このトピックでは、Web Application Firewall (WAF) でサポートされるWebサイト保護機能について説明します。
モジュール | 機能 | 説明 | 有効化メソッド | 参照 |
Webセキュリティ | 保護ルールエンジン | この機能は、組み込みの保護ルールに基づいて、一般的なweb攻撃からwebサイトを保護します。 一般的なweb攻撃には、SQLインジェクション、クロスサイトスクリプティング (XSS) 攻撃、webshells、コマンドインジェクション、バックドア分離、無効なファイルリクエスト、パストラバーサル、一般的な脆弱性の悪用が含まれます。 | ドメイン名を追加すると、この機能はデフォルトで有効になります。 | |
保護ルールグループ | この機能を使用すると、保護ルールを組み合わせてカスタムルールグループを作成し、ビジネス要件に基づいて特定のWebサイトにグループを適用できます。 説明 保護ルールエンジンのみのカスタムルールグループを作成できます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
ウェブサイトの改ざん防止 | この機能は、機密情報を含むwebページなど、特定のwebページをロックするのに役立ちます。 ロックされたwebページが要求されると、WAFでキャッシュされたページが返されます。 これは、ウェブページの改ざんを防止する。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
データ漏洩防止 | この機能は、サーバーからWebサイトに返される異常なページやキーワードなどのコンテンツをフィルタリングし、IDカード番号、銀行カード番号、電話番号、機密単語などの機密情報をマスクします。 WAFは、マスクされた情報またはデフォルトのエラーページを訪問者に返します。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
正のセキュリティモデル | この機能は、Alibaba Cloudの機械学習アルゴリズムを使用して、Webサイトの通常のネットワークトラフィックを自動的に分析します。 次に、収集したデータに基づいてWebサイトに合わせたセキュリティ保護ポリシーを生成します。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
ボット管理 | 許可されたクローラー | この機能は、Google、Bing、Baidu、Sogou、Yandexなどの許可された検索エンジンのホワイトリストを維持します。 これらの検索エンジンのクローラーは、指定されたドメイン名にアクセスできます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | |
ボット脅威インテリジェンス | この機能は、Alibaba Cloudの強力なコンピューティング機能に基づいて、ダイヤラー、オンプレミスのデータセンター、悪意のあるスキャナーの疑わしいIPアドレスに関する情報を提供します。 この機能は、悪意のあるクローラーの動的IPライブラリも維持し、クローラーがWebサイトや特定のディレクトリにアクセスするのを防ぎます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
データリスク管理 | この機能は、登録、ログオン、キャンペーン、フォーラムなどの重要なWebサイトサービスを詐欺から保護します。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
アプリケーション保護 | この機能は、ネイティブアプリケーションに安全な接続とボット保護を提供します。 この機能は、無効な署名を持つプロキシ、エミュレータ、およびリクエストも識別します。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
アクセス制御 /スロットリング | HTTPフラッド保護 | この機能は、HTTPフラッド攻撃に対する防御に役立ち、さまざまなモードで保護ポリシーを提供します。 | ドメイン名を追加すると、この機能はデフォルトで有効になります。 | |
IPアドレスブラックリスト | この機能は、指定したIPアドレス、CIDRブロック、および指定したリージョンのIPアドレスからのアクセス要求をブロックします。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
スキャン保護 | この機能は、特定の特性を持つアクセス要求を自動的にブロックします。 たとえば、リクエストの送信元IPアドレスが短期間に複数のweb攻撃やターゲットディレクトリトラバーサル攻撃を開始した場合、WAFはリクエストを自動的にブロックします。 一般的なスキャンツールまたはAlibaba Cloudの悪意のあるIPライブラリからの送信元IPアドレスもブロックされます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
カスタム保護ポリシー | この機能により、アクセス制御ルールをカスタマイズし、正確な一致条件に基づいてレート制限を設定できます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
保護ラボ | アカウントのセキュリティ | この機能を使用すると、登録やログインに使用されるエンドポイントなど、ユーザー認証関連のインターフェイスを監視したり、ユーザーの資格情報に脅威を与える可能性のあるイベントを検出したりできます。 これらの脅威には、資格情報のスタッフィング、ブルートフォース攻撃、スパム登録、弱いパスワード探知、SMSフラッド攻撃が含まれます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | |
ホワイトリスト | Webサイトのホワイトリスト | ルールを設定すると、ルールに一致するリクエストはすべての保護機能をバイパスし、オリジンサーバーに直接転送されます。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | |
Web侵入防止ホワイトリスト | ルールを設定すると、ルールに一致するリクエストは、保護ルールエンジン機能などの保護機能をバイパスします。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
データセキュリティホワイトリスト | ルールを設定した後、ルールに一致するリクエストは、Webサイトの改ざん防止、データ漏洩防止、アカウントセキュリティなど、指定された保護機能をバイパスします。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
ボット管理ホワイトリスト | ルールを設定した後、ルールに一致するリクエストは、ボット脅威インテリジェンス、データリスク管理、インテリジェントアルゴリズム、アプリケーション保護など、指定された保護機能をバイパスします。 | ドメイン名を追加した後、この機能を有効にする必要があります。 | ||
アクセス制御とスロットリングホワイトリスト | ルールを設定した後、ルールに一致するリクエストは、HTTPフラッド保護、IPアドレスブラックリスト、スキャン保護、カスタム保護ポリシーなどの指定された保護機能をバイパスします。 | ドメイン名を追加した後、この機能を有効にする必要があります。 |
WAF保護の無効化
WAF保護を無効にする場合は、WAF 2.0コンソールでアセットセンター > Webサイトアクセスを選択し、WAF保護をオフにします。
WAF保護を無効にすると、WAFによって保護されていたWebサイトへのトラフィックはWAFの保護エンジンをバイパスし、WAFは監視およびブロックされたリクエストのログ記録を停止します。 WAF保護を一時的に無効にする必要がある緊急テストなどの操作を実行する場合は、WAF 3.0コンソールの [保護されたオブジェクト] ページに移動し、操作の完了後にWAF保護を再度有効にして、監視およびブロックされたリクエストのログを再開することを推奨します。 これにより、資産の潜在的なエクスポージャーを減らすことができます。 WAF保護または特定の機能を無効にしてAPIセキュリティモジュールを設定しても、関連する検出プロセスは停止しません。
従量課金WAFインスタンスを使用し、WAF保護を短期間無効にした場合でも、その期間中は引き続き機能料金と基本リクエスト料金が請求されます。 APIセキュリティモジュールを有効にすると、APIセキュリティモジュールのトラフィック料金も請求されます。 ボット管理、リスク識別、およびカスタムルールの課金は一時停止されます。
WAFに追加されたMicroservices Engine (MSE) およびFunction ComputeのWAF保護の無効化はサポートされていません。 ハイブリッドクラウドにデプロイされているWebサイトのWAF保護を無効にする場合、設定はハイブリッドクラウドのバージョンが特定の条件を満たしている場合にのみ適用されます。 詳細については、ビジネスマネージャーに連絡するか、チケット相談のためにチケットを提出する。 Alibaba Cloudテクニカルサポートにより、特定のバージョン情報が提供されます。