CNAMEレコードモードでWebサイトをWebアプリケーションファイアウォール (WAF) に追加するには、Webサイトのドメイン名をWAFに追加します。 このトピックでは、WAFにドメイン名を追加する方法について説明します。
前提条件
WAFインスタンスが購入され、WAFインスタンスに追加されたドメイン名の数が上限未満です。
説明WAFインスタンスに追加できるドメイン名の最大数は、インスタンスの仕様と購入する追加ドメイン名の数によって異なります。 詳細については、「追加ドメインパッケージ」をご参照ください。
中国本土のWAFインスタンスを使用してドメイン名を保護している場合、そのドメイン名に対するインターネットコンテンツプロバイダ (ICP) の申請は完了です。
重要ICP登録情報が有効であることを確認してください。 関連する法規制を遵守するため、WAFはICP登録情報が無効なドメイン名を定期的に削除します。
WAFにドメイン名を追加する
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、.
On theドメイン名タブをクリックします。Webサイトへのアクセス.
説明[ドメイン名の追加] ページで、[アクセスモード] パラメーターはデフォルトで [CNAMEレコード] に設定されています。
パラメーターを設定し、次へ. 下表に、各パラメーターを説明します。
パラメーター
説明
ドメイン名
Webサイトのドメイン名を入力します。 s www.aliyundoc.comなどの完全一致ドメイン名または * .aliyundoc.comなどのワイルドカードドメイン名を入力できます。 ドメイン名は1つだけ入力できます。
初めてドメイン名をWAFに追加するときは、ドメイン名の所有権を確認する必要があります。 ドメイン名の所有権を証明したら、ドメイン名をWAFに追加できます。 詳細については、「ドメイン名の所有権の確認」をご参照ください。
説明ワイルドカードドメイン名を使用して、ワイルドカードドメイン名と同じレベルのすべてのサブドメインをカバーできます。 ワイルドカードドメイン名を使用して、ワイルドカードドメイン名のレベルとは異なるレベルのサブドメインをカバーすることはできません。 たとえば、
* .aliyundoc.comを使用してwww.aliyundoc.comとexample.aliyundoc.comをカバーできます。* .aliyundoc.comを使用してwww.example.aliyundoc.comをカバーすることはできません。第2レベルのワイルドカードドメイン名を使用して、ワイルドカードドメイン名の第2レベルの親ドメイン名をカバーできます。 たとえば、
* .aliyundoc.comを使用してaliyundoc.comをカバーできます。第3レベルのワイルドカードドメイン名を使用して、ワイルドカードドメイン名の第3レベルの親ドメイン名をカバーすることはできません。 たとえば、
* .example.aliyundoc.comを使用してexample.aliyundoc.comをカバーすることはできません。完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加する場合、完全一致ドメイン名の保護ルールが優先されます。
保護リソース
使用する保護リソースのタイプを選択します。 有効な値:
共有クラスター: これはデフォルト値です。
Exclusive Cluster: このオプションは、ExclusiveエディションのWAFインスタンスを使用している場合にのみ使用できます。 専用クラスターを使用して、サービス固有の保護を提供できます。 詳細については、「WAF専用クラスターのベストプラクティス」をご参照ください。
Hybrid Cloud Cluster: Hybrid Cloud WAFを使用している場合は、このオプションを選択します。 詳細については、「Hybrid Cloud WAFへのWebサイトの追加」をご参照ください。
プロトコルタイプ
Webサイトのプロトコルを選択します。 有効な値:
HTTP
HTTPS
重要WebサイトがHTTPSをサポートしている場合は、[HTTPS] を選択します。 HTTPSを選択した場合、ドメイン名をWAFに追加した後、必要な証明書と秘密鍵ファイルをアップロードします。 詳細については、このトピックの「HTTPS証明書のアップロード」セクションをご参照ください。
HTTPSを選択した場合、次の機能を有効にできます。
HTTP2: このオプションは、HTTPSを選択した後にのみ選択できます。
ドメイン名がHTTP/2をサポートしている場合は、HTTP2を選択します。 HTTP/2ポートとHTTPSポートは同じです。 HTTP2を選択した後、HTTPSポートのみを指定する必要があります。 詳細については、「」をご参照ください。HTTP/2サービスがWAFに追加された場合、オリジンサーバーは影響を受けますか。
説明WAFインスタンスがBusiness、Enterprise、またはExclusiveエディションの場合にのみ、HTTP2を選択できます。
宛先サーバー (IPアドレス)
オリジンサーバーのアドレスを入力します。 有効な値: IPおよびドメイン名 (CNAMEなど) 。 WAFは悪意のあるリクエストを除外し、通常のリクエストをこのアドレスに転送します。 オリジンサーバーのアドレスを入力するには、次の項目に注意してください。
IP: オリジンサーバーのパブリックIPアドレスを入力します。 IPアドレスはインターネット経由でアクセスできる必要があります。
IPアドレスを入力するたびにEnterキーを押します。 最大20個のIPアドレスを入力できます。
説明複数のIPアドレスを入力すると、WAFは自動的にIPアドレスのヘルスチェックと負荷分散を実行します。
WAFインスタンスが中国本土外にある場合、IPv4アドレスのみを入力できます。 WAFインスタンスが中国本土にある場合、IPv4アドレスまたはIPv6アドレス、またはその両方を入力できます。
IPv4アドレスとIPv6アドレスの指定
[同じプロトコルを使用] を選択した場合、WAFはIPv4アドレスからのリクエストをIPv4経由でオリジンサーバーに転送し、IPv6アドレスからのリクエストをIPv6経由でオリジンサーバーに転送します。 [同じプロトコルを使用] を選択しない場合、WAFはIPv4またはIPv6経由でオリジンサーバーにリクエストをランダムに転送します。
重要WAFがIPv6経由でリクエストを転送する場合は、[Webサイトアクセス] ページでドメイン名のIPV6がオンになっていることを確認します。 詳細については、「IPv6トラフィック保護の有効化」をご参照ください。
IPv4アドレスのみを指定する
WAFは、IPv4経由ですべてのリクエストを配信元サーバーに転送します。
IPv6アドレスのみを指定する
WAFは、IPv6経由ですべてのリクエストを配信元サーバーに転送します。
ドメイン名 (CNAMEなど): オリジンサーバーのドメイン名を入力します。 たとえば、Object Storage Service (OSS) バケットのCNAMEを入力します。
ドメイン名はIPv4アドレスに解決できます。 この場合、WAFはback-to-originリクエストをIPv4アドレスに転送します。
重要オリジンサーバーのドメイン名は、保護するドメイン名とは異なる必要があります。
OSSバケットのドメイン名を入力する場合は、保護するドメイン名をOSSコンソールのバケットにマッピングします。 詳細については、「カスタムドメイン名のマップ」をご参照ください。
宛先サーバーポート
リクエストの転送に使用するポートを指定します。
WAFは、指定したポートのみを使用してリクエストを受信および転送します。 これにより、指定されていないポートを有効にするかどうかに関係なく、オリジンサーバーがセキュリティの脅威から保護されます。
重要[プロトコルタイプ] および [宛先サーバーポート] パラメーターは、webサービスを提供するためにオリジンサーバーが使用するプロトコルとポートに設定する必要があります。 WAFはポート変換をサポートしていません。 たとえば、オリジンサーバーがHTTPとポート80を使用してwebサービスを提供する場合、Protocol TypeパラメーターをHTTPに設定し、Destination server portパラメーターを80に設定します。
デフォルトポート:
80: デフォルトでは、このポートはHTTPを選択したときに使用されます。
443: デフォルトでは、このポートはHTTPSを選択したときに使用されます。 HTTP2はHTTPSと同じポートを使用します。
カスタムポート: [HTTPポート] および [HTTPSポート] フィールドにポート番号を入力します。 ポート番号を入力するたびにEnterキーを押します。 許容可能なポート範囲の確認 をクリックして、サポートされているすべてのポートを照会します。
説明EnterpriseまたはExclusiveエディションのWAFインスタンスは、ポート80、8080、443、8443を含む最大50個のポートをサポートします。 ProまたはBusinessエディションのWAFインスタンスは、ポート80、8080、443、8443を含む最大10個のポートをサポートします。
共有クラスターでサポートされているポートの詳細については、「WAFでサポートされているポートの表示」をご参照ください。
ExclusiveエディションのWAFインスタンスを使用する場合、専用の設定項目 ページの [宛先サーバーポート] セクションからのみポートを選択できます。 詳細は、「専用クラスターの設定」をご参照ください。
負荷分散アルゴリズム
オリジンサーバーの複数のアドレスを入力する場合は、このパラメーターを設定します。 有効な値:
IPハッシュ: IPアドレスからのリクエストは、同じ配信元サーバーに転送されます。 デフォルト値です。
説明IPハッシュを選択したが、配信元サーバーのIPアドレスが異なるネットワークセグメントに分散していない場合、ワークロードが不均衡になる可能性があります。
ラウンドロビン: すべてのリクエストはオリジンサーバーに順番に配信されます。
最小時間: WAFは、インテリジェントDNS解決機能とアップグレードされた最小時間back-to-originアルゴリズムを使用して、リクエストがオリジンサーバーに転送される際の待ち時間を短縮します。
説明インテリジェントなロードバランシングが有効になっている場合にのみ、[最小時間] を選択できます。 詳細については、「インテリジェント負荷分散」をご参照ください。
設定が有効になった後、WAFはオリジンサーバーの複数のアドレスにback-to-originリクエストを配信します。
WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか。
レイヤ7プロキシをWAFの前にデプロイするかどうかを指定します。 レイヤー7プロキシには、Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNが含まれます。 有効な値:
No: レイヤ7プロキシはWAFの前にデプロイされません。 WAFはクライアントからリクエストを受信します。 WAFは、クライアントがWAFとの接続を確立するために使用するIPアドレスをクライアントのIPアドレスとして使用します。 WAFは、
REMOTE_ADDRフィールドからIPアドレスを取得します。はい: レイヤ7プロキシがWAFの前にデプロイされています。 WAFはレイヤー7プロキシからリクエストを受信します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できることを確認するには、[送信元IPアドレスの取得] パラメーターを設定します。
デフォルトでは、WAFは
X-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。X-Client-IPやX-Real-IPなど、実際のIPアドレスをカスタムヘッダーフィールドに含める必要があるプロキシを使用する場合は、[推奨] 指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用してX-Forwarded-For Forgeryを防止するを選択し、ヘッダーフィールドにカスタムヘッダーフィールドを入力します。
説明カスタムヘッダーフィールドを使用してクライアントのIPアドレスを格納し、WAFでカスタムヘッダーフィールドを設定することを推奨します。 これにより、攻撃者がX-Forwarded-Forフィールドを偽造してWAF保護を回避できなくなり、ビジネスのセキュリティが向上します。
複数のヘッダーフィールドを入力できます。 複数のヘッダーフィールドはコンマ (,) で区切ります。 複数のヘッダーフィールドを入力した場合、WAFはクライアントのIPアドレスが取得されるまでヘッダーフィールドを順番にスキャンします。 WAFがヘッダーフィールドからクライアントのIPアドレスを取得できない場合、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。
トラフィックマークの有効化
トラフィックマーキング機能を有効にするかどうかを指定します。
この機能は、カスタムヘッダーフィールドをWAF back-to-originリクエストに追加します。 カスタムヘッダーフィールドを設定または変更して、WAFによって転送されたリクエストにタグを付けたり、クライアントの実際のIPアドレスまたはポートを記録したりできます。
[トラフィックマーキングの有効化] を選択した場合、カスタムヘッダーフィールドを追加します。
重要次のタイプのヘッダーフィールドを追加できます。
[+ マークの追加] をクリックしてヘッダーフィールドを追加します。 最大5つのヘッダーフィールドを追加できます。
Back-to-originタイムアウトの設定
back-to-originリクエストのタイムアウト期間を指定します。
接続タイムアウト期間: WAFが配信元サーバーへの接続を試行する間、WAFが待機する最大時間。 有効な値: 1 ~ 3600 単位は秒です。 既定値:5
接続タイムアウト期間: クライアントが配信元サーバーからの応答を待機する最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120
接続タイムアウト期間: WAFがリクエストを配信元サーバーに転送する間、WAFが待機する最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120
説明タイムアウト期間の設定は、Pro、Business、Enterprise、またはExclusiveエディションのオンクラウドWAFインスタンスを使用する場合にのみ設定できます。 Hybrid Cloud WAFインスタンスのタイムアウト期間の設定はできません。
リソースグループ
ドロップダウンリストから、ドメイン名を追加するリソースグループを選択します。
説明リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。
で指定したドメイン名と一致するワイルドカードドメイン名がステップ 4に表示されるレコードタイプ、ドメイン名、およびレコード値に基づいてTXTレコードを構成します。ヒントダイアログボックス。
たとえば、Alibaba Cloud DNSを使用している場合、Alibaba Cloud DNSコンソールにログインし、[ヒント] ダイアログボックスに表示される情報に基づいてTXTレコードを設定できます。 詳細については、「DNSレコードの追加」をご参照ください。
DNSレコードを変更します。
画面上の指示に従ってDNSレコードを変更し、ドメイン名をWAFにマップします。 [次へ] をクリックします。 詳細については、「DNSレコードの変更」をご参照ください。
設定を完了します。
画面上の指示に従って、WAFのback-to-origin CIDRブロックを設定し、[Complete] をクリックし追加が完了しました。Web サイトリストへ戻ります。に戻ります。 [Webサイトアクセス] ページが表示されます。 詳細については、「WAFのback-to-origin CIDRブロックからのリクエストの許可」をご参照ください。
HTTPS証明書のアップロード
ドメイン名を追加するときに、ステップ4で [プロトコルタイプ] パラメーターに [HTTPS] を選択した場合、WAFコンソールでドメイン名に関連付けられた有効なHTTPS証明書をアップロードします。 そうしないと、WAFはHTTPSリクエストを保護できません。
HTTPS証明書をアップロードするには、次のいずれかの方法を使用できます。
証明書をアップロードします。
証明書をアップロードする前に、次のファイルを準備し、証明書チェーンが有効であることを確認する必要があります。
CRTまたはPEM形式の証明書ファイル
key形式の秘密鍵ファイル
既存の証明書の選択: certificate Management Serviceコンソールで、ドメイン名に関連付けられている証明書を選択できます。 詳細については、「証明書管理サービスの概要」をご参照ください。
証明書を購入
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、.
[ドメイン名] タブで、管理するドメイン名を見つけ、[オリジンサーバー] 列の
アイコンをクリックします。 説明アイコンは、
[オリジンサーバー] 列に表示されます。 では、証明書のアップロードまたは証明書の更新ダイアログボックスで、アップロード方式HTTPS証明書をアップロードします。
説明証明書をアップロードすると、証明書の更新 ダイアログボックスが表示されます。 証明書の更新 ダイアログボックスと 証明書のアップロード ダイアログボックスの設定項目は同じです。
手動でアップロード: [証明書名] パラメーターを設定し、証明書ファイルの内容をコピーして [証明書ファイル] フィールドに貼り付け、秘密鍵ファイルの内容をコピーして [秘密鍵ファイル] フィールドに貼り付けます。
証明書ファイルの詳細については、次の説明をご参照ください。
証明書ファイルがPEM、CER、またはCRT形式の場合は、テキストエディターを使用して証明書ファイルを開き、テキストコンテンツをコピーできます。
証明書ファイルがPFXやP7Bなどの異なる形式の場合は、証明書ファイル形式をPEMに変換します。次に、テキストエディタを使用して証明書ファイルを開き、テキストコンテンツをコピーできます。 ファイル形式を変換する方法については、HTTPS証明書をPEM形式に変換する方法を教えてください。
証明書チェーンが有効であることを確認してください。 ドメイン名が複数の証明書ファイルに関連付けられている場合は、証明書ファイルのテキストコンテンツを結合し、結合したコンテンツをコピーして [証明書ファイル] フィールドに貼り付けます。
既存証明書の選択: [証明書] ドロップダウンリストから証明書を選択します。
[証明書] ドロップダウンリストには、Certificate Management Serviceコンソールで発行された証明書が含まれています。 ドメイン名に関連付けられている証明書を選択します。 [クラウドセキュリティ-証明書サービス] をクリックして、Certificate Management Serviceコンソールに移動し、証明書を管理します。
証明書の購入: [今すぐ購入] をクリックして、証明書管理サービスコンソールの証明書の購入ページに移動します。 次に、ドメイン名の証明書を購入します。
証明書を購入して設定すると、証明書は自動的にWAFにアップロードされます。
説明購入証明書ページでは、ドメイン検証済み (DV) 証明書のみを購入できます。 別の種類の証明書を購入する場合は、証明書管理サービスの購入ページに移動します。 詳細については、「SSL証明書の購入」をご参照ください。
クリックOK.
後続の設定
ドメイン名を追加すると、ドメイン名に送信されるリクエストはWAFによって保護されます。 ドメイン名の設定を変更して、Webサイトのセキュリティを強化できます。
データ型 | 説明 | 関連ドキュメント |
ウェブサイトの保護設定 | WAFは、さまざまな種類の攻撃からWebサイトを保護する複数の機能を提供します。 デフォルトでは、保護ルールエンジンとHTTPフラッド保護機能のみが有効になっています。 保護ルールエンジン機能は、SQLインジェクション、XSS攻撃、webshellアップロードなどの一般的なweb攻撃からwebサイトを保護します。 HTTPフラッド保護機能は、HTTPフラッド攻撃からWebサイトを保護します。 その他の機能を有効にし、保護ルールを設定します。 | ウェブサイト保護設定の概要 |
アラート設定 | アクセス要求で攻撃や異常なトラフィックが検出されたときにWAFがアラート通知を送信できるように、アラートルールを設定できます。 このようにして、できるだけ早い機会にビジネスのセキュリティステータスを確認できます。 | |
Log Serviceの設定 | Log Service for WAF機能を有効にすると、WAFはドメイン名のログデータを収集して保存できます。 ログデータを照会および分析できます。 デフォルトでは、Log Service for WAF機能は、マルチレベル保護スキーム (MLPS) の要件を満たすために180日間完全なログを保存します。 |
関連する API 操作
WAFに追加されたドメイン名の表示と管理
Web サイトアクセス ページの [ドメイン名] タブで、WAFに追加されたドメイン名を表示し、次の操作を実行できます。
HTTPS証明書のアップロード: ドメイン名がHTTPSをサポートしている場合、有効な証明書と秘密鍵ファイルがWAFにアップロードされていることを確認し、WAFがHTTPSリクエストを保護します。 ドメイン名のHTTPS証明書と秘密鍵ファイルをアップロードするには、[オリジンサーバー] 列の
アイコンをクリックします。 詳細については、「HTTPS証明書のアップロード」をご参照ください。
IPv6トラフィック保護を有効にする: ドメイン名に送信されるIPv6トラフィックを保護する場合は、[クイックアクセス] 列でドメイン名の [IPV6] をオンにします。
詳細については、「IPv6トラフィック保護の有効化」をご参照ください。
Log Service for WAFを有効にする: クイックアクセス列のLog Serviceをオンにして、Log Service for WAF機能を有効にします。 この機能を使用して、ドメイン名のログを収集できます。 次に、クエリ、分析、ダッシュボードデータの視覚化、およびアラートにログを使用できます。 詳細については、「Simple Log Service For WAF機能の使用を開始する」をご参照ください。
説明Log Service for WAF機能は、WAFの付加価値機能です。 機能を使用する前に、機能を有効にする必要があります。 詳細については、「手順1: WAF機能のSimple Log Serviceの有効化」をご参照ください。
保護リソースの設定: [クイックアクセス] 列の [保護リソース] の右側にある
アイコンをクリックします。 次に、ドメイン名の保護リソースを設定します。 次のタイプの保護リソースがサポートされています。
共有クラスターと共有 IP: これはデフォルト値です。
共有クラスターと専用 IP: 排他的IPアドレスの詳細については、「排他的IPアドレス」をご参照ください。
複数のWAFノード間の共有クラスターと負荷分散: グローバル負荷分散の詳細については、「インテリジェント負荷分散」をご参照ください。
専用クラスター: 排他的クラスターの詳細については、「排他的クラスターの作成」をご参照ください。
攻撃レポートの表示: [攻撃モニタリング] 列の [レポートの表示] をクリックし、[セキュリティレポート] ページに移動します。 表示されるページで、ドメイン名の保護レポートを表示できます。 詳細については、「セキュリティレポートの表示」をご参照ください。
保護ポリシーを設定する: [操作] 列の [設定] をクリックして、Web サイト保護 ページに移動します。 表示されるページで、Webセキュリティ、ボット管理、およびアクセス制御 /スロットリングモジュールを構成できます。 詳細については、「Webサイト保護設定の概要」をご参照ください。
ドメイン名の設定を変更する: [操作] 列の [編集] をクリックして、プロトコルタイプ、サーバーアドレス、サーバーポートなどのドメイン名の設定を変更します。 ドメイン名は変更できません。
ドメイン名を削除する: [操作] 列の [削除] をクリックします。
警告ドメイン名を削除する前に、DNSレコードを変更して、ドメイン名をオリジンサーバーのIPアドレスにマップする必要があります。 DNSレコードを変更しない場合、ドメイン名が削除された後、ドメイン名に送信されたリクエストを転送することはできません。
ドメイン名をWAFに追加した後、ICP登録情報が有効であることを確認します。 関連する法令に準拠するため、WAFインスタンスは追加されたドメイン名の有効性を定期的にチェックします。 ICP登録情報が無効なドメイン名は、WAFによって保護されません。 ドメイン名のICP登録情報が無効な場合は、次の操作を実行します。
ドメイン名のICP登録情報を更新します。
[Webサイトアクセス] ページの [ドメイン名] タブをクリックします。 ICP登録情報が更新されたドメイン名を見つけて、[操作] 列の [再度追加] をクリックします。
ICP登録情報の有効性を確認する
ドメイン名をWAFに追加した後、ICP登録情報が有効であることを確認します。 関連する法律や規制を遵守するため、WAFインスタンスは追加されたドメイン名を定期的にチェックします。 ICP入力情報が無効なドメイン名は、WAFで保護できません。 ドメイン名のICP登録情報が無効な場合は、次の操作を実行します。
ドメイン名のICP登録情報を更新します。
[Webサイトアクセス] ページの [ドメイン名] タブをクリックします。 ICP登録情報が更新されたドメイン名を見つけて、[操作] 列の [再度追加] をクリックします。
よくある質問
詳細については、「FAQ」の「Webサイトアクセス設定に関するFAQ」をご参照ください。