ALBのWAFを有効にする - Server Load Balancer - Alibaba Cloud ドキュメントセンター

Application Load Balancer (ALB) インスタンスのwebサービスが攻撃に対して脆弱である場合、webサービスをWAF対応のALBインスタンスに移行できます。これにより、セキュリティが強化されます。 ALBはWeb Application Firewall (WAF) 3.0と統合されています。 WAF 2.0は透過プロキシモードをサポートしますが、WAF 3.0はサービス統合モードをサポートします。リスニングと転送は、WAFではなくALBによって実行されます。転送サービスとセキュリティサービスは、互換性とパフォーマンスの安定性を確保するために互いに分離されています。このトピックでは、WAF対応のALBインスタンスの利点と、WAF対応のALBインスタンスをアクティブ化および管理する方法について説明します。

WAF対応ALBインスタンスの利点

オールインワン保護
ALBはWAF 3.0と深く統合されており、悪意のあるリクエストを検出できるオールインワンのセキュリティサービスを提供します。 WAF対応のALBインスタンスは、侵入に強く、より安定したパフォーマンスを提供し、サービスとデータの高いセキュリティをサポートします。
高い互換性
ALBはサービスレベルでWAF 3.0と統合されています。 WAFはセキュリティサービスのみを提供し、転送サービスから切り離されています。リスニングと転送はALBによって実行されるため、要求転送サービスとセキュリティサービスは互いに分離されます。この設計により、互換性とサービス性能が向上します。
さまざまな機能
標準のALBインスタンスと比較して、WAF対応のALBインスタンスは強化された保護下にあります。 ALBエディションの違いの詳細については、「機能と機能」をご参照ください。
すべてのネットワークタイプとプロトコルのサポート
WAF対応のALBインスタンスは、すべてのネットワークタイプとプロトコルをサポートしています。 WAF対応のALBインスタンスは、インターネットまたは内部に対応できます。 WAF対応のALBインスタンスは、IPv4とデュアルスタックの両方をサポートします。
十分なクォータ
WAF対応のALBインスタンスは、標準ALBインスタンスと同じクォータを提供し、基本ALBインスタンスよりも高いクォータを提供します。さまざまなALBエディションでサポートされているリソースクォータの詳細については、「ALBクォータ」をご参照ください。
オンデマンド保護
WAF対応のALBインスタンスでは、単純な設定のみが必要です。ワンクリックでALBインスタンスのWAF保護を有効または無効にできます。 ALBコンソールでWAF対応のALBインスタンスを購入するか、既存の基本ALBインスタンスと標準ALBインスタンスをWAF対応のALBインスタンスにアップグレードできます。

WAF対応ALBインスタンスの制限

WAF対応のALBインスタンスを購入する前に、実名検証を完了する必要があります。

次の表に、WAF対応のALBインスタンスを購入できるリージョンを示します。

地域	リージョン
中国	中国 (成都) 、中国 (青島) 、中国 (北京) 、中国 (広州) 、中国 (杭州) 、中国 (ウランカブ) 、中国 (上海) 、中国 (深セン) 、中国 (張家口) 、中国 (香港)
アジア太平洋	フィリピン (マニラ) 、インドネシア (ジャカルタ) 、日本 (東京) 、マレーシア (クアラルンプール) 、シンガポール、タイ (バンコク)
ヨーロッパおよびアメリカ	ドイツ (フランクフルト) 、米国 (シリコンバレー) 、米国 (バージニア)
中東	サウジアラビア (リヤド - パートナーリージョン)

[実行中] 状態の基本ALBインスタンスと標準ALBインスタンスのみをWAF対応ALBインスタンスにアップグレードできます。
Alibaba CloudアカウントでWAFが有効化されていないか、またはAlibaba CloudアカウントでWAF 3.0が有効化されていることを確認してください。
- Alibaba CloudアカウントでWAFが有効化されていない場合、WAF対応ALBインスタンスの作成後に従量課金WAF 3.0インスタンスが作成されます。
- サブスクリプションWAF 3.0インスタンスがAlibaba Cloudアカウントに存在する場合、WAF対応のALBインスタンスを購入した後、WAFに追加料金は発生しません。
- Alibaba CloudアカウントにWAF 2.0インスタンスがすでに存在する場合は、WAF 2.0インスタンスをリリースするか、WAF 2.0インスタンスからWAF 3.0インスタンスにデータを移行します。
  - WAF 2.0インスタンスをリリースする方法の詳細については、「WAFサービスの終了」をご参照ください。
  - WAF 3.0への移行方法の詳細については、「WAF 2.0インスタンスのWAF 3.0への移行」をご参照ください。

課金

WAF対応ALBインスタンスを作成するか、既存のALBインスタンスをWAF対応エディションにアップグレードすると、WAF 3.0の使用に対して課金されます。次の表に、WAF対応のALBインスタンスの課金項目を示します。

課金項目	計算式	参考情報
インスタンス料金	`インスタンス料金=インスタンス単価 (1時間あたりのUSD) × 使用期間 (時間)`	インスタンス料金
LCU 料金	`1時間あたりのLCU料金=max {新規接続のLCU数、同時接続のLCU数、データ転送のLCU数、ルール評価のLCU数} × LCU単価`	LCU 料金
インターネットデータ転送料金	内部ネットワークに接続された ALB インスタンスを使用している場合、インターネットデータ転送料金は課金されません。インターネットに接続された ALB インスタンスを使用している場合にのみ、インターネットデータ転送料金が課金されます。インターネットに接続するALBインスタンスは、elastic IPアドレス (EIP) またはAnycast EIPを使用して、インターネット経由でサービスを提供します。インターネットに接続するALBインスタンスを作成すると、デフォルトでEIPに関連付けられます。 ALBインスタンスに関連付けられているEIPは、設定料金とデータ転送料金を生成します。詳細については、「従量課金」をご参照ください。 ALBインスタンスがAnycast EIPに関連付けられると、Anycast EIPは設定料金、インターネットデータ転送料金、および内部データ転送料金を生成します。詳細は、「課金ルール」をご参照ください。
WAF 3.0料	WAF 3.0は、サブスクリプションと従量課金の課金方法をサポートしています。詳細については、「サブスクリプションWAF 3.0インスタンス」および「従量課金WAF 3.0インスタンス」をご参照ください。 Alibaba CloudアカウントにWAFインスタンスが作成されておらず、WAF対応のALBインスタンスを購入した場合、従量課金のWAF 3.0インスタンスが作成されます。サブスクリプションWAF 3.0インスタンスがAlibaba Cloudアカウントで作成され、WAF対応のALBインスタンスを購入した場合、WAFに追加料金は発生しません。

ALBインスタンスのWAF保護を有効にする

WAF対応のALBインスタンスを購入する

ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
インスタンスページで、ALBの作成をクリックします。
Application Load Balancerページで、パラメーターを設定し、今すぐ購入をクリックし、そして支払いを完了します。
この例では、一部のパラメーターについてのみ説明します。詳細については、「ALBインスタンスの作成」をご参照ください。
エディション: [WAF有効] を選択します。

既存のALBインスタンスのWAF保護を有効にする

既存の基本インスタンスまたは標準ALBインスタンスに対してWAF保護を有効にできます。

ALBコンソールでWAF保護を有効にする

ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。
[インスタンス] ページで、管理するALBインスタンスを見つけ、次のいずれかの方法を使用してWAF保護を有効にします。
- 方法1:
  1. ALBインスタンスのIDをクリックし、[統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、[保護の有効化] をクリックします。
  2. [保護の有効化] ダイアログボックスで、[OK] をクリックして支払いを完了します。
- 方法2:
  1. インスタンス名の横にあるアイコンの上にポインターを移動し、[WAF保護] セクションの [保護の有効化] をクリックします。
  2. [保護の有効化] ダイアログボックスで、[OK] をクリックして支払いを完了します。
- 方法3:
  1. ALBインスタンスのIDをクリックします。 インスタンスの詳細 タブで、[基本情報] セクションの [WAF保護] を見つけ、[保護の有効化] をクリックします。
  2. [保護の有効化] ダイアログボックスで、[OK] をクリックして支払いを完了します。
- 方法4:
  1. [アクション] 列で > [仕様の変更] を選択します。
  2. On theApplication Load Balancer | アップグレード /ダウングレードページ, setエディションへWAF有効[利用規約] をクリックし、今すぐ購入、そして支払いを完了します。

SLBの概要ページでWAF保護を有効にする

SLBコンソールにログインします。
[セキュリティの概要] セクションで、[保護の有効化] をクリックします。
[WAF保護の有効化] ダイアログボックスで、[インスタンスタイプ] を [ALB] に設定し、[リージョン] ドロップダウンリストからALBインスタンスがデプロイされているリージョンを選択し、ALBインスタンスを見つけて、[操作] 列の [保護の有効化] をクリックします。
[保護の有効化] ダイアログボックスで、[OK] をクリックして支払いを完了します。

WAF保護の管理

ALBコンソールでWAF保護を管理する

ALBコンソールにログインします。
上部のナビゲーションバーで、ALBインスタンスがデプロイされているリージョンを選択します。

WAF保護を管理します。

API 操作	手順
ALBインスタンスのWAF保護が有効になっているかどうかの確認	インスタンスに対してWAF保護が有効になっているかどうかを確認するには、次のいずれかの方法を使用します。保護有効は、ALBインスタンスに対してWAF保護が有効になっていることを示します。方法1: インスタンスページで、管理するALBインスタンスのIDをクリックします。 [統合サービス] タブをクリックし、[Webアプリケーションファイアウォール] セクションでWAF保護のステータスを表示します。方法2: [インスタンス] ページで、管理するALBインスタンスを見つけ、インスタンス名の右側にあるアイコンの上にポインターを移動します。表示されるホバーボックスで、[WAF保護] セクションで保護ステータスを表示します。方法3: インスタンスページで、管理するALBインスタンスのIDをクリックします。インスタンスの詳細タブで、[基本情報] セクションでWAF保護が有効になっているかどうかを確認します。
WAFセキュリティレポートの表示	WAFセキュリティレポートを表示するには、ALBインスタンスでWAF保護が有効になっていることを確認します。方法1: インスタンスページで、管理するALBインスタンスのIDをクリックします。 [統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、WAF セキュリティレポートを表示をクリックして、[WAF 3.0コンソール] に移動します。方法2: インスタンスページで、管理するALBインスタンスを見つけ、アイコンの上にポインタを移動します。表示されるホバーボックスで、[WAF保護] セクションの [WAFセキュリティレポートの表示] をクリックし、[WAF 3.0コンソールの [セキュリティレポート] ページに移動します。方法3: インスタンスページで、管理するALBインスタンスのIDをクリックします。インスタンスの詳細タブで、[基本情報] セクションのセキュリティ保護の右側にある WAF セキュリティレポートを表示をクリックし、[WAF 3.0コンソール] の [セキュリティレポート] ページに移動します。詳細については、「セキュリティレポート」をご参照ください。
WAF保護の無効化	ALBインスタンスのWAF保護を無効にすると、ALBインスタンスはWAFによって保護されなくなり、WAFセキュリティレポートにはALBインスタンスに関する保護の詳細が含まれなくなります。重要 ALBインスタンスのWAF保護が無効になった後、WAFはリクエスト処理料金を請求しなくなります。ただし、既存の保護ルールには依然として料金がかかります。 WAFからMSEインスタンスを削除する前に、保護ルールを削除することを推奨します。詳細については、課金の概要トピックの「課金項目」セクションおよび保護構成の概要トピックの「保護モジュールの概要」セクションを参照してください。方法1: インスタンスページで、管理するALBインスタンスのIDをクリックします。 [統合サービス] タブをクリックします。 [Webアプリケーションファイアウォール] セクションで、[WAFの無効化] をクリックします。 [保護の無効化] ダイアログボックスで、[OK] をクリックします。方法2: インスタンスページで、管理するALBインスタンスを見つけ、インスタンスIDの右側にあるアイコンの上にポインターを移動します。表示されるホバーボックスで、[WAF保護] セクションの [WAFの無効化] をクリックします。 [保護の無効化] ダイアログボックスで、[OK] をクリックします。方法3: インスタンスページで、管理するALBインスタンスのIDをクリックします。インスタンスの詳細タブで、[基本情報] セクションの [WAF保護] の横にある [WAFの無効化] をクリックします。 [保護の無効化] ダイアログボックスで、[OK] をクリックします。方法4: インスタンスページで、管理するALBインスタンスを見つけ、[操作] 列の > [仕様の変更] を選択します。 [Application Load Balancer \| アップグレード /ダウングレード] ページで、[Edition] を [Standard] に設定し、[今すぐ購入] をクリックして支払いを完了します。

WAFコンソールでWAF保護を管理します。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
WAF保護を管理します。
- WAFによって保護されているALBインスタンスの表示
  [クラウドネイティブ] タブで、左側の製品リストで [ALB] をクリックします。
- 保護オブジェクトと保護ルールの追加
  ALBインスタンスのIDをクリックして、[保護されたオブジェクト] ページに移動します。このページでは、ALBインスタンスの保護されたオブジェクトと保護ルールを表示できます。詳細については、「概要」をご参照ください。
  説明
  クラウドネイティブモードでWAFに追加されたクラウドサービスインスタンスのアセットタイプの値は、クラウドサービス名の略です。たとえば、ALBインスタンスのアセットタイプの値はalbで、ドメイン名の値は空です。
- ALBインスタンスのWAF保護を無効にする
  ALBインスタンスのWAF保護を無効にすると、ALBインスタンスはWAFによって保護されなくなり、WAFセキュリティレポートにはALBインスタンスに関する保護の詳細が含まれなくなります。
  重要
  ALBインスタンスのWAF保護が無効になった後、WAFはリクエスト処理料金を請求しなくなります。ただし、既存の保護ルールには依然として料金がかかります。 WAFからMSEインスタンスを削除する前に、保護ルールを削除することを推奨します。詳細については、課金の概要トピックの「課金項目」セクションおよび保護構成の概要トピックの「保護モジュールの概要」セクションを参照してください。
  1. [クラウドネイティブ] タブで、管理するインスタンスを見つけ、[操作] 列の [削除] をクリックします。
  2. 表示されるメッセージで、情報を表示し、[削除] をクリックします。
  3. [削除] パネルで、[エディション] を [標準] に設定し、[今すぐ購入] をクリックして支払いを完了します。

よくある質問

WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードの違いは何ですか?
次のセクションでは、WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードの違いについて説明します。
- WAF 2.0の透過プロキシモード: リクエストは、リクエストがALBまたはCLBに転送される前にWAFによってフィルタリングされます。透過プロキシモードでは、リクエストは2つのゲートウェイを通過します。 WAFおよびServer Load Balancer (SLB) のタイムアウト期間と証明書を設定する必要があります。
- WAF 3.0のサービス統合モード: WAFはバイパスモードでデプロイされ、リクエストはALBに直接転送されます。リクエストがバックエンドサーバーに転送される前に、ALBはリクエストコンテンツを抽出してフィルタリングのためにWAFに送信します。サービス統合モードでは、リクエストは1つのゲートウェイを通過します。これにより、ゲートウェイ間で証明書と設定を同期する必要がなくなり、同期の問題を防ぎます。
詳細については、「WAF 3.0とWAF 2.0の比較」をご参照ください。
WAF for ALBを有効にするにはどうすればよいですか?
ALBはWAF 3.0と統合されています。 ALBインスタンスをWAFで保護する場合は、WAF対応のALBインスタンスを購入してください。 WAF対応のALBインスタンスを購入するときは、次の情報に注意してください。
- Alibaba CloudアカウントにWAF 2.0インスタンスがない場合、またはWAFが有効化されていない場合は、WAF対応のALBインスタンスを購入することで、インターネット向けおよび内部向けのALBインスタンスのWAF 3.0を有効にできます。このように、ALBはサービスレベルでWAFと統合されます。 WAF対応のALBインスタンスをサポートするリージョンの詳細については、「WAF対応のALBインスタンスの制限」をご参照ください。
- Alibaba Cloudアカウントに既にWAF 2.0インスタンスがある場合: 透過プロキシモードの基本的なインターネット向けALBインスタンスおよび標準のインターネット向けALBインスタンスに対してWAF 2.0を有効にできます。内部対応のALBインスタンスはWAF 2.0をサポートしていません。
  透過プロキシモードでWAF 2.0とインターフェイスできるのは、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (成都) 、中国 (北京) 、中国 (張家口) のリージョンのALBインスタンスのみです。
  説明
  ALBインスタンスのWAF 3.0を有効にする場合は、最初にWAF 2.0インスタンスをリリースするか、WAF 3.0に移行します。
  - WAF 2.0インスタンスをリリースすると、デフォルトでALBに対してX-Forwarded-Protoヘッダーが無効になっているため、サービスエラーが発生する可能性があります。エラーを防ぐには、ALBインスタンスのリスナーのX-Forwarded-Protoヘッダーを有効にする必要があります。詳細については、「リスナーの管理」をご参照ください。
  - WAF 2.0インスタンスをリリースする方法の詳細については、「WAFサービスの終了」をご参照ください。
  - WAF 3.0への移行方法の詳細については、「WAF 2.0インスタンスのWAF 3.0への移行」をご参照ください。

CLBとALBは、WAF 2.0の透過プロキシモードとWAF 3.0のサービス統合モードをサポートしていますか。

サービス

WAF 2.0 (透過プロキシモード)

WAF 3.0 (サービス統合モード)

CLB

サポートされています。

透過プロキシモードでWAF 2.0をCLBに接続する方法の詳細については、以下のトピックを参照してください。

サポートされていません。

ALB

Alibaba CloudアカウントにWAF 2.0インスタンスがある場合、透過プロキシモードでWAF 2.0インスタンスをALBに接続できます。詳細については、「トラフィックリダイレクションポートの設定」の「ALBインスタンスのトラフィックリダイレクションポットの設定」セクションをご参照ください。
Alibaba CloudアカウントにWAF 2.0インスタンスがない場合、またはWAFが有効化されていない場合は、WAF 3.0のみALBに接続できます。この場合、WAF対応のALBインスタンスを購入する必要があります。