すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:透過プロキシモードに関するFAQ

    ドキュメントセンター

    Web Application Firewall:透過プロキシモードに関するFAQ

    最終更新日:May 23, 2024

    このトピックでは、透過プロキシモードでWeb Application Firewall (WAF) にドメイン名を追加することに関するよくある質問に対する回答を提供します。

    CNAMEレコードモードと透過プロキシモードでWAFにドメイン名を追加できますか?

    いいえ。 WAFにドメイン名を追加できるアクセスモードは1つだけです。 透過プロキシモードでWAFにドメイン名を追加したいが、CNAMEレコードモードでドメイン名が追加された場合、透過プロキシモードでWAFにドメイン名を追加する前に、ドメイン名のCNAMEレコード設定を削除する必要があります。

    重要

    初めてインスタンスをWAFに追加すると、webサービスが数秒間中断されることがあります。 クライアントが自動的に再接続できる場合、webサービスは自動的に再開されます。 ビジネス要件に基づいて、再接続メカニズムとback-to-origin設定を構成します。

    WAFに追加されたドメイン名がWAF保護を必要としない場合はどうすればよいですか?

    ドメイン名がWAF保護を必要としないと判断した場合は、[Webサイトアクセス] ページの [サーバー] タブをクリックして、ドメイン名がホストされているオリジンサーバーのIPアドレスを見つけます。 次に、トラフィックをWAFにリダイレクトするために使用されるポートのトラフィックのリダイレクトを無効にします。 詳細については、「透過プロキシモード」トピックの「ステップ2: トラフィックのリダイレクトポートの表示と管理」セクションを参照してください。 ポートのトラフィックのリダイレクトを無効にすると、ドメイン名宛てのリクエストはWAFによって転送されません。

    透過プロキシモードでドメイン名をWAFに追加した後、オリジンサーバーはクライアントの送信元IPアドレスを取得できますか?

    はい、オリジンサーバーはクライアントの発信IPアドレスを取得できます。 透過プロキシモードでドメイン名をWAFに追加すると、WAFはクライアントの送信元IPアドレスをドメイン名がホストされているオリジンサーバーに提供し、WAFのback-to-origin CIDRブロックをオリジンサーバーに送信しません。

    ポートにバインドされているSSL証明書が更新された場合、WAFコンソールで証明書を再アップロードする必要がありますか。

    操作はクラウドサービスによって異なります。

    • オリジンサーバーがApplication Load Balancer (ALB) インスタンスまたはLayer 7 server Load Balancer (SLB) インスタンスにデプロイされている場合、WAFコンソールで証明書を再アップロードする必要はありません。 証明書の更新は、ALBまたはSLBコンソールでのみ行う必要があります。 新しい証明書は自動的にWAFに同期されます。

      重要

      期限切れの証明書をWAFに同期できないことに注意してください。 期限切れの証明書を削除し、新しい証明書を同期する必要があります。

    • オリジンサーバーがレイヤー4 SLBインスタンスまたはElastic Compute Service (ECS) インスタンスにデプロイされている場合、WAFコンソールで証明書を再アップロードする必要があります。

    ドメイン名が複数のSLBインスタンスでホストされている場合、透過プロキシモードでドメイン名をWAFに追加するにはどうすればよいですか?

    ドメイン名のトラフィックのリダイレクトを設定する場合、SLBインスタンスのすべてのHTTPポートまたはHTTPSポートをWAFに追加する必要があります。 これにより、ポート上のトラフィックがWAFにリダイレクトされます。

    1つのSLBインスタンスのHTTPまたはHTTPSポートのみをWAFに追加すると、追加されたポートのトラフィックのみがWAFに転送され、WAFによって保護されます。 他のSLBインスタンスからのトラフィックは、WAFに転送または保護されません。

    SLBインスタンスで複数のドメイン名がホストされている場合、透過プロキシモードでWAFにドメイン名を1つだけ追加するとどうなりますか?

    SLBインスタンスでホストされているすべてのドメイン名は、保護ルールエンジンやHTTPフラッド保護など、デフォルトの保護ルールに基づいてWAFによって保護されます。 WAFは、ドメイン名宛ての悪意のあるトラフィックを検出してブロックします。

    重要

    透過プロキシモードでは、WAFによって保護されているトラフィックは、ECS、SLB、またはALBインスタンスのトラフィックリダイレクションポートの設定にのみ関連しています。 複数のドメイン名がSLBインスタンスでホストされており、ドメイン名がHTTPSポート443などの同じポートを使用してサービスを提供する場合、透過プロキシモードでドメイン名の1つをWAFに追加するときに、ポート上のすべてのトラフィックがWAFによって保護されるように、ポートをトラフィックリダイレクションポートとして指定できます。 詳細については、「透過プロキシモード」をご参照ください。

    透過プロキシモードでWAFに追加するレイヤー7 SLBインスタンスが見つからないのはなぜですか。

    透過プロキシモードには特定の制限があります。 詳細については、「透過プロキシモード」をご参照ください。

    透過プロキシモードでSLBインスタンスをWAFに追加すると、[ドメイン名の追加] ページの [レイヤー7 SLBベースのドメイン] タブでWAFに追加するインターネットに接続するSLBインスタンスが見つからないか、次の理由でインスタンスをWAFに追加できない場合があります。

    理由

    説明

    解決策

    インターネット向けSLBインスタンスが存在するリージョンでは、透過プロキシモードは使用できません。

    透過プロキシモードでWAFに追加できるのは、中国 (成都) 、中国 (北京) 、中国 (張家口) 、中国 (杭州) 、中国 (上海) 、中国 (深セン) 、中国 (香港) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) のリージョンにあるインターネット向けSLBインスタンスとECSインスタンスのみです。

    • インターネットに接続するSLBインスタンスまたはECSインスタンスが次のいずれかのリージョンにある場合、WAFインスタンスのリージョンとして [中国本土] を選択します: 中国 (成都) 、中国 (北京) 、中国 (張家口) 、中国 (杭州) 、中国 (上海) 、中国 (深セン) 。

    • インターネットに接続するSLBインスタンスまたはECSインスタンスが次のいずれかのリージョンにある場合、WAFインスタンスのリージョンとして [中国本土以外] を選択します: 中国 (香港) 、マレーシア (クアラルンプール) 、インドネシア (ジャカルタ) 。

    インターネット接続SLBインスタンスはIPv6アドレスを使用します。

    IPv6アドレスを使用するインターネット接続SLBインスタンスは、透過プロキシモードをサポートしていません。

    IPv4アドレスを使用するインターネット接続SLBインスタンスをWAFに追加します。

    インターネット接続SLBインスタンスにリスナープロトコルは設定されていません。

    リスナーポートを持たないSLBインスタンスをWAFに追加することはできません。

    SLBコンソールでSLBインスタンスのリスナーポートを追加します。

    ネットワークアーキテクチャの制限により、インターネットに接続するSLBインスタンスをWAFに追加できません。

    ネットワークアーキテクチャの制限がないSLBインスタンスのみをWAFに追加できます。

    elastic IPアドレス (EIP) に関連付けられた内部対応のSLBインスタンスまたは新しいインターネット対応のSLBインスタンスをWAFに追加できます。

    WAFに追加するレイヤ7インターネット接続SLBインスタンスのポートのSSL証明書は、証明書管理サービスにアップロードされません。

    透過プロキシモードでレイヤー7インターネット接続SLBインスタンスをWAFに追加する場合、HTTPSポートのSSL証明書を証明書管理サービスにアップロードする必要があります。 HTTPSポートのSSL証明書を証明書管理サービスにアップロードしない場合、証明書をWAFに同期できず、インスタンスをWAFに追加できません。

    レイヤ7インターネット接続SLBインスタンスのHTTPSポートの証明書を証明書管理サービスにアップロードします。

    インターネット接続SLBインスタンスのリスナーポートに対して相互認証が有効になっています。

    HTTPS相互認証が有効になっているインターネット接続SLBインスタンスをWAFに追加することはできません。

    SLBコンソールで相互認証を無効にし、WAFコンソールでインスタンスをWAFに追加します。

    インターネット接続のSLBインスタンスは新しいインスタンスです。

    データの遅延のため、[ドメイン名の追加] ページの [レイヤー7 SLBベースのドメイン] タブで新しいSLBインスタンスが見つからない場合があります。

    SLBインスタンスを購入した後、1分から3分待ってからWAFコンソールを更新してから、インスタンスを透過プロキシモードでWAFに追加することを推奨します。

    WAFの現在のエディションは、指定するSLBインスタンスポートをサポートしていません。

    サブスクリプションWAFインスタンスの次のエディションは、透過プロキシモードをサポートしています: Pro Edition、Business Edition、およびEnterprise Edition。 指定したポートがWAFでサポートされていない場合、[ドメイン名の追加] ページの [レイヤー7 SLBベースのドメイン] タブでポートを指定すると、設定を保存できません。

    現在のWAFエディションでサポートされているポートを指定します。

    説明

    透過プロキシモードでは、指定できるポートはWAFインスタンスのエディションによって異なります。 Enterprise editionのWAFインスタンスでは、非標準ポートを指定できます。 他のエディションのWAFでサポートされているポートを表示するには、[レイヤー7 SLBベースのドメイン] タブで [許可されたポート範囲の表示] をクリックします。

    透過プロキシモードでWAFに追加されたECSインスタンスのゾーンが変更されました。

    移行タスクが作成され、透過プロキシモードでWAFに追加されたECSインスタンスのゾーンが変更された場合、トラフィックのリダイレクトは有効になりません。

    WAFコンソールでトラフィックのリダイレクトを再度有効にします。 詳細については、「透過プロキシモード」トピックの「ステップ2: トラフィックのリダイレクトポートの表示と管理」セクションを参照してください。

    透過プロキシモードでEIPに関連付けられている内部対応のSLBインスタンスをWAFに追加できますか。

    はい。透過プロキシモードで、EIPに関連付けられている内部対応のSLBインスタンスをWAFに追加できます。