すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:Hybrid Cloud WAFにWebサイトを追加する

    ドキュメントセンター

    Web Application Firewall:Hybrid Cloud WAFにWebサイトを追加する

    最終更新日:May 23, 2024

    ハイブリッドクラウドWebアプリケーションファイアウォール (WAF) は、ハイブリッドクラウドにデプロイされたWebサイトを保護できます。 このトピックでは、Hybrid Cloud WAFにWebサイトを追加する方法について説明します。

    背景情報

    Hybrid Cloud WAFは、パブリッククラウド、プライベートクラウド、およびデータセンターにデプロイされているwebアプリケーションを保護するwebアプリケーション保護および管理ソリューションです。 ハイブリッドクラウドWAFは、クラウド内外の共有リソースと排他的リソースを組み合わせて、柔軟で効率的な保護システムを提供します。 これにより、webアプリケーションを一元管理および保護できます。 WebサイトをHybrid Cloud WAFに追加した後、保護されたWebサイトに送信されたリクエストは、インターネットまたはプライベートネットワークを介して配信元サーバーに転送できます。 WAFは、オリジンサーバーのネットワークタイプに基づいてリクエストを転送します。

    前提条件

    • WAFインスタンスが購入され、WAFインスタンスに追加されたドメイン名の数が上限未満です。

      説明

      WAFインスタンスに追加できるドメイン名の最大数は、インスタンスの仕様と購入する追加ドメイン名の数によって異なります。 詳細については、「追加ドメインパッケージ」をご参照ください。

    • 中国本土のWAFインスタンスを使用してドメイン名を保護する場合、インスタンスにドメイン名を追加する前に、ドメイン名のインターネットコンテンツプロバイダ (ICP) 申請を完了する必要があります。 ICP申請を完了する前にドメイン名をWAFインスタンスに追加すると、WAFがエラーを報告し、ICP申請を完了するように求められる場合があります。

    • オンプレミスサーバーをWAF保護ノードとして使用するHybrid Cloud WAFの保護クラスターがデプロイされています。 WAF保護ノードはインターネットと通信できます。 詳細については、「Hybrid Cloud WAFの保護クラスターのデプロイ」をご参照ください。

    制限事項

    Hybrid Cloud WAFの保護ノードを使用して内部ネットワークサービスを保護する場合、CIDRブロックが172.16.0.0/16のクライアントはサポートされません。

    Hybrid Cloud WAFにWebサイトを追加する

    1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

    2. 左側のナビゲーションウィンドウで、資産センター > Webサイトへのアクセス.

    3. On theドメイン名タブをクリックします。Webサイトへのアクセス.

      説明

      デフォルトでは、[ドメイン名の追加] ページで [アクセスモード] パラメーターが [CNAMEレコード] に設定されます。

    4. パラメーターを設定してWebサイトに関する情報を入力し、次へ. 下表に、各パラメーターを説明します。

      パラメーター

      説明

      ドメイン名

      Webサイトのドメイン名を入力します。 s www.aliyundoc.comなどの完全一致ドメイン名または * .aliyundoc.comなどのワイルドカードドメイン名を入力できます。 ドメイン名は1つだけ入力できます。

        保護リソース

        WAFで保護するリソースのタイプを選択します。 このパラメーターをHybrid Cloud Clusterに設定します。

        プロトコルタイプ

        プロトコルタイプを選択します。 有効な値:

        • HTTP

        • HTTPS

          重要

          WebサイトがHTTPSをサポートしている場合は、[HTTPS] を選択します。 ドメイン名設定を追加したら、必要な証明書と秘密鍵ファイルをアップロードします。 詳細については、「HTTPS証明書のアップロード」をご参照ください。

          HTTPSを選択した場合、次の機能を有効にできます。

          • (詳細設定) HTTPSルーティングの実行

            この機能を有効にすると、クライアントから送信されたHTTPリクエストは自動的にHTTPSリクエストに変換されます。 この場合、クライアントはHTTPSリクエストをポート443でWAFに送信し、WAFはHTTPSリクエストをポート443で配信元サーバーに転送します。 クライアントがHTTPSを使用してWebサイトにアクセスする場合は、この機能を有効にしてアクセスセキュリティを向上させます。

            重要

            • この機能は、HTTPが選択されていない場合にのみ有効にできます。

            • この機能を有効にする前に、WebサイトがHTTPSをサポートしていることを確認してください。 この機能を有効にすると、リクエストはHTTPS経由で配信されます。

          • (詳細設定) [HTTPの有効化]

            この機能を有効にすると、WAFはHTTP経由でリクエストを転送します。 デフォルトのポートはポート80です。 この場合、クライアントがポート80 443でWAFにアクセスするかどうかに関係なく、WAFはポート80に送信されたリクエストを配信元サーバーに転送します。 この機能を有効にすると、WAFを使用して、Webサイトに送信されるHTTPSリクエストをHTTPリクエストに変換できます。 これにより、オリジンサーバーの作業負荷が軽減されます。 クライアントは、オリジンサーバーで設定を行う必要なく、HTTPS経由でWebサイトにアクセスできます。

            重要

            ドメイン名がHTTPSをサポートしていない場合は、[HTTPの有効化] をオンにします。

          • (詳細設定) [HTTPSルーティングの実行] および [HTTPの有効化]: 両方とも無効

            クライアントがポート80でWAFにアクセスすると、WAFはポート80に送信されたリクエストを配信元サーバーに転送します。 クライアントがポート443でWAFにアクセスすると、WAFはポート443に送信されたリクエストを配信元サーバーに転送します。

          • オリジンSNIの有効化

            オリジンサーバー名表示 (SNI) は、WAFがリクエストをオリジンサーバーに転送するときにTLSハンドシェーキングプロセスの開始時にHTTPS接続を確立する必要があるドメイン名を指定します。 オリジンサーバーが複数のドメイン名をホストする場合は、この機能を有効にする必要があります。

            [オリジンSNI] を選択した後、SNIフィールドを設定できます。 有効な値:

            • ホストヘッダーでドメイン名を使用: WAF back-to-originリクエストのSNIフィールドの値が、ホストヘッダーフィールドの値と同じであることを指定します。 デフォルト値です。

              たとえば、追加するドメイン名が * .aliyundoc.comで、クライアントがwww.aliyundoc.comドメイン名にリクエストを送信する場合、WAF back-to-originリクエストのSNIフィールドの値がwww.aliyundoc.comされます。 ホストヘッダフィールドiの値がs www.aliyundoc.comされる。

            • カスタム: WAF back-to-originリクエストのSNIフィールドにカスタム値を入力できることを指定します。

              back-to-originリクエストのHostフィールドの値と値が異なるSNIフィールドをWAFで使用する場合は、SNIフィールドにカスタム値を指定できます。

        • HTTP2 (HTTPSを選択した後にのみHTTP2を選択できます)

          ドメイン名がHTTP/2をサポートしている場合は、HTTP2を選択する必要があります。 HTTP/2ポートはHTTPSポートと同じです。 HTTP2を選択した後、HTTPSポートのみを指定する必要があります。 詳細については、「」をご参照ください。HTTP/2サービスがWAFに追加された場合、オリジンサーバーは影響を受けますか。

          説明

          WAFインスタンスがBusiness、Enterprise、またはExclusiveエディションの場合にのみ、HTTP2を選択できます。

        ノード設定

        [保護ノードグループ名] を選択します。

        Webサイトを複数の保護ノードにデプロイした場合、[ノード設定] の右側にある [保護用ノードの追加] をクリックして、保護ノードをWAFに追加できます。

        宛先サーバー (IPアドレス)

        オリジンサーバーのアドレスを入力します。 有効な値: IPおよびドメイン名 (CNAMEなど) 。 WAFは悪意のあるリクエストを除外し、通常のリクエストをこのアドレスに転送します。 オリジンサーバーのアドレスを入力するには、次の項目に注意してください。

        • IP: オリジンサーバーのパブリックIPアドレスを入力します。 IPアドレスはインターネット経由でアクセスできる必要があります。

          IPアドレスを入力するたびにEnterキーを押します。 最大20個のIPアドレスを入力できます。

          説明

          複数のIPアドレスを入力すると、WAFは自動的にIPアドレスのヘルスチェックと負荷分散を実行します。

          WAFインスタンスが中国本土外にある場合、IPv4アドレスのみを入力できます。 WAFインスタンスが中国本土にある場合、IPv4アドレスまたはIPv6アドレス、またはその両方を入力できます。

          • IPv4アドレスとIPv6アドレスの指定

            [同じプロトコルを使用] を選択した場合、WAFはIPv4アドレスからのリクエストをIPv4経由でオリジンサーバーに転送し、IPv6アドレスからのリクエストをIPv6経由でオリジンサーバーに転送します。 [同じプロトコルを使用] を選択しない場合、WAFはIPv4またはIPv6経由でオリジンサーバーにリクエストをランダムに転送します。

            重要

            WAFがIPv6経由でリクエストを転送する場合は、[Webサイトアクセス] ページでドメイン名のIPV6がオンになっていることを確認します。 詳細については、「IPv6トラフィック保護の有効化」をご参照ください。

          • IPv4アドレスのみを指定する

            WAFは、IPv4経由ですべてのリクエストを配信元サーバーに転送します。

          • IPv6アドレスのみを指定する

            WAFは、IPv6経由ですべてのリクエストを配信元サーバーに転送します。

          次のリストは、IPアドレスの入力方法を示しています。

          • オリジンサーバーがAlibaba Cloud Elastic Compute Service (ECS) インスタンスの場合、ECSインスタンスのパブリックIPアドレスを入力します。

          • ECSインスタンスがServer Load Balancer (SLB) インスタンスに関連付けられている場合、SLBインスタンスのパブリックIPアドレスを入力します。

          • オリジンサーバーがAlibaba Cloudにデプロイされていない場合は、ドメイン名をpingしてオリジンサーバーのパブリックIPアドレスを照会することを推奨します。 次に、オリジンサーバーのパブリックIPアドレスを入力します。

          • 透過プロキシモードで入力したIPアドレスのトラフィックリダイレクトの有効化がオフになっていることを確認します。

        • ドメイン名 (CNAMEなど): オリジンサーバーのドメイン名を入力します。 たとえば、Object Storage Service (OSS) バケットのCNAMEを入力します。

          ドメイン名はIPv4アドレスに解決できます。 この場合、WAFはback-to-originリクエストをIPv4アドレスに転送します。

          重要

          • オリジンサーバーのドメイン名は、保護するドメイン名とは異なる必要があります。

          • OSSバケットのドメイン名を入力する場合は、保護するドメイン名をOSSコンソールのバケットにマッピングします。 詳細については、「カスタムドメイン名のマップ」をご参照ください。

        宛先サーバーポート

        リクエストの転送に使用するポートを指定します。

        説明

        Alibaba Cloudテクニカルサポートチームのみがこのパラメーターを設定できます。

        ポートは、ハイブリッドクラウドクラスターでサポートされているポートの範囲内にある必要があります。 デフォルトでは、ポート80、8080、443、および8443がハイブリッドクラウドクラスターで有効になっています。 ハイブリッドクラウドクラスターを作成するときに、有効にするカスタムポートを指定できます。 詳細については、「ハイブリッドクラウドクラスターの基本情報の設定」をご参照ください。

        WAFは、指定したポートのみを使用してリクエストを受信および転送します。 これにより、指定されていないポートを有効にするかどうかに関係なく、オリジンサーバーがセキュリティの脅威から保護されます。

        重要

        [プロトコルタイプ] および [宛先サーバーポート] パラメーターは、webサービスの提供にオリジンサーバーが使用するプロトコルとポートに設定する必要があります。 WAFはポート変換をサポートしていません。 たとえば、オリジンサーバーがHTTPとポート80を使用してwebサービスを提供する場合、Protocol TypeパラメーターをHTTPに設定し、Destination server portパラメーターを80に設定する必要があります。

        デフォルトポート:

        • 80: デフォルトでは、このポートはHTTPが選択されている場合に使用されます。

        • 443: デフォルトでは、このポートはHTTPSが選択されている場合に使用されます。

          説明

          HTTP/2はHTTPSと同じポートを使用します。

        カスタムポート: [HTTPポート] および [HTTPSポート] フィールドにポート番号を入力します。 複数のポート番号はコンマ (,) で区切ります。

        許容可能なポート範囲の確認 をクリックして、サポートされているすべてのポートを照会します。

        負荷分散アルゴリズム

        オリジンサーバーの複数のアドレスを入力する場合は、このパラメーターを設定します。 有効な値:

        • IPハッシュ: IPアドレスからのリクエストは、同じ配信元サーバーに転送されます。 デフォルト値です。

          説明

          IPハッシュを選択したが、配信元サーバーのIPアドレスが異なるネットワークセグメントに分散していない場合、ワークロードが不均衡になる可能性があります。

        • ラウンドロビン: すべてのリクエストはオリジンサーバーに順番に配信されます。

        • 最小時間: WAFは、インテリジェントDNS解決機能とアップグレードされた最小時間back-to-originアルゴリズムを使用して、リクエストがオリジンサーバーに転送される際の待ち時間を短縮します。

          説明

          インテリジェントなロードバランシングが有効になっている場合にのみ、[最小時間] を選択できます。 詳細については、「インテリジェント負荷分散」をご参照ください。

        設定が有効になった後、WAFはオリジンサーバーの複数のアドレスにback-to-originリクエストを配信します。

        WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか

        レイヤ7プロキシをWAFの前にデプロイするかどうかを指定します。 レイヤー7プロキシには、Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNが含まれます。 有効な値:

        • No: レイヤ7プロキシはWAFの前にデプロイされません。 WAFはクライアントからリクエストを受信します。 WAFは、クライアントがWAFとの接続を確立するために使用するIPアドレスをクライアントのIPアドレスとして使用します。 WAFは、REMOTE_ADDRフィールドからIPアドレスを取得します。

        • はい: レイヤ7プロキシがWAFの前にデプロイされています。 WAFはレイヤー7プロキシからリクエストを受信します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できることを確認するには、[送信元IPアドレスの取得] パラメーターを設定します。

          デフォルトでは、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。

          X-Client-IPやX-Real-IPなど、実際のIPアドレスをカスタムヘッダーフィールドに含める必要があるプロキシを使用する場合は、[推奨] 指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用してX-Forwarded-For Forgeryを防止するを選択し、ヘッダーフィールドにカスタムヘッダーフィールドを入力します。

          説明

          カスタムヘッダーフィールドを使用してクライアントのIPアドレスを格納し、WAFでカスタムヘッダーフィールドを設定することを推奨します。 これにより、攻撃者がX-Forwarded-Forフィールドを偽造してWAF保護を回避できなくなり、ビジネスのセキュリティが向上します。

          複数のヘッダーフィールドを入力できます。 複数のヘッダーフィールドはコンマ (,) で区切ります。 複数のヘッダーフィールドを入力した場合、WAFはクライアントのIPアドレスが取得されるまでヘッダーフィールドを順番にスキャンします。 WAFがヘッダーフィールドからクライアントのIPアドレスを取得できない場合、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。

        トラフィックマークの有効化

        WAFトラフィックマーク機能を有効にするかどうかを指定します。

        この機能は、カスタムヘッダーフィールドをWAF back-to-originリクエストに追加します。 カスタムヘッダーフィールドを指定または変更して、WAFによって転送されたリクエストにタグを付けたり、クライアントのIPアドレスを記録したりできます。

        [トラフィックマーキングの有効化] を選択した場合、カスタムヘッダーフィールドを追加します。

        重要

        次のタイプのヘッダーフィールドを追加できます。

          [+ マークの追加] をクリックしてヘッダーフィールドを追加します。 最大5つのヘッダーフィールドを追加できます。

          リソースグループ

          ドロップダウンリストから、ドメイン名を追加するリソースグループを選択します。

          説明

          リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。

        • コンピューターのhostsファイルを変更して、オンプレミスWAFノードの前にデプロイされているロードバランサーにドメイン名をマッピングします。 次に、WAFが期待どおりにリクエストをフィルタリングおよび転送できるかどうかをテストします。

          説明

          Alibaba Cloudテクニカルサポートチームのみがこの操作を実行できます。

        • 保護するドメイン名のDNSレコードを変更して、ドメイン名をオンプレミスのロードバランサーにマップします。

        • 完了をクリックします。 Webサイトリストに戻ります。

          手順を完了すると、ドメイン名はHybrid Cloud WAFによって保護されます。