WAF 2.0とWAF 3.0の関係と違い、WAFを始めましょう - Web Application Firewall

このトピックでは、Web Application Firewall (WAF) の2.0とWAF 3.0の関係と違い、およびWAFの使用を開始する方法について説明します。

WAFとは何ですか?

WAFは、Webサイトやアプリケーションへの悪意のあるトラフィックを識別して除外し、安全で通常のトラフィックを配信元サーバーに転送します。これにより、オリジンサーバーを侵入から保護し、コアデータのセキュリティを確保し、攻撃によって引き起こされるサーバー例外を防ぐことができます。

WAF 2.0とWAFの関係3.0

WAF 3.0はWAFの新しいバージョンです。 WAF 2.0と比較して、WAF 3.0は、異なる基盤となるアーキテクチャ、仕様、構成ロジック、およびユーザーエクスペリエンスを提供します。ただし、Alibaba CloudアカウントにWAF 2.0インスタンスとWAF 3.0インスタンスを同時に設定することはできません。 WAF 2.0インスタンスを購入した場合、WAFコンソールにログインすると、WAF 2.0インターフェイスに誘導されます。 WAF 3.0インスタンスを購入した場合、WAFコンソールにログインすると、WAF 3.0インターフェイスに誘導されます。

WAF 2.0インスタンスを購入した場合でも、WAF 2.0インスタンスを使用、更新、およびアップグレードできます。 WAF 2.0は、引き続きサービスレベル契約 (SLA) 保証を提供します。
WAF 2.0インスタンスを購入し、WAF 3.0を使用する場合は、Alibaba Cloudのセルフサービスアップグレードツールを使用して、WAF 2.0インスタンスをWAF 3.0にアップグレードできます。詳細については、「WAF 2.0インスタンスのWAF 3.0へのアップグレード」をご参照ください。

WAF 2.0とWAFの違い3.0

アクセスモード

WAF 2.0は、CNAMEレコードモードと透過プロキシモードをサポートしています。 WAF 3.0は、Application Load Balancer (ALB) などのクラウドサービスと統合されています。クラウドサービスインスタンスをWAFに追加することで、webサービスを保護できます。 DNSレコードを変更したり、複雑なアクセスおよび転送設定を構成したりすることなく、ALBコンソールなどのクラウドサービスコンソールで、インターネットおよび内部接続インスタンスのWAF保護を有効にできます。これにより、ビジネスのパフォーマンスと安定性が向上します。

アクセスモード	働くメカニズム	WAF 3.0	WAF 2.0
CNAMEレコードモード	このモードを使用するには、DNSプロバイダーでDNSレコードを更新して、ドメイン名をWAFが提供するCNAMEにマップする必要があります。これにより、ドメイン名宛てのトラフィックがWAFにリダイレクトされます。 WAFは悪意のあるリクエストをブロックし、通常のリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。	対応	対応
クラウドネイティブモード (旧透過プロキシモード)	このモードを使用するには、トラフィックのリダイレクトポートをWAFに追加する必要があります。これにより、インスタンスのゲートウェイは、webサービストラフィックをWAFにリダイレクトするルートを自動的に学習します。次に、WAFは悪意のあるリクエストを除外し、通常のリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。	対応説明クラウドネイティブモードでClassic Load Balancer (CLB) またはElastic Compute Service (ECS) インスタンスをWAF 3.0に追加する方法は、透過プロキシモードでCLBまたはECSインスタンスをWAF 2.0に追加する方法と同じです。	対応
クラウドネイティブモード (新しいクラウドネイティブアーキテクチャ)	WAFはSDKモジュールとしてクラウドサービスのゲートウェイに統合され、トラフィックを検出して保護します。互換性と安定性の問題を防ぐため、WAFはトラフィックを転送しません。	対応	非対応

保護設定

機能	WAF 3.0	WAF 2.0
保護ルールが有効になるオブジェクト	保護ルールは、保護オブジェクトまたは保護オブジェクトグループに対して有効になります。保護されたオブジェクトは、WAF 3.0に追加されたドメイン名またはクラウドサービスインスタンスです。複数の保護オブジェクトを保護オブジェクトグループに追加できます。保護対象オブジェクトグループの保護ルールを設定した場合、保護対象オブジェクトグループ内のすべての保護対象オブジェクトに対して保護ルールが有効になります。	保護ルールは、毎回1つのドメイン名に対してのみ設定できます。透過プロキシモードでインスタンスをWAFに追加する場合、ドメイン名の保護ルールを設定する前に、インスタンスでホストされているすべてのドメイン名をWAFに個別に追加します。ドメイン名をWAFに個別に追加しない場合、デフォルトの保護ルールのみをドメイン名に適用できます。デフォルトの保護ルールは変更できません。
実装	保護テンプレートを作成し、保護テンプレートの保護ルールを設定して、異なる保護オブジェクトに異なる保護ルールを適用できます。	特定のドメイン名に対して保護ルールを設定できます。
表示方法	保護対象オブジェクトまたは保護対象オブジェクトグループに対して構成されている保護ルールを表示できます。保護モジュールの保護ルールを表示できます。ルールIDで保護ルールを検索できます。	ドメイン名に設定されている保護ルールを表示できます。
デフォルトの保護ルールの管理	デフォルトでは、新しい保護オブジェクトに対して基本保護ルールが有効になっています。基本的な保護ルールで保護アクションを変更できます。	デフォルトでは、保護ルールエンジンは、WAFに新しく追加されたドメイン名に対して有効になっています。保護ルールエンジンで保護アクションを変更することはできません。ドメイン名の保護ルールを設定した後にのみ、保護アクションを指定できます。
仕様	各エディションでサポートされている保護オブジェクトの数については、「エディション」をご参照ください。サポートされている保護モジュールと各モジュールでサポートされている保護ルールの数については、「エディション」をご参照ください。	各エディションで保護できるドメイン名の数については、「保護できる第2レベルドメインのデフォルト数」および「保護できるドメイン名の合計のデフォルト数」をご参照ください。サポートされている保護モジュールと各モジュールでサポートされている保護ルールの数については、「概要」をご参照ください。

課金方法

サブスクリプション

比較項目		WAF 3.0	WAF 2.0
エディション		Basic Edition、Pro Edition、Enterprise Edition、およびUltimate Editionがサポートされています。 Basic Editionは、トラフィックが少ないお客様に適しています。	Pro Edition、Business Edition、およびEnterprise Editionがサポートされています。
課金項目	トラフィック仕様	トラフィックは、1秒あたりのクエリ数 (QPS) でのみ測定されます。	トラフィックはQPSと帯域幅で測定されます。
	ドメイン名の仕様	WAFに追加される第2レベルドメイン名とサブドメインの総数には制限があります。	第2レベルドメイン名の数とサブドメインの数に制限があります。
	ハイブリッドクラウド	WAF 3.0インスタンスがEnterprise EditionまたはUltimate Editionインスタンスの場合、ハイブリッドクラウドモードでwebサービスをWAFに追加できます。	Hybrid Cloud WAF Exclusive Editionは別途有効化する必要があります。

従量課金

比較項目	WAF 3.0	WAF 2.0
サポートされるリージョン	中国本土および中国本土外の地域	中国本土のすべてのリージョン
課金ユニット	WAFは、セキュリティ容量単位 (SeCU) を請求単位として使用します。あなたは請求されます 1 SeCUのUSD 0.01。	N/A
課金ルール	従量課金WAF 3.0インスタンスの料金は1時間ごとに発生します。機能の使用に対して課金されます。機能を有効にする必要なしに機能を使用できます。設定を削除または機能を無効にすると、設定または機能の課金は自動的に停止されます。	フィーチャーを使用する前に、フィーチャーを有効にする必要があります。機能を無効にすると、その機能の課金は自動的に停止されます。

WAFを使い始める

操作		WAF 3.0	WAF 2.0
WAFについて学ぶ		WAF 3.0とは何ですか? WAF 3.0エディション課金の概要アクセスモード保護設定の概要	WAF 2.0とは何ですか? WAF 2.0エディション課金の概要アクセスモード保護設定の概要
WAFインスタンスの購入		サブスクリプション WAF 3.0 インスタンスの購入従量課金 WAF 3.0 インスタンスの購入	WAF 2.0インスタンスは購入できなくなりました。
ドメイン名またはインスタンスをWAFに追加する		クラウドネイティブモード ALBインスタンスのWAF保護の有効化 Microservices Engine (MSE) インスタンスのWAF保護の有効化 Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にするレイヤ7 CLBインスタンスのWAFへの追加レイヤ4 CLBインスタンスのWAFへの追加 WAFへのECSインスタンスの追加 CNAMEレコードモード WAFへのドメイン名の追加 DNSレコードの変更	透明プロキシモード CNAMEレコードモード WAFへのドメイン名の追加 DNSレコードの変更
WAF の使用	ドメイン名の表示	資産センター	資産の発見
	保護のためにWAFを使用する	保護オブジェクトと保護オブジェクトグループの設定保護ルールの設定基本的な保護ルールホワイトリストルール IPアドレスブラックリストルールカスタムルールスキャン保護ルールカスタム応答ルール HTTPフラッド保護ルール地域ブラックリストルール Webサイトの改ざん防止ルールデータ漏洩防止ルール主要なイベント保護ボット管理	保護ルールエンジンホワイトリスト Webサイトのホワイトリスト Web侵入防止ホワイトリストデータセキュリティホワイトリストボット管理ホワイトリストアクセス制御またはスロットリングホワイトリスト IPアドレスブラックリストカスタム保護ポリシースキャン保護 HTTPフラッド保護ウェブサイトの改ざん防止データ漏えい防止正のセキュリティモデルアカウントのセキュリティボット管理
	モニタリングとアラートの設定	CloudMonitor通知の設定 Simple Log Serviceを使用したWAFのモニタリングとアラートの設定	CloudMonitor通知の設定 Simple Log Serviceを使用したWAFのモニタリングとアラートの設定
	保護データの表示	セキュリティレポートクエリログ	セキュリティレポートクエリログ
API 操作		WAF 3.0 API操作	WAF 2.0 API操作