すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:スキャン保護の設定

    ドキュメントセンター

    Web Application Firewall:スキャン保護の設定

    最終更新日:Jun 03, 2024

    Webアプリケーションファイアウォール (WAF) にWebサイトを追加した後、Webサイトのスキャン保護機能を有効にできます。 スキャン保護機能を有効にすると、特定のIPアドレスからのアクセス要求が自動的にブロックされます。 これらのIPアドレスには、高頻度のweb攻撃や悪意のあるディレクトリトラバーサル攻撃を開始するソースIPアドレス、および共通スキャナーまたはAlibaba Cloud悪意のあるIPライブラリで定義されているIPアドレスが含まれます。

    前提条件

    • WAFインスタンスが購入されました。 インスタンスはProエディション以上を実行します。

      重要

      ProエディションのWAFインスタンスは、デフォルトのスキャン保護ポリシーのみをサポートしています。 ProエディションのWAFインスタンスにカスタムスキャン保護ポリシーを設定することはできません。 [高頻度のWeb攻撃を開始するIPのブロック] および [ディレクトリ横断防止] のカスタムポリシーを設定する必要がある場合、インスタンスはBusinessエディション以上を実行する必要があります。

    • WebサイトがWAFに追加されます。 詳細については、「チュートリアル」をご参照ください。

    背景情報

    スキャン保護機能は、次のスキャン保護ポリシーを提供します。

    • 高頻度のWeb攻撃を開始するIPのブロック: 短期間に複数のweb攻撃を開始するクライアントIPアドレスを自動的にブロックします。 カスタムスキャン保護ポリシーを設定し、ブロックされたIPアドレスのブロックを手動で解除できます。

    • ディレクトリトラバーサル防止: 複数のディレクトリトラバーサル攻撃を短時間で開始するクライアントIPアドレスを自動的にブロックします。 カスタムスキャン保護ポリシーを設定し、ブロックされたIPアドレスのブロックを手動で解除できます。

    • スキャンツールのブロック: 一般的なスキャナーで定義されているIPアドレスからのアクセス要求を自動的にブロックします。 スキャナーには、sqlmap、AWVS、Nessus、AppScan、WebInspect、Netsparker、Nikto、およびRSASが含まれます。

    • Collaborative Defense: Alibaba Cloud悪意のあるIPライブラリで定義されたIPアドレスからのアクセス要求を自動的にブロックします。

    手順

    1. WAFコンソールにログインします。

    2. 上部のナビゲーションバーで、リソースグループとWAFインスタンスがデプロイされているリージョンを選択します。 [中国本土] または [中国本土以外] を選択できます。

    3. 左側のナビゲーションウィンドウで、保護設定 > ウェブサイト保護.

    4. [Webサイト保護] ページの上部で、[ドメイン名の切り替え] ドロップダウンリストからWebサイト保護ホワイトリストを設定するドメイン名を選択します。切换域名

    5. [アクセス制御 /スロットリング] タブで、[スキャン保護] セクションを見つけ、次の設定を行います。Scan protection

      説明

      デフォルトでは、このセクションのポリシーが有効になっている場合、Webサイト宛てのすべてのリクエストはスキャン保護機能によってチェックされます。 特定の条件に一致するリクエストでチェックをバイパスする場合は、アクセス制御 /スロットリングのホワイトリストを設定します。 詳細については、「アクセス制御 /スロットリングのホワイトリストの設定」をご参照ください。

      • 高頻度のWeb攻撃を開始するIPのブロック: 有効または無効にできます。

        保護ポリシーを設定します。

        1. 高頻度のWeb攻撃を開始するIPのブロックをオンにします。

        2. [設定] をクリックします。

        3. [ルール設定] ダイアログボックスで、[検査時間範囲][攻撃数が超過] 、および [ブロックされたIPアドレス] のパラメーターを指定します。Rule settings

          指定された検査時間範囲内にクライアントIPアドレスから開始されたweb攻撃の数が特定の数を超えた場合、このIPアドレスからのアクセス要求は指定されたブロック期間中ブロックされます。

          説明

          [モード] セクションの [フレキシブルモード][厳格モード] 、および [通常モード] から組み込み設定モードを選択することを推奨します。 要件に基づいてパラメーターを変更できます。

        4. [確認]をクリックします。

        [IPアドレスのブロック解除] をクリックすると、ポリシーによってブロックされているIPアドレスのブロックを解除できます。

      • ディレクトリ横断防止: 有効または無効にできます。

        保護ポリシーを設定します。

        1. ディレクトリ横断防止をオンにします。

        2. [設定] をクリックします。

        3. [ルール設定] ダイアログボックスで、次のパラメーターを指定します。[検査時間範囲][要求の合計が超えた][404が超えた応答の割合][ブロックされたIPアドレス][ディレクトリ番号]Rule settings

          指定された検査時間範囲内のクライアントIPアドレスから開始されたリクエストの総数が特定の数を超え、HTTPステータスコードが404されたリクエストの合計リクエストに対する割合が特定の割合を超え、指定された検査時間範囲内にリクエストが送信されたディレクトリの数が特定の数を超える場合、このIPアドレスからのアクセス要求は、指定されたブロック期間中にブロックされます。

          説明

          [モード] セクションの [フレキシブルモード][厳格モード] 、および [通常モード] から組み込み設定モードを選択することを推奨します。 要件に基づいてパラメーターを変更できます。

        4. [確認]をクリックします。

        [IPアドレスのブロック解除] をクリックすると、ポリシーによってブロックされているIPアドレスのブロックを解除できます。

      • スキャンツールのブロック: 有効または無効にできます。

        スキャンツールのブロックを有効にすると、一般的なスキャナーの動作が自動的に検出されます。 アクセス要求がスキャンの特性を満たす場合、この要求は常にブロックされます。 スキャンツールのブロックを無効にすると、スキャン動作はブロックされなくなります。

      • 共同防御: 有効または無効にできます。

        Collaborative Defenseを有効にすると、Alibaba Cloud悪意のあるIPライブラリのIPアドレスからのすべてのアクセスリクエストがブロックされます。