CNAMEレコードモードでWeb Application Firewall (WAF) にドメイン名を追加した後、ドメイン名のDNS (domain name System) レコードを変更して、ドメイン名をWAFが提供するCNAMEにマップする必要があります。 これにより、ドメイン名へのリクエストはWAFにリダイレクトされます。 このトピックでは、ドメイン名のDNSレコードを変更する方法について説明します。
背景情報
保護されたドメイン名をWAFにマップするには、CNAMEレコードのみを使用できます。
ノード障害やデータセンター障害などの障害が発生した場合、WAFは別のIPアドレスを使用するか、オリジンサーバーにリクエストを転送してサービスの継続性を確保し、高可用性とディザスタリカバリ機能を提供します。
WAFはAレコードをサポートしていません。
デフォルトでは、WAFは、WAFに追加されたドメイン名の仮想IPアドレス (VIP) 分離メカニズムを有効にして、システムの安定性とセキュリティを向上させます。 WAFはVIPをドメイン名に割り当てます。 ドメイン名をVIPにマップするためにAレコードを追加すると、専用IPアドレスやインテリジェントな負荷分散を有効または無効にするなど、VIPが変更されたときにサービスが中断されることがあります。
Aレコードを使用する場合、ドメイン名のDNS解決ステータスが異常です。 Aレコードを削除し、CNAMEレコードを追加して、ドメイン名をWAFによって割り当てられたCNAMEにマップする必要があります。
Alibaba Cloud CDN、Anti-DDoS Pro、Anti-DDoS PremiumなどのプロキシをWebサイトにデプロイしない場合は、このトピックを参照してください。 WAFおよびその他のプロキシサービスをデプロイする場合は、以下のトピックを参照してください。
前提条件
CNAMEモードでWebサイトがWAFに追加されます。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
DNSサービスプロバイダーのシステムでDNSレコードを変更する権限があります。
WAFのback-to-origin CIDRブロックからのリクエストは、オリジンサーバーで許可されます。
オリジンサーバーにサードパーティのセキュリティソフトウェアまたは特定のアクセス制御ポリシーを使用する場合は、WAFのback-to-origin CIDRブロックをホワイトリストに追加する必要があります。 このように、通常のリクエストはブロックされません。 詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。
Webサイトの転送設定が正しく、有効です。
DNSレコードを変更する前に、無効な設定によって引き起こされるサービスの中断を防ぐために、Webサイト転送設定が正しいことを確認する必要があります。 詳細については、「ドメイン名設定の確認」をご参照ください。
警告転送設定が有効になる前にDNSレコードを変更すると、サービスの中断が発生する可能性があります。
WAFによってドメイン名に割り当てられたCNAMEの取得
DNSレコードを変更する前に、WAFによってドメイン名に割り当てられたCNAMEを取得する必要があります。 すでにCNAMEを取得している場合は、次の手順をスキップします。
WAFコンソールにログインします。
左側のナビゲーションウィンドウで、 .
ドメイン名リストで、WAFに追加したドメイン名を見つけ、ドメイン名の上にポインターを移動します。 WAFによってドメイン名に割り当てられたCNAMEを表示してコピーします。
Alibaba Cloud DNSを使用してDNSレコードを変更する
Alibaba Cloud DNSを使用する場合は、次の手順を実行してDNSレコードを変更します。 サードパーティのDNSサービスを使用する場合は、次の手順を参照して、DNSサービスプロバイダーのシステムのDNSレコードを変更します。
にログインします。Alibaba Cloud DNSコンソール.
On theドメイン名の解決ページで、DNSレコードを変更するドメイン名を見つけて、DNS設定で、アクション列を作成します。
On theDNS設定ページを検索し、ホスト名をクリックし、変更で、アクション列を作成します。
次の例では、
aliyun.com
が使用されます。www:
www.aliyun.com
など、wwwで始まるドメイン名と一致します。@:
aliyun.com
などのルートドメイン名と一致します。*:
blog.aliyun.com
やwww.aliyun.com
などのすべてのサブドメインを含むワイルドカードドメイン名と一致します。
[DNSレコードの変更] パネルで、 [レコードの種類] パラメーターをCNAMEに設定し、[レコードの値] パラメーターをWAFによって割り当てられたCNAMEに設定します。 その他のパラメーター設定を保持します。
DNSレコードを変更するときは、次の項目に注意してください。
有効期間 (TTL) を10分に設定することを推奨します。 TTL値が大きいほど、DNSレコードを同期および更新する時間が長くなります。
異なるタイプのDNSレコードが互いに競合する。
DNSレコードごとに指定できるCNAME値は1つだけです。 ValueパラメーターをWAFによって割り当てられたCNAMEに設定します。
異なるタイプのDNSレコードが互いに競合する。 たとえば、CNAMEレコードと、ホスト名のa、MX、またはTXTレコードを同時に追加することはできません。 レコードタイプを変更できない場合は、競合するすべてのDNSレコードを削除し、新しいCNAMEレコードを追加します。
警告競合するすべてのDNSレコードを削除し、できるだけ早い機会にCNAMEレコードを追加する必要があります。 そうしないと、ドメイン名にアクセスできなくなります。
クリックOK新しいDNSレコードが有効になるのを待ちます。
DNSレコードを確認します。 Webサイトのドメイン名をpingするか、DNS検出ツールを使用してDNSレコードが有効かどうかを確認できます。
説明DNSレコードはすぐには有効になりません。 検証に失敗した場合は、10分後にDNSレコードを再度検証します。
関連する API 操作
オリジンサーバーの保護を有効にする
配信元IPアドレスが公開されている場合、攻撃者はWAFをバイパスして配信元サーバーで攻撃を開始する可能性があります。 攻撃を回避するには、Elastic Compute Service (ECS) セキュリティグループまたはServer Load Balancer (SLB) ホワイトリストを設定することを推奨します。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。
クライアントの実際のIPアドレスを取得する
WebサイトをWAFに追加すると、オリジンサーバーはWAFからリクエストを受け取ります。 クライアントの実際のIPアドレスは、
X-Forwarded-For
リクエストヘッダーから取得できます。 詳細については、「クライアントの送信元IPアドレスの取得」をご参照ください。