Web Application Firewall (WAF) は、特定のback-to-origin CIDRブロックを使用して、通常のトラフィックをオリジンサーバーに転送します。 WebサイトをWAFに追加した後、オリジンサーバー上のセキュリティソフトウェアのIPアドレスホワイトリストにback-to-origin CIDRブロックを追加する必要があります。 このトピックでは、WAFのback-to-origin CIDRブロックからのリクエストを許可する方法について説明します。
手順
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、.
の右下隅にプロダクト情報ページを検索し、WAF IPセグメントセクションをクリックし、すべてのIPをコピー.
WAF IPセグメントセクションには、WAFの最新のback-to-origin CIDRブロックが表示されます。
オリジンサーバー上のセキュリティソフトウェアのIPアドレスホワイトリストにback-to-origin CIDRブロックを追加します。
警告WAFのback-to-origin CIDRブロックをオリジンサーバー上のセキュリティソフトウェアのIPアドレスホワイトリストに追加しないと、WAFによって転送された通常のリクエストがブロックされる可能性があります。 これは、サービスの中断を引き起こし得る。
次のステップ
セキュリティを確保するために、オリジンサーバーのアクセス制御ポリシーを構成して、WAFのback-To-origin CIDRブロックからのインバウンドトラフィックのみを許可することを推奨します。 これにより、攻撃者はWAFをバイパスしてオリジンサーバーを攻撃することはできません。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。
よくある質問
WAFのback-to-origin CIDRブロックとは何ですか?
WAFのback-to-origin CIDRブロックは、クライアントから配信元サーバーに送信されたリクエストを転送するためにWAFによって使用されるCIDRブロックです。 WebサイトがWAFに追加された後、オリジンサーバーはすべてのリクエストをWAFのback-to-origin CIDRブロックから発信されたリクエストとして処理します。 クライアントの実際のIPアドレスは、リクエストのHTTPヘッダーのX-Forwarded-For (XFF) フィールドに追加されます。
WAFのback-to-origin CIDRブロックをオリジンサーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加する必要があるのはなぜですか。
WebサイトがWAFに追加されると、オリジンサーバーはWAFのback-to-origin CIDRブロックからリクエストを高いレートで受信します。 この場合、配信元サーバー上のファイアウォールまたはセキュリティソフトウェアは、CIDRブロックを攻撃IPアドレスと見なし、それらをブロックする可能性があります。 IPアドレスがブロックされている場合、WAFは配信元サーバーから通常の応答を受信できません。 WebサイトをWAFに追加した後、WAFのback-to-origin CIDRブロックが配信元サーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加されていることを確認します。 そうしないと、Webサイトが遅くなるかアクセスできなくなります。