保護オブジェクトと保護オブジェクトグループを追加および管理する方法 - Web Application Firewall

保護オブジェクトおよび保護オブジェクトグループは、保護ルールが有効になる単位です。保護オブジェクトまたは保護オブジェクトグループを保護テンプレートに関連付けて、Web Application Firewall (WAF) 保護を実装できます。このトピックでは、保護オブジェクトと保護オブジェクトグループを追加および管理する方法について説明します。

背景情報

保護されたオブジェクト

保護対象オブジェクトは、WAF保護ルールが有効になる最小単位です。保護されたオブジェクトは、クラウドサービスインスタンスまたはドメイン名です。

保護されたオブジェクトをWAFに追加するには、次のいずれかの方法を使用します。

自動追加: クラウドサービスインスタンスのWAF保護を有効にするか、CNAMEレコードモードでドメイン名をWAFに追加すると、インスタンスまたはドメイン名が保護対象オブジェクトとして自動的に追加されます。
手動追加: WAF保護を有効にするApplication Load Balancer (ALB) インスタンス、Classic Load Balancer (CLB) インスタンス、またはElastic Compute Service (ECS) インスタンスのドメイン名レベルの保護ルールを設定する場合は、ドメイン名を保護されたオブジェクトとして手動で追加できます。詳細については、「保護対象オブジェクトの手動追加」をご参照ください。

さまざまなアクセスモードで、さまざまな方法を使用して保護対象オブジェクトをWAFに追加できます。

モード	自動追加	マニュアル追加	制限事項
クラウドネイティブモード (ALBインスタンスのWAF保護の有効化)	ALBインスタンスのWAF保護を有効にすると、インスタンスは自動的に保護対象オブジェクトとして追加されます。	インスタンス関連のドメイン名を保護オブジェクトとして手動で追加できます。	WAFに追加できる保護対象オブジェクトの最大数は、WAFのエディションによって異なります。サブスクリプション： Basic Edition: 最大300の保護されたオブジェクトをWAFに追加できます。 Pro Edition: 最大600の保護されたオブジェクトをWAFに追加できます。 Enterprise Edition: 最大2、500の保護オブジェクトをWAFに追加できます。 Ultimate Edition: 最大10,000個の保護されたオブジェクトをWAFに追加できます。従量課金制: 最大10,000個の保護オブジェクトをWAFに追加できます。 WAFインスタンスに追加された保護オブジェクトの数と、WAFインスタンスに追加できる保護オブジェクトの数を表示するには、WAF 3.0コンソールの [保護オブジェクト] ページに移動します。サブスクリプションWAFインスタンスを使用している場合、WAFインスタンスに追加できる保護オブジェクトの数は、次の式を使用して計算されます。現在のエディションでサポートされている保護オブジェクトの最大数-現在のエディションでサポートされている空きドメイン名の数-購入した追加のドメイン名クォータ。たとえば、Pro Editionを実行するサブスクリプションWAFインスタンスを使用し、2の追加ドメイン名クォータを購入した場合、エディションは600の保護オブジェクトと5つのフリードメイン名をサポートしているため、最大593の保護オブジェクトをWAFに追加できます。数は、次の式を使用して計算されます: 600 - 5 - 2。 WAFに追加する保護オブジェクトの数が制限に達すると、ドメイン名またはクラウドサービスインスタンスをWAFに追加できなくなります。さらに、追加のドメイン名クォータを購入できなくなりました。保護されたオブジェクトをWAFに追加する場合は、WAF保護が不要になった保護されたオブジェクトをWAFインスタンスから削除するか、WAFインスタンスをアップグレードできます。詳細については、「保護されたオブジェクトの管理」、「保護されたオブジェクトグループの管理」、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。
クラウドネイティブモード (MSEインスタンスのWAF保護の有効化)	Microservices Engine (MSE) インスタンスのWAF保護を有効にすると、インスタンスは自動的に保護対象オブジェクトとして追加されます。インスタンスのルートも保護オブジェクトとして追加されます。	手動追加はサポートされていません。
クラウドネイティブモード (Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする)	Function Computeでカスタムドメイン名のWAF保護を有効にすると、ドメイン名が保護対象オブジェクトとして自動的に追加されます。	手動追加はサポートされていません。
クラウドネイティブモード (WAFにレイヤー7 CLBインスタンスを追加、WAFにレイヤー4 CLBインスタンスを追加、WAFにECSインスタンスを追加)	CLBまたはECSインスタンスをWAFに追加すると、インスタンスは自動的に保護オブジェクトとして追加されます。	インスタンス関連のドメイン名を保護オブジェクトとして手動で追加できます。
CNAMEレコードモード	ドメイン名をWAFに追加すると、ドメイン名は保護されたオブジェクトとして自動的に追加されます。	手動追加はサポートされていません。
Hybrid cloud - reverse proxy mode	ドメイン名をWAFに追加すると、ドメイン名は保護されたオブジェクトとして自動的に追加されます。	手動追加はサポートされていません。
ハイブリッドクラウド-SDK統合モード	自動追加はサポートされていません。	保護されたオブジェクトとしてWAFに追加されるドメイン名を手動で追加できます。

保護されたオブジェクトグループ

保護オブジェクトグループは、保護オブジェクトのグループである。保護対象オブジェクトグループは、WAF保護ルールが有効になる単位です。保護対象オブジェクトグループに複数の保護対象オブジェクトを追加し、保護対象オブジェクトグループの保護ルールを設定できます。保護ルールは、グループ内のすべての保護オブジェクトに対して有効になります。

説明

保護オブジェクトは、1つの保護オブジェクトグループにのみ属することができます。

前提条件

WAF 3.0インスタンスを購入しました。詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、アクセス管理 ページでWAFに追加されます。詳細については、「Webサイト設定の概要」をご参照ください。
CLBまたはECS関連のドメイン名を保護されたオブジェクトとして手動で追加し、ドメイン名が中国本土にある場合は、ドメイン名のインターネットコンテンツプロバイダ (ICP) 申請を申請する必要があります。
説明
Alibaba Cloud ICPファイリングシステムでICPファイリングを申請すると、指定したWebサイト情報に基づいて必要な操作が表示されます。

保護対象オブジェクトの手動追加

次の条件を満たすドメイン名の保護ルールを設定する場合は、次の手順を実行して、ドメイン名を保護オブジェクトとして手動で追加します。

ドメイン名は、ALBまたはCLBインスタンスを指すように設定されるか、ECSインスタンスでホストされ、インスタンスはクラウドネイティブモードでWAFに追加されます。
ハイブリッドクラウド-SDK統合モードでは、ドメイン名がWAFに追加されます。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、保護設定 > 保護対象 を選択します。
保護対象タブで保護対象の追加 をクリックします。

[保護されたオブジェクトの追加] ダイアログボックスで、保護対象タイプ パラメーターおよびその他のパラメーターを設定します。そして、OK をクリックします。設定する必要があるその他のパラメーターは、Protected Object Typeパラメーターの値によって異なります。

クラウドサービス

ALB、CLB、またはECS関連のドメイン名を保護オブジェクトとして追加する場合は、保護対象タイプパラメーターをクラウドサービスに設定します。次に、その他のパラメーターを設定します。下表に、各パラメーターを説明します。

パラメーター	説明
ドメイン名	WAFに追加するドメイン名。 `www.aliyundoc.com`などの完全一致ドメイン名、または `* .aliyundoc.com`などのワイルドカードドメイン名を入力できます。説明ワイルドカードドメイン名を入力した場合、WAFはワイルドカードドメイン名のプライマリドメイン名と一致しません。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`aliyundoc.com`と一致しません。ワイルドカードドメイン名を入力した場合、WAFは異なるレベルのワイルドカードドメイン名のサブドメインと一致しません。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`www.example.aliyundoc.com`と一致しません。ワイルドカードドメイン名を入力すると、WAFはワイルドカードドメイン名のすべてのサブドメインを同じレベルで自動的に照合します。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`www.aliyundoc.com`や`example.aliyundoc.com`などのサブドメインと一致します。完全一致ドメイン名とワイルドカードドメイン名を入力した場合、完全一致ドメイン名の保護ルールが優先されます。
クラウドサービス	配信元サーバーがデプロイされているクラウドサービス。有効な値： ALB: ALBサービス CLB4: レイヤー4 CLBサービス CLB7: レイヤー7 CLBサービス ECS: ECSサービス
インスタンス	クラウドサービスインスタンスのID。このパラメーターは、クラウドサービスパラメーターをALBに設定した場合にのみ必要です。説明 ALBインスタンスがドロップダウンリストに存在しない場合は、まずインスタンスをWAFに追加します。詳細については、「WAFへのALBインスタンスの追加」をご参照ください。
保護されたオブジェクトグループに追加	保護オブジェクトを追加する保護オブジェクトグループ。複数の保護対象オブジェクトを保護対象オブジェクトグループに追加し、同時に保護対象オブジェクトの保護ルールを設定できます。保護オブジェクトを保護オブジェクトグループに追加した後、保護オブジェクトグループの保護ルールを設定することによってのみ、保護オブジェクトの保護ルールを設定できます。保護対象オブジェクトの保護ルールを個別に設定することはできません。保護オブジェクトの保護ルールを個別に設定する場合は、このパラメーターをスキップします。説明ドロップダウンリストに保護オブジェクトグループが存在しない場合は、このパラメーターをスキップします。保護オブジェクトグループを作成した後、保護オブジェクトを保護オブジェクトグループに追加できます。保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトグループの作成」をご参照ください。

SDKベースのトラフィックミラーリング

ハイブリッドクラウド-SDK統合モードでWAF 3.0に追加されたドメイン名を保護オブジェクトとして追加する場合は、保護対象タイプパラメーターをハイブリッドクラウド SDK の統合に設定します。次に、その他のパラメーターを設定します。下表に、各パラメーターを説明します。

パラメーター	説明
保護対象名	WAFに追加する保護されたオブジェクトの名前。
ドメイン名 /IPアドレス	WAFに追加するドメイン名またはIPアドレス。 `www.aliyundoc.com`などの完全一致ドメイン名、または `* .aliyundoc.com`などのワイルドカードドメイン名を入力できます。説明ワイルドカードドメイン名を入力した場合、WAFはワイルドカードドメイン名のプライマリドメイン名と一致しません。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`aliyundoc.com`と一致しません。ワイルドカードドメイン名を入力した場合、WAFは異なるレベルのワイルドカードドメイン名のサブドメインと一致しません。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`www.example.aliyundoc.com`と一致しません。ワイルドカードドメイン名を入力すると、WAFはワイルドカードドメイン名のすべてのサブドメインを同じレベルで自動的に照合します。たとえば、`* .aliyundoc.com`と入力した場合、WAFは`www.aliyundoc.com`や`example.aliyundoc.com`などのサブドメインと一致します。完全一致ドメイン名とワイルドカードドメイン名を入力した場合、完全一致ドメイン名の保護ルールが優先されます。
URL	WAFに追加するURL。
保護されたオブジェクトグループに追加	保護オブジェクトを追加する保護オブジェクトグループ。複数の保護対象オブジェクトを保護対象オブジェクトグループに追加し、同時に保護対象オブジェクトの保護ルールを設定できます。保護オブジェクトを保護オブジェクトグループに追加した後、保護オブジェクトグループの保護ルールを設定することによってのみ、保護オブジェクトの保護ルールを設定できます。保護対象オブジェクトの保護ルールを個別に設定することはできません。保護オブジェクトの保護ルールを個別に設定する場合は、このパラメーターをスキップします。説明ドロップダウンリストに保護オブジェクトグループが存在しない場合は、このパラメーターをスキップします。保護オブジェクトグループを作成した後、保護オブジェクトを保護オブジェクトグループに追加できます。保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトグループの作成」をご参照ください。

WAFに保護オブジェクトを追加した後、保護オブジェクトリストで保護オブジェクトを表示および管理できます。詳細については、「保護されたオブジェクトの管理」をご参照ください。

保護されたオブジェクトグループの作成

保護オブジェクトグループを作成し、保護オブジェクトを保護オブジェクトグループに関連付け、複数の保護オブジェクトの保護ルールを同時に設定できます。

WAF 3.0コンソールにログインします。上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。
左側のナビゲーションウィンドウで、保護設定 > 保護対象 を選択します。
On the保護されたオブジェクトグループタブをクリックします。作成.
[保護オブジェクトグループの作成] ダイアログボックスで、[名前] 、[保護オブジェクトの関連付け] 、および [説明] パラメーターを設定します。次に、[OK] をクリックします。
説明
- 保護対象オブジェクトグループに属しておらず、デフォルトの保護テンプレートを使用している保護対象オブジェクトのみが、保護対象オブジェクトの下の [選択するオブジェクト] セクションに表示されます。
- 保護オブジェクトが保護オブジェクトグループに既に存在する場合、保護オブジェクトを現在の保護オブジェクトグループに追加する前に、保護オブジェクトグループから保護オブジェクトを削除する必要があります。詳細については、「保護対象オブジェクトグループの変更」をご参照ください。
保護オブジェクトグループを作成した後、[保護オブジェクトグループ] タブで保護オブジェクトグループを管理できます。詳細については、「保護されたオブジェクトグループの管理」をご参照ください。

保護されたオブジェクトの管理

保護対象 タブで、保護されたオブジェクトを表示および管理できます。

機能		説明
設定	クライアント IP アドレスの設定	レイヤ7プロキシがWAFの前にデプロイされている場合、WAFがクライアントのIPアドレスを取得するために使用する方法を指定できます。レイヤー7プロキシには、Anti-DDoS ProxyとAlibaba Cloud CDNが含まれます。このようにして、WAFはクライアントの送信元IPアドレスを取得し、要求をIPアドレスブラックリストルールなどの保護ルールと照合し、送信元IPアドレスなどの詳細をセキュリティレポートに表示できます。管理する保護対象オブジェクトを見つけて、操作列の設定をクリックします。設定パネルで、Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前面にデプロイするかどうか、およびクライアントの実際のIPアドレスを取得パラメーターを設定します。詳細については、レイヤー7プロキシ (Anti-DDoS Pro、Anti-DDoS Premium、またはAlibaba Cloud CDNなど) がWAFの前にデプロイされるかどうかパラメーターの説明をご参照ください。説明 CNAMEレコードモードでWAFにドメイン名を追加したとき、またはWAFにCLBまたはECSインスタンスを追加したときにこのパラメーターを設定した場合、パラメーターを再度設定する必要はありません。 Function ComputeでALBインスタンス、MSEインスタンス、またはカスタムドメイン名のWAF保護を有効にしたとき、またはハイブリッドクラウドSDK統合モードでドメイン名をWAFに追加したときにこのパラメーターを設定した場合、パラメーターを再度設定する必要はありません。
	Cookie の設定	HTTPフラッド保護機能とスキャン保護機能が有効になっている場合、WAFは`acw_tc`を`acw_tc` cookieを含まないリクエストに挿入します。これは、WAFが異なるクライアントを識別して区別するのに役立ちます。 WAFは、クライアントのcookie情報、HTTPフラッド保護ルール、統計オブジェクトとブロックオブジェクトをセッションに設定したスキャン保護ルール、レート制限をオンにし、統計オブジェクトをセッションに設定したカスタムルール、および統計結果に基づいて、HTTPフラッド攻撃が開始されたかどうかを判断できます。送信ステータスをオンまたはオフにすると、トラッキングクッキー機能を有効または無効にできます。 WAFがacw_tcを使用してHTTPSリクエストのみをマークする場合は、secure 属性をオンにします。重要送信ステータスをオンにすることを推奨します。そうしないと、HTTPフラッド保護機能とスキャン保護機能が期待どおりに機能しない場合があります。デフォルトでは、保護されたオブジェクトを保護されたオブジェクトグループに追加すると、トラッキングCookie機能が有効になり、無効にできなくなり、保護されたオブジェクトのsecure 属性がオンになります。 Function ComputeのMSEインスタンスまたはカスタムドメイン名に対してsecure 属性を有効にすることはできません。リクエストが複数の保護されたオブジェクトに送信され、[Cookieの追跡] 機能が有効になっているか、保護されたオブジェクトの1つに対して secure 属性が有効になっている場合、他の保護されたオブジェクトに対して同じ機能が有効になります。
	スライダー Cookie	リクエストがスライダーCAPTCHA検証に合格した場合、WAFは`acw_sc__v3`を使用してリクエストをマークします。 WAFでacw_sc__v3を使用してHTTPSリクエストのみをマークする場合は、secure 属性を有効にします。重要 secure 属性をオンにすると、HTTPリクエストでスライダーCAPTCHA検証が期待どおりに機能しない場合があります。デフォルトでは、保護オブジェクトを保護オブジェクトグループに追加すると、secure 属性はオフになり、保護オブジェクトに対してオンにすることはできません。 Function ComputeのMSEインスタンスまたはカスタムドメイン名に対してsecure 属性を有効にすることはできません。
保護ルールの表示と設定		管理する保護対象オブジェクトを見つけて、[操作] 列の [保護ルールの表示] をクリックします。 [保護ルール] ページで、保護されたオブジェクトの保護ルールを設定します。説明保護オブジェクトを保護オブジェクトグループに追加すると、保護オブジェクトグループに設定されている保護ルールが保護オブジェクトに対して有効になります。保護オブジェクトを保護オブジェクトグループに追加しない場合、保護オブジェクトに対してデフォルトの保護ルールが有効になります。詳細については、「保護構成の概要」のデフォルトの保護テンプレートの説明をご参照ください。 [保護ルール] ページで、保護対象オブジェクトに追加の保護ルールを設定することもできます。詳細については、次をご参照ください：保護ルール
保護対象オブジェクトグループへの保護対象オブジェクトの追加		管理する保護対象オブジェクトを見つけ、[操作] 列の > [保護対象オブジェクトグループに追加] を選択します。保護対象オブジェクトグループに複数の保護対象オブジェクトを同時に追加する場合は、保護対象オブジェクトを選択し、リストの下にある [保護対象オブジェクトグループに追加] をクリックします。
保護ログの表示		保護ログを表示する保護オブジェクトを見つけ、[操作] 列の > [ログの表示] を選択します。 Log Serviceページにリダイレクトされます。このページでは、保護対象オブジェクトのログ収集機能を有効にし、保護対象オブジェクトの保護ログを表示できます。詳細については、「Simple Log Service For WAF機能の有効化または無効化」をご参照ください。
WAFからの保護対象オブジェクトの削除		管理する保護対象オブジェクトを見つけ、[操作] 列で > [削除] を選択します。説明保護されたオブジェクトとして手動で追加されたドメイン名のみを削除できます。 WAFからCLBまたはECSインスタンスを削除するには、次の手順を実行します。[Webサイト設定] ページに移動します。 WAFから削除するインスタンスまたはリダイレクションポートを見つけて、[操作] 列の [削除] をクリックします。次に、保護されたオブジェクトを削除します。
保護されたオブジェクトへのタグの追加またはタグの削除		タグを使用して、WAFコンソールで特定のリソースを検索できます。管理する保護対象オブジェクトを見つけ、[タグ] 列のアイコンの上にポインターを移動し、[編集] をクリックします。 [タグの編集] ダイアログボックスで、[タグキー] および [タグ値] パラメーターを設定します。説明 tag Keyパラメーターの下に最大20個のタグキーを追加し、Tag Valueパラメーターを空のままにすることができます。 Tag KeyまたはTag valueパラメーターに値を指定する場合は、値の長さが1 ~ 128文字で、`http://` または`https://` を含まず、先頭が`acs:` または`aliyun`でないことを確認します。保護されたオブジェクトページまたはWebサイト設定ページでタグを追加または変更できます。最新のタグ設定は、2つのページ間で同期されます。複数の保護対象オブジェクトを選択して、保護対象オブジェクトにタグを追加したり、保護対象オブジェクトからタグを削除したりすることもできます。

保護されたオブジェクトグループの管理

保護対象グループ タブで、保護オブジェクトグループを表示および管理できます。

機能		説明
保護されたオブジェクトグループの変更		変更する保護対象オブジェクトグループを見つけて、[操作] 列の [編集] をクリックします。表示されるダイアログボックスで、保護されたオブジェクトを選択待ちの対象セクションから選択した対象グループセクションに移動するか、選択した対象グループセクションから [選択するオブジェクト] セクションに移動します。説明保護オブジェクトグループから保護オブジェクトを削除すると、その保護オブジェクトに既定の保護テンプレートが適用されます。詳細については、「保護構成の概要」のデフォルトの保護テンプレートの説明をご参照ください。保護対象オブジェクトは、1つの保護対象オブジェクトグループにのみ追加できます。保護オブジェクトが保護オブジェクトグループに既に存在する場合、保護オブジェクトを別の保護オブジェクトグループに追加する前に、保護オブジェクトグループから保護オブジェクトを削除する必要があります。
保護ルールの表示と設定		管理する保護対象オブジェクトグループを見つけて、[操作] 列の [ルールの設定] をクリックします。 [保護ルール] ページで、保護対象オブジェクトグループの保護ルールを設定します。保護対象オブジェクトグループの保護ルールを設定した場合、そのルールはグループ内のすべての保護対象オブジェクトに対して有効になります。
保護されたオブジェクトグループの削除		削除する保護対象オブジェクトグループを見つけて、[操作] 列の削除をクリックします。説明保護対象オブジェクトグループを削除すると、グループ内のすべての保護対象オブジェクトのグループからの関連付けが解除され、既定の保護テンプレートが保護対象オブジェクトに適用されます。