すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:WAFとは何ですか?

最終更新日:Jul 30, 2024

Webアプリケーションファイアウォール (WAF) は、Webサイトとアプリケーションのエンドツーエンドのセキュリティ保護を提供します。 WAFは、悪意のあるwebトラフィックを識別し、スクラブして除外し、通常のトラフィックをオリジンサーバーに転送します。 これにより、オリジンサーバーが攻撃から保護され、データとサービスのセキュリティが確保されます。

特徴

カテゴリ

説明

サービス設定

WAFは、HTTPおよびHTTPSトラフィックを監視およびフィルタリングすることでWebサイトを保護します。

Web アプリケーション保護

一般的なwebアプリケーション攻撃に対する保護

  • 次の一般的なOpen web Application Security Project (OWASP) 攻撃からのWebアプリケーションの保護: SQLインジェクション攻撃、クロスサイトスクリプティング (XSS) 攻撃、webshellアップロード、バックドア攻撃、コマンドインジェクション攻撃、違法なHTTPリクエスト、一般的なwebサーバーの脆弱性、クロスサイト要求偽造 (CSRF) 攻撃、コアファイルへの不正アクセス、パス転送、およびwebサイトスキャン。

  • 配信元IPアドレスの非表示: WAFは配信元IPアドレスを非表示にします。 これにより、攻撃者がWAFをバイパスしてオリジンサーバーを攻撃できなくなります。

  • ゼロデイ脆弱性の定期的かつ迅速なパッチ適用: WAFは、Webサイトを保護するための最も早い機会にパッチを提供します。

  • ユーザーフレンドリーな監視モード: このモードを有効にすると、新しいWebサイトサービスを監視できます。 WAFは、指定された保護ルールに一致する不審なトラフィックが検出されるとアラートを送信します。 誤検知の可能性があるため、WAFはトラフィックをブロックしません。

高精度な保護

  • WAFはHTTPデータを一般的な形式で解析できます。 HTTPデータには、ヘッダー、フォーム、マルチパート、JSON、およびXMLデータが含まれます。

  • WAFは、URLエンコード、JavaScript Unicodeエンコード、HEXエンコード、HTMLエンティティエンコード、Javaシリアル化エンコード、PHPシリアル化エンコード、Base64エンコード、UTF-7エンコード、UTF-8エンコード、およびネストエンコードを使用してエンコードされたデータをデコードできます。

  • WAFは、データを前処理して、上位層の検出エンジンに、よりきめ細かく正確なデータソースを提供できます。 前処理メカニズムは、スペース圧縮、コメントプルーニング、および特殊文字処理を含む。

  • WAFは複雑な形式のデータを検出できます。 WAFは複雑な検出ロジックをサポートし、過剰な検出操作による誤検出を防ぎます。 これは、偽陽性率を低減するのに役立つ。 WAFは、バイパスを防ぐために異なる形式でエンコードされたデータのアダプティブデコードもサポートしています。

HTTP フラッド攻撃に対する保護

  • WAFは、CAPTCHA検証や認証のリダイレクトなど、さまざまな方法を使用して、特定のIPアドレスからのリクエストの頻度を制限します。

  • 多数のスローHTTP攻撃から保護するために、WAFは、ステータスコードの分布、要求されたURLの分布、異常なHTTPリファラーヘッダーの識別、User-Agent特性などの統計データに基づいて正確な保護ルールを実行します。

  • WAFは、Alibaba Cloudビッグデータセキュリティソリューションを最大限に活用して、脅威インテリジェンスと信頼できるアクセスの分析モデルを構築します。 モデルは、悪意のある要求を識別するために使用できる。

きめ細かいアクセス制御

  • WAFコンソールでは、IP、URL、Referer、User-Agentフィールドなど、さまざまなHTTPフィールドを組み合わせて使用して、保護ルールを設定し、詳細なアクセス制御を実装できます。 カスタム保護ルールを設定して、ホットリンク保護やWebサイトのバックエンド保護など、さまざまなシナリオで保護を提供することもできます。

  • このモジュールは、webセキュリティやHTTPフラッド保護などの他のセキュリティモジュールと一緒に使用して、多層保護アーキテクチャを構築できます。 これにより、WAFは信頼できるトラフィックと悪意のあるトラフィックをきめ細かく区別できます。

仮想パッチ

webアプリケーションの脆弱性のパッチをリリースまたはインストールする前に、web保護ルールを調整して、新しい脆弱性からサービスを保護できます。

攻撃イベント管理

WAFを使用すると、攻撃イベント、攻撃トラフィック、攻撃スケールなどの統計データに基づいて攻撃イベントを管理できます。

柔軟性と信頼性

  • 負荷分散: WAFはクラスターモードでサービスを提供できます。 WAFは複数のサーバーを使用して負荷を分散し、異なるスケジューリングアルゴリズムをサポートします。

  • スムーズで柔軟なスケーリング: サーバーをクラスターに追加したり、クラスターからサーバーを削除したりして、ビジネス要件に基づいてWAFサービス機能を調整できます。

  • 単一障害点 (SPOF) の排除: WAFノードに障害が発生した場合、または修復中の場合、WAFは引き続きサービスを提供できます。

詳細については、Web Application Firewallの製品ページをご覧ください。

メリット

メリット

説明

10年以上のwebセキュリティ経験

  • WAFは、Alibabaグループ内で10年以上のwebセキュリティ経験に基づいて開発され、Tmall、Taobao、Alipay、およびその他の有名なアプリケーションが享受しているのと同じセキュリティ保護を提供します。

  • プロのセキュリティチームがセキュリティサービスを提供します。

  • WAFは、既知のOWASP脆弱性に対して防御し、既知の脆弱性を常に修正します。

HTTPフラッドおよびクローラー攻撃に対する保護

  • WAFはHTTPフラッド攻撃を軽減します。

  • WAFは、ネットワークリソースの過剰な消費を防ぐためにwebクローラーに対して防御します。

  • WAFは、可用性に影響を与えたり、応答遅延を侵害したり、過剰な帯域幅、データベース、SMS、またはAPIリソースを消費したりする可能性のある悪意のあるリクエストを検出およびブロックします。

  • WAFを使用すると、さまざまなビジネスシナリオに合わせてカスタム保護ルールを設定できます。

ビッグデータ機能との統合

  • WAFは、毎日何億もの攻撃から防御できます。

  • WAFは、多数のIPアドレスを含むIPアドレスライブラリを提供します。

  • WAFは、さまざまな実際のケースを分析して、さまざまな一般的なネットワーク攻撃のパターン、方法、およびシグネチャを取得します。

  • WAFは、ビッグデータ分析のための高度なテクノロジーと継続的に統合されます。

使いやすさと信頼性

  • 5分以内にWAFをアクティブ化および設定できます。

  • ソフトウェアやハードウェアをインストールしたり、ルーティング設定を調整したりする必要はありません。

  • 保護クラスターは、SPOFと冗長性を防ぐために使用されます。

  • WAFは高いトラフィック処理パフォーマンスを提供します。

シナリオ

WAFは、Alibaba Cloud内外のすべてのユーザーに適しています。 WAFは、金融、eコマース、オンラインからオフライン (O2O) 、インターネットプラス、ゲーム、公共サービス、保険などの業界でwebアプリケーションを保護するのに役立ちます。

説明

WAFを使用してサービスを保護する場合は、サービスのドメイン名をWAFに追加する必要があります。 WAFにIPアドレスを追加することはできません。

使用状況

WAFインスタンスを購入した後、CNAMEレコードモードまたは透過プロキシモードでWebサイトのドメイン名をWAFに追加できます。

  • CNAMEレコードモード

    オリジンサーバーがクラウドにデプロイされているかオンプレミスにデプロイされているかに関係なく、CNAMEレコードモードでWebサイトをWAFに追加できます。

    CNAMEレコードモードでは、保護するWebサイトのドメイン名をWAFに追加し、DNS ドメイン名のレコード。 これにより、Webサイト宛てのトラフィックがWAFに転送され、WAFによって保護されます。 詳細については、「WAFへのドメイン名の追加」をご参照ください。

  • 透明プロキシモード

    オリジンサーバーがElastic Compute Service (ECS) インスタンスまたはインターネットに接続されたserver Load Balancer (SLB) インスタンスのバックエンドサーバーの場合、CNAMEレコードモードまたは透過プロキシモードでWebサイトを追加できます。 透過プロキシモードはcloud-nativeに基づいています テクノロジー。

    透過プロキシモードでは、保護するWebサイトのドメイン名のみをWAFに追加する必要があります。 DNSを変更する必要はありません ドメイン名のレコード。 これにより、Webサイト宛てのトラフィックがWAFに転送され、WAFによって保護されます。 詳細については、「透過プロキシモード」をご参照ください。

コンプライアンス認証

WAFは、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、クラウドセキュリティアライアンス (CSA) STAR認定、中国におけるサイバーセキュリティマルチレベル保護スキーム (MLPS 2.0) レベルIII、サービス組織制御 (SOC) 1、SOC 2、SOC 3、クラウドコンピューティングコンプライアンスコントロールカタログ (C5) 、香港品質保証機関 (HKQAA) によって開発されたグリーンファイナンス認証スキーム、アウトソーシングされたサービスプロバイダーの監査レポート (OSPAR) 、およびペイメントカード業界データセキュリティ標準 (PCI DSS) 。