すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:排他的クラスターの作成

    ドキュメントセンター

    Web Application Firewall:排他的クラスターの作成

    最終更新日:May 30, 2024

    Web Application Firewall (WAF) Exclusive Editionは、仮想排他クラスターを提供します。 これらの専用クラスターを使用すると、ビジネス要件に基づいてWAFのドメイン名設定と保護設定をカスタマイズできます。

    背景情報

    Webサイトに特別な要件がある場合は、排他的クラスターを作成し、Webサイトを排他的クラスターに追加して包括的な保護を実現できます。

    Exclusive Editionを実行するWAFインスタンスを購入した後、排他的クラスターを作成し、排他的クラスターの次の設定をカスタマイズできます。

    • Cluster region:クラスターのリージョンを選択できます。

    • Cluster ports:排他的クラスターは、共有クラスターよりも多くの非標準ポートをサポートします。 HTTP ポート、HTTPS ポート、HTTP/2 ポートを back-to-origin ポートとして使用できます。

      説明

      次のシステムポートはサポートされていません:22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987。

    • SNIのサポート: 証明書をアップロードして、Server Name Indication (SNI) プロトコルをサポートしていないクライアントがWebサイトにアクセスできるようにすることができます。

    • 応答ページ: Alibaba Cloud CDNにアップロードされる静的URLを指定できます。 リクエストがブロックされると、URLで指定されたページが表示されます。

    • TLS security policy:TLS バージョンと暗号を指定できます。

    • 永続接続タイムアウト: 接続タイムアウト期間、要求タイムアウト期間、および応答タイムアウト期間を指定できます。

    排他的クラスターの作成

    Exclusive Editionを実行するWAFインスタンスを購入するか、WAFインスタンスをExclusive Editionにアップグレードすると、専用クラスターまたは共有クラスターを使用してWebサイトを保護できます。 排他的クラスターの機能を使用する前に、ビジネス要件に基づいて排他的クラスターを作成する必要があります。

    1. WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。

    2. 左側のナビゲーションウィンドウで、システム管理 > 排他的設定.

    3. [排他的設定] ページで、次のパラメーターを設定します。

      • リージョンのリージョンを選択します。

        説明

        排他的クラスターを作成した後、Regionの値を変更することはできません。

      • 宛先サーバーポートを設定します。 プロトコルを選択し、[カスタマイズ] をクリックします。 保護するポートを入力し、[保存] をクリックします。 専用クラスターにドメイン名を追加する場合は、このクラスターに指定されているサーバーポートを選択できます。

      • ブロッキング応答ページのURLを設定します。 Alibaba Cloud CDNにアップロードされた静的URLを入力します。 リクエストがブロックされると、URLで指定されたページが表示されます。

      • SNIプロトコルをサポートしていないクライアントがWebサイトにアクセスできるようにするには、証明書ファイル秘密鍵ファイルの内容を入力します。

      • HTTPS 設定の設定

        • TLSバージョン: デフォルト値はサポートTLS 1.0以降 (高い互換性と低いセキュリティ) です。 ビジネス要件に基づいて、TLS 1.1のサポート (中程度の互換性と中程度のセキュリティ) またはTLS 1.2のサポート (中程度の互換性と高セキュリティ) を選択できます。

        • 暗号スイート:

          • プロトコルバージョンに基づいて暗号スイートを選択した場合。 ドメイン名でTLSバージョンと暗号スイートをカスタマイズできますので、ご注意ください。 たとえば、TLSバージョンを個別にカスタマイズできます。 強力な暗号化アルゴリズム、弱い暗号化アルゴリズム、またはその両方の組み合わせをカスタマイズすることもできます。

          • [強力な暗号スイート (低互換性、高セキュリティ) を選択した場合、次の強力な暗号スイートがサポートされています。

            • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

            • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

            • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

            • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

            • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

            • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

            • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

            • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

            • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

            • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

          • [すべての暗号スイート (高互換性、低セキュリティ)] を選択した場合、前途のすべての強力な暗号スイートに加え、以下の弱い暗号スイートがサポートされています。

            • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

            • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

            • TLS_RSA_WITH_AES_128_GCM_SHA256

            • TLS_RSA_WITH_AES_256_GCM_SHA384

            • TLS_RSA_WITH_AES_128_CBC_SHA256

            • TLS_RSA_WITH_AES_256_CBC_SHA256

            • TLS_RSA_WITH_AES_128_CBC_SHA

            • TLS_RSA_WITH_AES_256_CBC_SHA

            • SSL_RSA_WITH_3DES_EDE_CBC_SHA

      • 永続接続タイムアウトを指定します。

        • 接続タイムアウト: 接続タイムアウト時間を5〜3,600秒に設定します。

        • 読み取りタイムアウト: 読み取りタイムアウト時間を120〜3,600秒に設定します。

        • 書き込みタイムアウト: 書き込みタイムアウト時間を120〜3,600秒に設定します。

    4. [作成] をクリックします。

      操作の実行後、WAFは排他的クラスターを作成します。 専用クラスターは約20分で作成されます。 [排他的設定] ページで作成した排他的クラスターの設定を表示および変更できます。

    次のステップ

    専用クラスターの作成後、特別な要件を持つWebサイトを専用クラスターに追加して、カスタム保護を行うことができます。 次のシナリオがサポートされています。

    • 保護のために専用クラスターにWebサイトを追加できます。 詳細については、「WAFへのドメイン名の追加」をご参照ください。

    • WebサイトがWAFに追加されている場合は、次の操作を実行してWebサイトの排他的クラスター保護を有効にします。WAFコンソールの [Webサイトアクセス] ページに移動し、Webサイトの保護リソース[排他的クラスター] に設定します。

      Web サイトの保護リソースを排他的クラスターから共有クラスターに変更することもできます。

      重要

      WAFでサポートされるポートは、クラスタータイプによって異なります。 Webサイトの保護クラスタータイプを変更する前に、クラスターがWebサイトのポートをサポートしていることを確認してください。