このトピックでは、Web Application Firewall (WAF) に関するよくある質問に対する回答を提供します。
概要
プリセールスコンサルティングに関するFAQ
Webサイトアクセス設定に関するFAQ
ウェブサイトの保護設定に関するFAQ
ウェブサイト保護分析に関するFAQ
WAFを使用して、Alibaba Cloudにデプロイされていないサーバーを保護できますか。
はい。WAFを使用して、Alibaba Cloudにデプロイされていないサーバーを保護できます。 WAFは、サーバーがAlibaba Cloud、サードパーティのクラウド、またはデータセンターにデプロイされているかどうかに関係なく、インターネット経由でアクセス可能なすべてのサーバーを保護できます。
中国本土のWAFインスタンスにドメイン名を追加する場合は、産業情報技術省 (MIIT) の要求に応じて、ドメイン名のインターネットコンテンツプロバイダ (ICP) 申請を完了する必要があります。 ドメイン名にICP登録がない場合、ドメイン名をWAFインスタンスに追加することはできません。
WAFはCloud Web Hostingインスタンスをサポートしていますか?
はい。WAFのすべてのエディションは、専用のクラウドWebホスティングインスタンスをサポートしています。
共有クラウドWebホスティングインスタンスは共有IPアドレスを使用します。 したがって、複数のユーザーが同じオリジンサーバーを共有します。 共有クラウドWebホスティングインスタンスに対してWAFを個別に設定しないことを推奨します。
WAFはHTTPSサービスを保護できますか?
はい。WAFのすべてのエディションでHTTPSサービスを保護できます。 ワイルドカードドメイン名をWAFに追加できます。
HTTPSサービスを保護するには、プロンプトに従ってSSL証明書と秘密鍵ファイルをアップロードする必要があります。 HTTPS対応WebサイトがWAFに追加されると、WAFはアクセスリクエストを復号化し、リクエストパケットをチェックし、リクエストを暗号化してから、リクエストを配信元サーバーに転送します。
WAFはカスタムポートをサポートしていますか?
WAF 2.0 Business and EnterpriseおよびWAF 3.0 Enterprise and Ultimateはカスタムポートをサポートします。 従量課金WAF 2.0およびWAF 3.0インスタンスもカスタムポートをサポートしています。
エディション | WAF 2.0 | WAF 3.0 |
エディション | WAF 2.0 | WAF 3.0 |
ビジネス (WAF2.0) エンタープライズ (WAF 3.0) | 最大10個のカスタムポート | 最大50のカスタムポート |
エンタープライズ (WAF2.0) Ultimate (WAF 3.0) | 最大50のカスタムポート | 最大100個のカスタムポート |
従量課金 | 最大10個のカスタムポート | 最大100個のカスタムポート |
WAFは、特定のポート範囲内のカスタムポートのみをサポートします。 カスタムポートを使用する場合は、ポートがサポートされているポート範囲内にあることを確認してください。 詳細については、「WAFでサポートされているポートの表示」および「サポートされているポートの表示」をご参照ください。
WAFに追加できるポートの制限は何ですか?
WAFは特定のポートのみをサポートします。 サポートされるポートは、WAFのエディションによって異なります。 詳細については、「WAFでサポートされているポートの表示」をご参照ください。
セキュリティリスクは、脆弱なポートによって引き起こされる可能性があり、インターネットサービスプロバイダ (ISP) は、脆弱なポートを宛先とするサービストラフィックをブロックする可能性がある。 脆弱なTCPポートには、ポート42、135、137、138、139、445、593、1025、1434、1068、3127、3128、3129、3130、4444、5554、5800、5900、9996が含まれます。 WAFによって保護されているWebサイトが脆弱なポートを使用している場合、特定のリージョンでWebサイトにアクセスできない可能性があります。 WebサイトをWAFに追加する前に、Webサイトが脆弱なポートを使用していないことを確認してください。
WAFコンソールで指定されたQPS制限は、WAFインスタンス全体またはWAFインスタンスに追加された単一のドメイン名に適用されますか。
1秒あたりのクエリ数 (QPS) の制限は、WAFインスタンス全体に適用されます。
たとえば、WAFコンソールで3つのドメイン名をWAFインスタンスに追加した場合、ドメイン名の合計QPSは指定されたQPS制限を超えることはできません。 合計QPSが制限を超えると、WAFはスロットリングをトリガーし、パケットをランダムに破棄する可能性があります。
WAFは相互TLS認証をサポートしていますか?
CNAMEレコードと透過プロキシモードは、相互TLS認証をサポートしていません。 WAF 3.0のクラウドネイティブSDKモジュールモードは、相互TLS認証をサポートしています。 このモードでは、WAF 3.0コンソールの [Webサイトの設定] ページの [クラウドネイティブ] タブで、次のクラウドサービスをWAFに追加できます。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Serverless App Engine (SAE) です。
WAFはWebSocket、HTTP/2、またはSPDYプロトコルをサポートしていますか?
WAFのすべてのエディションはWebSocketをサポートしています。 WAF 2.0では、ビジネス以上がHTTP/2をサポートしています。 WAF 3.0では、Enterpriseまたはそれ以降のエディションのサブスクリプションインスタンスと従量課金インスタンスはHTTP/2をサポートしています。 WAFのすべてのエディションはSPDYをサポートしていません。
攻撃者がHTTP/2 over cleartext (H2C) の密輸を使用してWAFをバイパスしないようにするには、カスタムルールを作成して、ヘッダー名がアップグレード、値がh2cのリクエストをブロックします。 詳細については、「特定のリクエストに対して防御するカスタムルールの設定 (WAF 3.0) 」および「カスタム保護ポリシーの作成 (WAF 2.0) 」をご参照ください。
HTTP/2サービスがWAFに追加された後、オリジンサーバーは影響を受けますか。
はい、オリジンサーバーが影響を受けます。 HTTP/2サービスをWAFに追加すると、WAFはクライアントからのHTTP/2リクエストを処理できます。 ただし、WAFはHTTP/1.0またはHTTP/1.1を介してのみオリジンサーバーにリクエストを転送します。 HTTP/2サービスをWAFに追加すると、HTTP/2多重化が期待どおりに機能せず、オリジンサーバーのクリーンな帯域幅が増加します。
WAFはどのTLSプロトコルをサポートしていますか?
中国本土にあるWAFインスタンスは、TLS 1.0、TLS 1.1、およびTLS 1.2をサポートしています。 中国本土外にあるWAFインスタンスは、TLS 1.1とTLS 1.2をサポートしています。
特別な要件がある場合は、カスタムTLS設定を構成できます。 たとえば、WAFインスタンスのTLS 1.0を無効にし、TLS 1.3を有効にすることができます。 詳細については、「カスタムTLS設定の設定」をご参照ください。
WAFはNTLM認証を使用するWebサイトを保護できますか?
WAFは、New Technology LAN Manager (NTLM) 認証を使用するWebサイトを保護できません。 WebサイトがNTLM認証を使用している場合、WAFによって転送されたアクセス要求がオリジンサーバーのNTLM認証に失敗する可能性があります。 結果として、認証プロンプトは、クライアント上で繰り返し表示され得る。 ウェブサイトには別の認証方法を使用することを推奨します。
ECSインスタンスのプライベートIPアドレスを配信元IPアドレスとして使用できますか。
いいえ。Elastic Compute Service (ECS) インスタンスのプライベートIPアドレスをオリジンIPアドレスとして使用することはできません。 これは、WAFがインターネット経由でオリジンサーバーにリクエストを転送するためです。
WAFは1つのドメイン名に対して複数の配信元IPアドレスを保護できますか?
はい。WAFコンソールでドメイン名を追加すると、最大20個の配信元IPアドレスを入力できます。
WAFは複数の配信元サーバー間でリクエストをどのように分散しますか?
複数のオリジンサーバーを使用する場合、WAFは自動的にIPハッシュメソッドを使用して、オリジンサーバー間でリクエストの負荷を分散します。 ビジネス要件に基づいて、他の負荷分散アルゴリズムを使用することもできます。 詳細については、「ドメイン名の追加」をご参照ください。
WAFはヘルスチェック機能をサポートしていますか?
はい、WAFはヘルスチェック機能をサポートしています。 デフォルトでは、ヘルスチェック機能は有効になっています。 WAFは、すべての配信元IPアドレスの可用性をチェックします。 オリジンサーバーが利用できない場合、WAFはリクエストを別のオリジンサーバーに転送します。
オリジンサーバーが応答しない場合、WAFはオリジンサーバーのクールダウン期間を設定します。 この期間中、WAFはリクエストをオリジンサーバーに転送せず、リクエストを別のオリジンサーバーに転送します。 期間が終了しても、WAFはリクエストをオリジンサーバーに転送する可能性があります。 ヘルスチェック機能の詳細については、「CLBヘルスチェックの仕組み」をご参照ください。
配信元IPアドレスを変更すると、レイテンシは存在しますか?
はい。オリジンIPアドレスを変更すると、レイテンシが発生します。 新しいIPアドレスが有効になるまでに約1分かかります。
WAFのback-to-origin CIDRブロックとは何ですか?
WAFのback-To-origin CIDRブロックを表示するには、WAFコンソールにログインし、左側のナビゲーションウィンドウでを選択します。 詳細については、「WAFのback-to-origin CIDRブロックからのリクエストの許可」をご参照ください。
WAFのback-to-origin CIDRブロックはセキュリティグループに自動的に追加されますか?
WAFのback-to-origin CIDRブロックは、セキュリティグループに自動的に追加されません。 オリジンサーバー用に他のファイアウォールまたはホスト保護ソフトウェアを展開する場合は、WAFのback-to-origin CIDRブロックをファイアウォールおよびソフトウェアのホワイトリストに追加することを推奨します。
オリジンサーバーの保護ポリシーを設定することを推奨します。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。
back-to-origin設定を構成するときに、すべてのクライアントIPアドレスからのアクセス要求を許可する必要がありますか?
すべてのクライアントIPアドレスからのアクセス要求、またはWAFのback-to-origin CIDRブロックからのアクセス要求のみを許可できます。 webサービスのオリジンサーバーを保護するために、WAFのback-to-origin CIDRブロックからのアクセス要求のみを許可することをお勧めします。
専用IPアドレスを使用するWAFインスタンスは、DDoS攻撃から防御できますか。
はい。専用IPアドレスを使用するWAFインスタンスは、DDoS攻撃から防御できます。
WAFは、ドメイン名を個別に保護するための専用IPアドレスを提供します。 WAFは、Anti-DDoSブラックホールフィルタリングポリシーを使用して、排他的IPアドレスを保護できます。 このポリシーは、ECSおよびServer Load Balancer (SLB) インスタンスのパブリックIPアドレスを保護するのと同じ方法で、排他的IPアドレスを保護します。 排他的IPアドレスを使用するWAFインスタンスによって提供されるデフォルトのDDoS軽減機能は、WAFがデプロイされているリージョンで関連するドメイン名が指すECSインスタンスのデフォルトのDDoS軽減機能と同じです。
WAFはAlibaba Cloud CDNまたはAnti-DDoSプロキシと一緒にデプロイできますか。
はい。WAFはAlibaba Cloud CDNおよびAnti-DDoS Proxyと完全に互換性があります。 Alibaba Cloud CDNおよびAnti-DDoSプロキシとともにWAFをデプロイする場合は、クライアント、Anti-DDoSプロキシ、Alibaba Cloud CDN、WAF、SLB、およびオリジンサーバーの順にサービスをデプロイすることを推奨します。
Alibaba Cloud CDNまたはAnti-DDoSプロキシと一緒にWAFをデプロイする場合は、Alibaba Cloud CDNまたはAnti-DDoS Proにドメイン名を追加するときに、配信元サーバーのアドレスをWAFによって割り当てられたCNAMEに設定するだけで済みます。 オリジンサーバーのアドレスがWAFによって割り当てられたCNAMEに設定されている場合、リクエストはAlibaba Cloud CDNまたはAnti-DDoSプロキシによってWAFに転送され、次にオリジンサーバーに転送されます。 詳細については、「Anti-DDoS ProxyとWAFを使用してWebサイトサービスを保護する」および「CDNと一緒にWAFを使用する」をご参照ください。
Alibaba Cloudアカウント全体で、Alibaba Cloud CDNおよびAnti-DDoSプロキシとともにWAFをデプロイできますか。
はい。Alibaba Cloudアカウント全体で、Alibaba Cloud CDNおよびAnti-DDoSプロキシとともにWAFをデプロイできます。 これにより、DDoS攻撃やwebアプリケーション攻撃から防御できます。
WAFは、アップロードされた証明書と証明書の秘密鍵のセキュリティをどのように保証しますか? WAFはHTTPSトラフィックを復号化し、HTTPSリクエストのコンテンツを記録しますか?
WAFを使用してHTTPSサービスを保護する場合は、必要なSSL証明書と証明書の秘密鍵をアップロードする必要があります。 これにより、WAFはHTTPSトラフィックを復号して攻撃を検出し、攻撃の特性を分析できます。 Alibaba Cloudは、専用のキーサーバーを使用して秘密鍵を保存および管理します。 キーサーバーはAlibaba Cloud key Management Service (KMS) に基づいており、証明書と秘密鍵のデータセキュリティ、整合性、可用性を確保できます。 これにより、機密保護とコンプライアンスの要件を満たすことができます。 KMSの詳細については、「」をご参照ください。キー管理サービスとは
WAFは、攻撃がリアルタイムで検出されるシナリオでのみ、アップロードされた証明書と証明書の秘密鍵を使用してHTTPSトラフィックを復号化します。 WAFは、攻撃レポートとデータ統計を提供する攻撃ペイロードのみを記録します。 WAFに必要な権限が付与されていない限り、WAFはリクエストまたはレスポンスの全コンテンツを記録しません。
WAFは、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、クラウドセキュリティアライアンス (CSA) STAR認定、中国におけるサイバーセキュリティマルチレベル保護スキーム (MLPS 2.0) レベルIII、サービス組織制御 (SOC) 1、SOC 2、SOC 3、クラウドコンピューティングコンプライアンスコントロールカタログ (C5) 、香港品質保証機関 (HKQAA) によって開発されたグリーンファイナンス認証スキーム、アウトソーシングされたサービスプロバイダーの監査レポート (OSPAR) 、およびペイメントカード業界データセキュリティ標準 (PCI DSS) 。 WAFは、Alibaba Cloudと同じセキュリティおよびコンプライアンス資格も提供します。 詳細については、Alibaba Cloudトラストセンターをご参照ください。
WAFを使用してHTTPSサービスを保護する場合は、デュアル証明書方式を使用できます。 WAFインスタンスで証明書と秘密鍵のセットを使用し、オリジンサーバーで別の証明書と秘密鍵のセットを使用できます。 証明書と秘密鍵の2つのセットは有効でなければなりません。 証明書と秘密鍵の2つのセットを別々に管理できます。
ドメイン名がWAFに追加されます。 ドメイン名リストでドメイン名が見つからないのはなぜですか?
ドメイン名はWAFによって自動的に削除された可能性があります。 これは、ドメイン名のICP登録情報が無効な場合に発生します。 ドメイン名のICP申請を完了し、ドメイン名を再度WAFに追加する必要があります。 ICPファイリングの詳細については、「ICPファイリングアプリケーションの概要」をご参照ください。
中国本土のWAFインスタンスにWebサイトを追加する前に
ドメイン名のICP登録情報が有効であることを確認してください。 法規制の要件を満たすために、WAFはICP登録情報が無効なドメイン名を定期的に削除します。WAFを使用してHTTPフラッド攻撃から防御するにはどうすればよいですか?
WAFは、HTTPフラッド攻撃から防御するためのさまざまな保護モードを提供します。 ビジネス要件に基づいてモードを選択できます。 詳細については、「HTTPフラッド保護の設定」をご参照ください。
保護を強化し、誤検出率を下げるために、WAF 2.0 BusinessまたはEnterpriseおよびWAF 3.0 EnterpriseまたはUltimateを使用できます。 これにより、セキュリティ専門家はビジネスに固有の保護アルゴリズムを調整できます。 詳細については、「カスタム保護ポリシーの作成」をご参照ください。
WAFコンソールでの設定変更の有効化にはどのくらいの時間がかかりますか?
ほとんどの場合、設定変更は1分以内に有効になります。
WAFコンソールでカスタム保護ポリシー (ACLポリシー) を設定するときに、IPフィールドにCIDRブロックを入力できますか?
はい、IPフィールドにCIDRブロックを入力できます。
URL一致フィールドにダブルスラッシュ (//) が含まれているカスタム保護ポリシーが有効にならないのはなぜですか。
WAFのルールエンジンがURL一致フィールドを処理すると、ルールエンジンは連続したスラッシュ (/) を圧縮します。 したがって、URL一致フィールドにはダブルスラッシュ (//) が含まれているため、ルールエンジンはカスタム保護ポリシーに一致できません。
URL一致フィールドにダブルスラッシュ (//) が含まれるACLポリシーを定義する場合は、代わりに1つのスラッシュ (/) を入力します。 たとえば、URL一致フィールドを // api/sms/requestに設定する場合は、/api/sms/requestと入力します。 これにより、WAFは期待どおりにアクセス制御を実装できます。
WAFコンソールでHTTPフラッド攻撃のソースIPアドレスを表示できますか?
はい。Simple Log Service for WAF機能を有効にすると、HTTPフラッド攻撃の送信元IPアドレスを表示できます。 詳細については、「Log Service For WAF機能の使用を開始する」および「クエリログ」をご参照ください。
WAFの帯域幅使用量をクエリするにはどうすればよいですか。
WAFの帯域幅使用率は、WAFコンソールの [概要] ページで確認できます。
WAFはビジネスアカウントAPIのアクセスセキュリティをどのように改善しますか?
企業のビジネスと規模が拡大し続けるにつれて、攻撃の数も指数関数的に増加しています。 より価値のあるアカウントを持つWebサイトは、より頻繁に攻撃されます。 攻撃者は、アカウントにログオンしたり、多数の偽のアカウントを登録したりするために、特定の期間にわたって特定のビジネスアカウントAPIに対して多数の要求を開始する場合があります。 WAFは、APIを自動的に検出し、アカウントのリスク識別とシナリオベースのクロール防止機能を提供することで、アカウントに関連付けられたAPIを保護できます。 詳細については、「APIセキュリティ」、「不正検出」、「ボット管理モジュールの有効化と設定」をご参照ください。
クローラーはAPIを呼び出して情報を収集する方法? リスクを軽減するにはどうすればよいですか?
クローラーは、特定のルールに基づいてインターネットからデータを自動的に収集します。 企業は、攻撃者がAPIへの不正アクセスを取得できるようにするオンラインAPIの効果的な管理を欠いている可能性があります。 不適切な設定や違法なAPIアクセス要求も、機密データの漏洩を引き起こす可能性があります。 WAFは、ボット管理およびAPIセキュリティモジュールを提供します。
ボット管理モジュールは、リアルタイムでコンパイルされた悪意のあるクローラIPアドレスデータベース、および主要なパブリッククラウドおよびデータセンターからの動的に更新されたIPアドレスデータベースなどのインテリジェンスデータに基づいて、悪意のある要求を保護し、処理する。 詳細については、「ボット管理モジュールの有効化と設定」をご参照ください。
APIセキュリティモジュールは、WAFに追加されたサービスのAPIを自動的にソートし、APIの脆弱性を検出し、API例外イベントに関するレポートを提供し、脆弱性の処理方法に関する提案を提供します。 詳細については、「APIセキュリティ」をご参照ください。
WAFは、カスタムヘッダーフィールドを使用して、クライアントの送信元IPアドレスを取得および記録する方法を教えてください。
Anti-DDoS proxyやAlibaba Cloud CDNなどのレイヤ7プロキシがWAFの前にデプロイされている場合、X-Client-IPやX-Real-IPなどのカスタムヘッダーフィールドを使用して、クライアントの送信元IPアドレスをリクエストに含めることができます。 これにより、攻撃者がX-Forward-Forヘッダーを偽造してWAFの検出を回避できなくなり、ビジネスセキュリティが強化されます。 WAFでカスタムヘッダーフィールドを設定すると、WAFはヘッダーフィールドの値をクライアントの送信元IPアドレスとして使用します。 複数のカスタムヘッダーフィールドを設定した場合、WAFはヘッダーフィールドからクライアントの送信元IPアドレスを順番に読み取ります。
WAFは、クライアントの送信元IPアドレスを次の方法で記録します。WAFにWebサイトを追加するときに、トラフィックマーキング機能を有効にできます。 この機能により、WAFは、WAFがオリジンサーバーにリクエストを転送するときに、クライアントの送信元IPアドレスをカスタムヘッダーフィールドに記録できます。 このようにして、オリジンサーバは、ビジネス分析のためにカスタムヘッダフィールドからクライアントの発信IPアドレスを取得することができる。
APIの主なセキュリティリスクとその影響は何ですか? リスクを軽減するにはどうすればよいですか?
攻撃者はAPIに不正にアクセスする可能性があります。 不適切な設定と違法なAPIアクセス要求は、機密データの漏洩につながる可能性があります。 HTTPフラッド攻撃は、多数のシミュレートされた通常の要求をAPIに送信することで開始できます。 オフラインになっていない期限切れのAPIは、データリークにつながる可能性があります。
WAFは、このような問題に対するAPIセキュリティモジュールを提供します。 APIセキュリティモジュールは、ユーザー設定を必要とせずに、機密データの漏洩やインターネットに公開された内部APIなどのリスクの高い問題を自動的に検出します。 WAFは、包括的なAPIモニタリングとトラフィックの視覚化を実装して、APIの検出と分類、APIの状態の評価、まだ公開されている期限切れのAPIの特定、および通常のアクセス要求のモデル化を行います。 WAFは、APIリクエストパラメータモデルに自己学習を実装して、異常なAPI呼び出しに対してほぼリアルタイムのアラートを有効にします。 WAFでは、ユーザーがリスクを軽減および処理するための保護ポリシーを設定することもできます。 詳細については、「APIセキュリティ」をご参照ください。
HTTPステータスコードのリークに関連するリスクは何ですか? リスクを軽減するにはどうすればよいですか?
HTTPステータスコードは、webサーバーからのHTTP応答のステータスを示す3桁の数値コードです。 関連するエラーページには、サーバーコードの詳細、データベース接続情報、SQL文、機密ファイルへのパスなどの情報が含まれる場合があります。 攻撃者は、ソーシャルエンジニアリング情報を収集し、webアプリケーションエラーをトリガーして、ミドルウェアのバージョン情報やデータベース接続の詳細など、エラーメッセージから漏洩した機密情報を取得できます。 攻撃者は、既知の脆弱性を持つ特定のバージョンに対して標的型攻撃を実行できます。
サーバーのバージョン情報の漏洩を防ぐために、HTTPレスポンスヘッダーの不要な情報を非表示にし、デフォルトのエラー応答ページを返すことを推奨します。 WAFを使用すると、特定のHTTPステータスコードを持つリクエストのアラートをブロックまたは生成するルールを設定できます。 これにより、機密サーバー情報の漏洩を防ぐことができます。 たとえば、HTTP 404ステータスコードでリクエストをブロックするように保護ルールを設定できます。 ルールが有効になると、WAFは存在しないページのリクエストをブロックし、カスタムエラーページを返します。 詳細については、「カスタムブロックページを設定するためのカスタムレスポンスルールの設定」をご参照ください。
ゲームビジネスのセキュリティリスクは何ですか? リスクを軽減するにはどうすればよいですか?
ゲームビジネスは、チート、金農業、アカウント盗難、不適切なコンテンツなどのさまざまなセキュリティリスクに直面しており、プレーヤーのエクスペリエンスとゲームサービスプロバイダの利益の両方を損なう可能性があります。 リスクを処理するために、Alibaba Cloudはゲームリスク管理ソリューションを提供しています。 このソリューションは、蓄積されたリスク管理機能を活用し、データ特性、インテリジェントアルゴリズム、およびグラフコンピューティングを組み合わせて、違法行為を正確に特定します。 高いユーザー信頼性が必要なビジネスシナリオでは、ユーザーがID検証メカニズムをバイパスしないように、実名検証を使用することをお勧めします。 ゲームコンテンツのセキュリティを確保するために、Alibaba Cloud content Moderationを使用できます。 Content ModerationのパブリッククラウドAPIを呼び出して、画像、音声、テキストのセキュリティチェックを実行し、ポルノ、政治的機密性、テロなどのコンテンツを検出できます。 さらに、WAFはAlibaba Cloudのグローバルトラフィックと脅威インテリジェンスに基づいて悪意のあるクローラーリクエストをブロックし、ゲームビジネスの継続性を確保します。
ドメイン名を使用してweb APIサービスを提供すると、どのようなリスクが発生しますか? リスクを軽減するにはどうすればよいですか?
Webアプリケーションは、web APIを使用して、ストレージサービス、メッセージングサービス、コンピューティングサービスなどのサービスを提供します。 ただし、偽造されたAPIリクエストは、リクエストパスの不一致やパラメーター値の制限を超えるなど、違法なAPIアクセスリクエストにつながる可能性があります。 その結果、機密データのリークが発生する可能性があります。 WAFはAPIセキュリティモジュールを提供します。 モジュールはカスタムAPIルールファイルを管理し、指定されたルールを満たすAPIリクエストのみが実行されるようにします。 さらに、多数のクローラーが通常のAPIリクエストをシミュレートできます。 この場合、WAFはAlibaba Cloudのグローバルトラフィックと脅威インテリジェンスに基づいて悪意のあるクローラーリクエストをブロックし、ビジネス詐欺やHTTPフラッド攻撃を防ぎます。 詳細については、「APIセキュリティ」、「ボット管理モジュールの有効化と設定」、および「HTTPフラッド攻撃から防御するためのHTTPフラッド保護ルールの設定」をご参照ください。
データリークのリスクを減らすためにWAFはどのような対策を講じていますか?
WAFは、攻撃を検出して軽減するために、危険なAPIを事前に識別し、データリークに自動的に対応し、階層化された侵入防止戦略を採用し、クローラーを傍受します。 これにより、ビジネスデータのセキュリティが確保されます。
WAFが提供する主要な保護エンジンは何ですか?
WAFには、基本保護ルールエンジンとカスタムルールエンジンの2つの保護エンジンがあります。 エンジンは、Webサイトやアプリのビジネストラフィックの悪意のある特性を特定し、悪意のあるトラフィックから防御します。 詳細については、「基本的な保護ルールとルールグループ」および「カスタムルールの設定」をご参照ください。
WAFは、web攻撃として誤って識別された通常のリクエストをどのようにインテリジェントに検出して処理しますか?
通常のビジネスリクエストの特性と攻撃検出ルールがよく似ているため、WAFは通常のビジネスリクエストを攻撃として識別する場合があります。 誤検出率を下げるために、WAFの基本保護ルールエンジンはデフォルトでインテリジェントルールホスティング機能を有効にします。 この機能は、web侵入防止ホワイトリストを動的に管理して、誤検知のリスクを最小限に抑えます。 誤検知のリスクが解消された後、基本保護ルールエンジンはホワイトリストに追加されたルールを自動的に削除します。 詳細については、「特定のリクエストを許可するホワイトリストルールの設定」をご参照ください。
WAFはどのようにデータベースのセキュリティを強化しますか?
WAFは、web侵入防止、HTTPフラッド保護、およびクローラー防御を使用して、データベースのセキュリティを強化します。 詳細については、「基本的な保護ルールとルールグループ」、「ボット管理モジュールの有効化と設定」、および「HTTPフラッド攻撃から守るためのHTTPフラッド保護ルールの設定」をご参照ください。
ドメイン名がSLB IPアドレスに解決され、WAFに追加されます。 ドメイン名宛てのリクエストがWAFをバイパスしないようにするにはどうすればよいですか?
WAFは、ドメイン名を追加するために、CNAMEレコードモードと透過プロキシモードをサポートしています。 CNAMEレコードモードでWAFにドメイン名を追加した後、WAF back-to-origin CIDRブロックからのインバウンドトラフィックのみを許可するようにオリジンサーバーのアクセス制御ポリシーを設定することをお勧めします。 これにより、攻撃者がWAFをバイパスしてオリジンサーバーを攻撃できなくなります。 オリジンサーバーがSLBインスタンスにデプロイされている場合は、WAF back-to-origin CIDRブロックからのインバウンドトラフィックのみを許可するように、SLBインスタンスのアクセス制御ポリシーを設定する必要もあります。 SLBインスタンスのアクセス制御ポリシーを設定した後、オリジンサーバーのサービスポートにアクセスできるかどうかを確認します。 サービスポートに直接アクセスできないが、Webサイトサービスに引き続きアクセスできる場合、オリジンサーバーの保護設定は正常です。 オリジンサーバーの保護設定を構成する前に、SLB IPアドレスに解決されたすべてのドメイン名がWAFに追加されていることを確認してください。 WAFクラスターの数を増やし、新しいback-to-origin CIDRブロックを追加する場合は、SLBインスタンス用に設定したアクセス制御ポリシーを更新します。 オリジンサーバーがインターネットに接続されたSLBインスタンスにデプロイされている場合は、透過プロキシモードでドメイン名をWAFに追加することもできます。 透過プロキシモードを使用すると、DNSレコードを変更したり、オリジンサーバーの保護設定を構成したりする必要がなくなります。
