアウォールとは
WAFの機能を設定する方法の詳細については、WAFとは何ですか? 次の表に、WAF Business Editionでサポートされている機能を示します。
機能 | ビジネス版 |
スキャン保護 | |
アカウントセキュリティ | |
HTTP フラッド保護 | |
IP アドレスブラックリスト | |
レート制限 | |
ボット脅威インテリジェンスルール | |
JavaScriptの検証 | |
Crawlerホワイトリスト | |
Web アプリケーション保護 | |
ゼロデイ攻撃保護 | |
ブロックと警告モード | |
指定された形式のリクエストデータのデコードと分析 | |
カスタマイズルールグループ | |
HTTPフィールドに基づくアクセス制御 | |
WAF用のシンプルなLog Service | 最大3テラバイトのストレージ容量でサポートされています |
シナリオ
WAFは、金融、eコマース、オンラインからオフライン (O2O) 、インターネットプラス、ゲーム、公共サービス、保険などのセクターや業界に適用されます。 WAFは、Alibaba Cloud CDNによって加速されたWebサイトを攻撃による予期しない損失から防ぎます。
WAFは次のセキュリティ機能を提供します。
SQLインジェクションによるWebサイトのデータリークを防ぎます。
Webサイトの一般の信頼を侵害する可能性のあるトロイの木馬からWebサイトを保護します。
新しく発見された脆弱性をすばやく修正する仮想パッチを提供します。
課金
ドメイン名に対してWAFを有効にすると、WAFはドメイン名に送信されたすべてのリクエストをスキャンし、アカウントごとにリクエスト数をカウントしてから、課金ルールに基づいて料金を請求します。
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名.
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、セキュリティ設定.
[WAF] タブで、CDN WAF.
[変更] をクリックします。
画面上の指示に従って、セキュリティ機能を設定します。Webセキュリティ,ボットトラフィック管理、またはアクセス制御 /スロットリングタブを使用します。
項目
パラメーター
説明
Webセキュリティ
ステータス
Web侵入防止をオンまたはオフにできます。
モード
Web侵入防止は、次の保護モードをサポートしています。
Block: 攻撃が検出された直後にブロックします。
Warn: 攻撃が検出されたときにアラートを送信しますが、攻撃はブロックしません。
保護ルールグループ
Web侵入防御は、次の保護ルールグループをサポートしています。
Loose rule group: 中ルールグループの設定で誤検出率が高い場合は、Loose rule groupを選択することを推奨します。 緩いルールグループは、最も低い偽陽性率を有するが、最も高い偽陰性率を有する。
中ルールグループ: デフォルトの保護ルールグループ。
厳密なルールグループ: パストラバーサル、SQLインジェクション、およびコマンドインジェクションに対してより強力な保護が必要な場合は、[厳密なルールグループ] を選択することを推奨します。
デコード設定
RegEx保護エンジンによってデコードおよび分析する必要があるデータ形式を指定できます。
をクリックします。
ビジネス要件に基づいてデータ形式を選択または選択解除します。
URLデコード、JavaScript Unicodeデコード、Hexデコード、コメント処理、スペース圧縮の形式を選択解除することはできません。
マルチパートデータパーシング、JSONデータパーシング、XMLデータパーシング、シリアル化PHPデータデコード、HTMLエンティティデコード、UTF-7デコード、Base64デコード、フォームデータパーシングの形式を選択解除できます。
[OK] をクリックします。
説明保護を強化するために、RegEx保護エンジンはすべての形式のリクエストコンテンツをデコードして分析します。 RegEx保護エンジンが、ブロックしたくないフォーマットのコンテンツを含むリクエストをブロックする場合、フォーマットの選択を解除して、誤検出率を下げることができます。
ボットトラフィック管理 (ビジネス版のみ)
許可されたクローラー
ステータス
許可されたクローラーをオンまたはオフにできます。
説明この機能は、検索エンジンのホワイトリストを維持します。 これらの検索エンジンのクローラーは、すべての高速化ドメイン名にアクセスできます。 [設定] をクリックすると、ビジネス要件に基づいて許可されたクローラーを有効または無効にできます。
典型的なボット動作の識別
ステータス
通常のボット動作識別をオンまたはオフにできます。
説明この機能は、一般的なクローラ動作を識別する共通アルゴリズムを提供します。 関連するパラメーターとしきい値を設定して、高度なクローラーを識別できます。 [設定] をクリックすると、ビジネス要件に基づいてアルゴリズムルールを追加できます。
ボット脅威インテリジェンス
ステータス
ボット脅威インテリジェンスをオンまたはオフにできます。
説明この機能は、Alibaba Cloudのコンピューティング機能を活用して、ダイヤラー、データセンター、および悪意のあるスキャナーの疑わしいIPアドレスに関する情報を提供します。 この機能は、悪意のあるクローラーの動的IPライブラリも維持し、クローラーが特定のドメイン名またはパスにアクセスするのを防ぎます。 [設定] をクリックすると、ビジネス要件に基づいてこの機能を設定できます。
アクセス制御 /スロットリング
ブラックリスト
ステータス
ブラックリストをオンまたはオフにできます。
説明この機能により、指定したIPアドレスまたはCIDRブロックからのリクエストをブロックしたり、指定したリージョンのIPアドレスからのリクエストを制限したりできます。 [設定] をクリックすると、IPアドレスまたはリージョンをブラックリストに追加できます。
カスタム保護ポリシー
ステータス
カスタム保護ポリシーをオンまたはオフにできます。
説明この機能を使用すると、アクセス制御ルールを作成し、そのアクセス制御ルールを特定のオブジェクトに適用できます。 [設定] をクリックして、アクセス制御ルールを追加できます。
サービスにリンクされたロールの割り当て
Alibaba Cloud CDNコンソールで初めてWAFを有効にするときは、Alibaba Cloud CDNにWAFへのアクセスを許可する必要があります。 Alibaba Cloud CDNは、サービスにリンクされたロールAliyunServiceRoleForCDNAccessingWAFを自動的に作成します。 このロールをAlibaba Cloud CDNに割り当てると、Alibaba Cloud CDNはこのロールを引き受けてWAFにアクセスできます。
AliyunServiceRoleForCDNAccessingWAFロールには、次の権限があります。
DescribePayInfo
CreatePostpaidInstance
CreateOutputDomainConfig
DeleteOutputDomainConfig
DescribeDomainWebAttackTypePv
ModifyLogServiceStatus
DescribeProtectionModuleMode
DescribeDomainRuleGroup
DescribeRegions
ModifyProtectionRuleStatus
ModifyProtectionRuleCacheStatus
DescribePeakValueStatisticsInfo
DescribeDomainAccessStatus
DescribeFlowStatisticsInfo
DescribeDomainTotalCount
DescribeResponseCodeStatisticsInfo
DescribeDDosCreditThreshold
ModifyDomainClusterType
DescribeInstanceInfo
DescribeOutputDomains
CreateOutputDomain
DeleteOutputDomain
DeleteInstance
DescribeInstanceSpecInfo
DescribeDomainBasicConfigs
AliyunServiceRoleForCDNAccessingWAFロールを削除する場合は、 チケットを起票してWAFインスタンスを削除し、すべての高速化ドメイン名のWAF機能を無効にします。 次に、Resource Access Management (RAM) コンソールでこのロールを削除します。