Web Application Firewall (WAF) 3.0は、アクセスモード、保護設定ロジック、および課金ルールを改善したWAFの新しいバージョンです。 このトピックでは、WAF 2.0に対するWAF 3.0の利点について説明します。
WAF 3.0は、基盤となるアーキテクチャ、仕様、構成ロジック、およびユーザーエクスペリエンスの点でWAF 2.0とは異なります。 これが、Alibaba CloudアカウントにWAF 2.0インスタンスとWAF 3.0インスタンスを同時に持つことができない理由の1つです。 WAF 2.0インスタンスを購入した場合、WAFコンソールにログインすると、WAF 2.0インターフェイスに誘導されます。 WAF 3.0インスタンスを購入した場合、WAFコンソールにログインすると、WAF 3.0インターフェイスに誘導されます。
WAF 2.0インスタンスをWAF 3.0に自動的に移行することはできません。 WAF 2.0インスタンスをWAF 3.0に移行する場合、テクニカルサポートのためにDingTalkグループ (グループID: 34657699) に参加します。
接続モード
WAFは、CNAMEレコードとクラウドネイティブアクセスモードをサポートしています。
アクセスモード | WAF 3.0 | WAF 2.0 |
CNAMEレコードモード (図1) | サポートされています。
詳細については、「CNAMEレコードモード」をご参照ください。 | サポートされています。 |
クラウドネイティブモード (図2) | サポートされています。
詳細については、「レイヤー7 CLBインスタンスのWAFへの追加」、「レイヤー4 CLBインスタンスのWAFへの追加」、および「ECSインスタンスのWAFへの追加」をご参照ください。 | サポートされています。 |
クラウドネイティブ (図3) | サポートされています。 webサービスがApplication Load Balancer (ALB) 、Microservices Engine (MSE) を使用している場合、 またはFunction Computeの場合、このモードを使用することを推奨します。
詳細については、「ALBインスタンスのWAF保護の有効化」「MSEインスタンスのWAF保護の有効化」をご参照ください。、およびFunction Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする。 | サポートされていません。 |
保護設定
保護設定 | WAF 3.0 | WAF 2.0 |
複数の保護オブジェクトに対する保護ルールの設定 | サポートされています。 ドメイン名またはインスタンスを保護オブジェクトとしてWAF 3.0に追加できます。 保護オブジェクトを保護オブジェクトグループに追加することもできます。
| サポートされていません。 ドメイン名は、WAF 2.0の保護オブジェクトにすることができます。 保護ルールは、一度に1つの保護オブジェクトに対してのみ設定できます。 たとえば、100のドメイン名に対して同じ保護ルールを設定する場合は、設定を100回実行する必要があります。 |
透過プロキシモードでWAFに追加されたインスタンスの保護ルールを設定する | サポートされています。 クラウドネイティブモードでWAFに追加されたインスタンスは、自動的に保護オブジェクトになります。 インスタンスの保護ルールを設定および変更できます。 | サポートされていません。 透過プロキシモードでWAFに追加されたインスタンスに100ドメイン名がある場合、インスタンスの保護ルールを変更する前に、すべての100ドメイン名をWAFに追加する必要があります。 すべてのドメイン名をWAFに追加しない場合、デフォルトの保護ルールのみがドメイン名に適用されます。 デフォルトの保護ルールは変更できません。 |
保護ルールをグローバルに表示 | サポートされています。 WAF 3.0コンソールの各保護モジュールの対応するセクションで保護ルールを表示および管理できます。 各保護モジュールの保護テンプレートと、保護テンプレートに関連付けられている保護オブジェクトまたは保護オブジェクトグループを表示できます。 ルールIDで保護ルールを検索できます。 | サポートされていません。 ドメイン名に設定されている保護ルールを一元的に照会することはできません。 |
デフォルトの保護ルールの変更 | サポートされています。 デフォルトの保護テンプレートは、WAF 3.0で変更できます。 すべての既定の保護ルールで新しいドメイン名に [モニター] モードを使用する場合は、既定の保護テンプレートの保護アクションを [モニター] に設定できます。 | サポートされていません。 ドメイン名の保護ルールは、ドメイン名がWAF 2.0に追加された後にのみ設定できます。 |
WAF 2.0に対するWAF 3.0の利点
次の機能は、WAF 3.0でのみサポートされます。
カスタム応答ルール
カスタム応答ルールを使用すると、WAFがクライアントからの要求をブロックするときにWAFによってクライアントに返されるカスタムブロックページを設定できます。 ブロックページのステータスコード、レスポンスヘッダー、およびレスポンス本文を設定できます。 詳細については、「カスタムブロックページを設定するためのカスタムレスポンスルールの設定」をご参照ください。
主要なイベント保護ルール
主要なイベント保護機能は、インテリジェントな保護ポリシーを提供します。 複雑なルールを設定することなく、強力なセキュリティ保護機能を実現できます。 詳細については、「メジャーイベント保護」をご参照ください。
資産センター
アセットセンター機能を使用して、Alibaba Cloud内外のドメイン名をソートし、クラウド内のドメイン名の攻撃ステータスに基づいてリスクを評価できます。 詳細については、「アセットセンター」をご参照ください。
セキュリティレポート
セキュリティレポートを使用して、セキュリティ分析用の各保護モジュールの保護の詳細を表示できます。 詳細については、「セキュリティレポート」をご参照ください。
ホワイトリストモジュール
ホワイトリストルールを一元管理できます。 詳細については、「特定のリクエストを許可するホワイトリストルールの設定」をご参照ください。
概要
次のセクションでは、WAF 3.0のサブスクリプションおよび従量課金方法の改善について説明します。
サブスクリプション
WAF 3.0は、アプリケーションのサービストラフィックが大きくないユーザーに適したBasic Editionを提供します。
請求可能なアイテムの請求ルールは簡略化されています。
トラフィックは、1秒あたりのクエリ数 (QPS) でのみ測定されます。 ビット /秒 (bps) はもはや使用されない。 また、バースト可能な QPS (従量課金) 機能がサポートされています。 この機能により、WAF 3.0インスタンスがサンドボックスに追加されなくなります。
WAF 3.0では、ドメイン名の数は、第2レベルのドメイン名、サブドメイン名、およびワイルドカードドメイン名の合計数です。 追加のドメイン名は、異なる階層のドメイン名の部分に割引が適用される階層化された価格設定スケジュールに従います。
ハイブリッドクラウド保護は、より多くのエディションでサポートされています。
従量課金
従量課金WAF 3.0は、セキュリティ容量単位 (SeCU) を請求単位として使用します。 これにより、計算プロセスと課金ルールが簡素化されます。 リソースプランは、SeCUに対して提供される。 プランのサイズに基づいて、より多くの節約を得ることができます。
従量課金WAF 3.0インスタンスの請求書は1時間ごとに生成されます。 機能の設定が削除されるか、機能が無効になると、機能の課金は自動的に停止されます。
WAF 3.0は、従量課金の課金方法をサポートしています。
関連ドキュメント
Webサイト設定の概要: WAF 3.0でサポートされているアクセスモードとアクセス手順について説明します。
保護設定の概要: WAF 3.0でサポートされている設定と保護設定手順について説明します。
サブスクリプション課金の概要: WAF 3.0のサブスクリプション課金方法について説明します。
従量課金の概要: WAF 3.0の従量課金方法について説明します。