すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:Anti-DDoS ProまたはAnti-DDoS PremiumおよびWAFを使用してWebサイトサービスを保護する

    ドキュメントセンター

    Web Application Firewall:Anti-DDoS ProまたはAnti-DDoS PremiumおよびWAFを使用してWebサイトサービスを保護する

    最終更新日:May 24, 2024

    webサイトサービスがボリューム攻撃や高度なwebアプリケーション攻撃に遭遇した場合、webサイトサービスを保護するには単一のネットワークセキュリティサービスでは不十分です。 Webサイトを保護するために、Anti-DDoS ProまたはAnti-DDoS PremiumおよびWeb Application Firewall (WAF) にWebサイトサービスを追加することを推奨します。 このトピックでは、WebサイトサービスをAnti-DDoS ProまたはAnti-DDoS PremiumおよびWAFに追加する方法について説明します。

    前提条件

    背景情報

    WebサイトサービスにAnti-DDoS ProまたはAnti-DDoS PremiumおよびWAFを設定するには、次のネットワークアーキテクチャを適用します。 中間層でWAFを使用して、webアプリケーション攻撃から防御します。 Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、仮想プライベートクラウド (VPC) 、またはデータセンター内のサーバーをオリジンサーバーとして設定します。 このように、トラフィックはAnti-DDoS ProまたはAnti-DDoS Premiumによってスクラブされ、WAFによってフィルタリングされます。 サービスとデータのセキュリティを確保するため、通常のサービストラフィックのみがオリジンサーバーに転送されます。 次の図は、トラフィックの転送方法を示しています。

    image
    説明

    上記のアーキテクチャを適用すると、リクエストはオリジンサーバーに到達する前に複数の中間プロキシサーバーに送信されます。 オリジンサーバーは、リクエストの発信IPアドレスを直接取得できません。 送信元IPアドレスの取得方法については、「リクエストの送信元IPアドレスの取得」をご参照ください。

    ステップ1: WebサイトサービスをWAFに追加する

    1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。中国本土または中国本土以外を選択します。

    2. 上部のナビゲーションバーで、リソースグループとWAFインスタンスがデプロイされているリージョンを選択します。 [中国本土] または [中国本土以外] を選択できます。

    3. 左側のナビゲーションウィンドウで、資産センター > Webサイトへのアクセス.

    4. On theドメイン名タブをクリックします。Webサイトへのアクセス.

    5. ドメイン名を追加します。

      • アクセスモード: CNAMEレコードモード

        説明

        デフォルトでは、[ドメイン名の追加] ページで [アクセスモード] パラメーターが [CNAMEレコード] に設定されます。 CNAMEレコードモードでは、Access modeパラメーターの値を変更する必要はありません。

        1. [Webサイト情報の入力] ステップで、ビジネス要件に基づいて次のパラメーターを設定します。

          • ドメイン名: 保護するWebサイトのドメイン名を入力します。

          • 保護リソース: 使用する保護リソースの種類を選択します。

          • プロトコルタイプ: 保護するWebサイトでサポートされているプロトコルを選択します。

          • 宛先サーバー (IPアドレス): [IP] を選択し、オリジンサーバーがデプロイされているSLBインスタンスまたはECSインスタンスのパブリックIPアドレス、またはAlibaba CloudにデプロイされていないオリジンサーバーのIPアドレスを入力します。

          • 宛先サーバーポート: プロトコルタイプパラメーターの値に基づいてポートを指定します。 ポートは、サービスを提供するためにオリジンサーバーによって使用されます。

          • 負荷分散アルゴリズム: ビジネス要件に基づいて負荷分散アルゴリズムを選択します。 宛先サーバー (IPアドレス) パラメーターに複数のIPアドレスを指定した場合、選択したアルゴリズムがトラフィックの分散に使用されます。

          • WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか: [はい] を選択します。

          • トラフィックマークの有効化: ビジネス要件に基づいてWAFトラフィックマーキング機能を有効にするかどうかを指定します。

          • リソースグループ: 部門またはプロジェクトごとにクラウドリソースを管理する場合は、リソースグループドロップダウンリストからドメイン名が属するリソースグループを選択します。

        2. [次へ] をクリックします。

        3. [ドメイン名] タブで、追加したドメイン名を見つけ、WAFによって割り当てられたCNAME[ドメイン名 /CNAME] 列のドメイン名にコピーします。 WAF侧CNAME_cn

      • アクセスモード: 透明プロキシモード

        1. [ドメイン名の追加] ページで、[アクセスモード] パラメーターを [透過プロキシモード] に設定します。

        2. [ドメイン名の追加] ステップで、ビジネス要件に基づいて次のパラメーターを設定します。

          • ドメイン名: 保護するWebサイトのドメイン名を入力します。

          • SLBベースのドメインレイヤー7 SLBベースのドメインレイヤー4 SLBベースのドメイン、またはECSベースのドメイン: 必要なタブで保護するインスタンスを見つけ、インスタンスに対応するポートを選択します。

          • WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか: [はい] を選択します。

          • トラフィックマークの有効化: ビジネス要件に基づいてWAFトラフィックマーキング機能を有効にするかどうかを指定します。

          • リソースグループ: 部門またはプロジェクトごとにクラウドリソースを管理する場合は、リソースグループのドロップダウンリストからドメイン名を追加するリソースグループを選択します。

        3. [次へ] をクリックします。

        4. [追加情報の確認と確認] ステップで情報を確認し、[次へ] をクリックします。

        5. [完了] をクリックします。 Webサイトリストに戻ります。

    ステップ2: WebサイトサービスをAnti-DDoS ProまたはAnti-DDoS Premiumに追加する

    1. Anti-DDoS Proxyコンソールにログインします。

    2. 上部のナビゲーションバーで、インスタンスのリージョンを選択します。

      • Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。

      • Anti-DDoSプロキシ (中国本土以外): インスタンスがAnti-DDoSプロキシ (中国本土以外) の場合は、[中国本土以外] を選択します。

    3. 左側のナビゲーションウィンドウで、プロビジョニング > ウェブサイト構成 を選択します。

    4. On theウェブサイトの設定ページをクリックします。ドメインの追加.

    5. でステップを完了します。ドメインの追加ウィザードを実行します。

      1. [サイト情報の入力] ステップで、ビジネス要件に基づいて次のパラメーターを設定します。

        • 関数プラン: 使用するインスタンスの関数プランを選択します。

        • インスタンス: 使用するインスタンスを選択します。

        • ドメイン: 保護するWebサイトのドメイン名を入力します。

        • プロトコル: 保護するWebサイトでサポートされているプロトコルを選択します。

        • OCSPの有効化: オンライン証明書ステータスプロトコル (OCSP) 機能を有効化するかどうかを指定します。

        • サーバーIP:

          • CNAMEレコードモードでドメイン名をWAFに追加する場合は、[オリジンサーバードメイン] を選択し、ステップ1で取得したCNAMEを入力します。

          • 透過プロキシモードでドメイン名をWAFに追加する場合は、[オリジンサーバーIP] を選択し、オリジンサーバーのパブリックIPアドレスを入力します。

        • サーバーポート: Protocolパラメーターの値に基づいてポートを指定します。 ポートは、サービスを提供するためにオリジンサーバーによって使用されます。

        • Cname Reuse: ビジネス要件に基づいてCNAMEの再利用を有効にするかどうかを指定します。 複数のWebサイトサービスが同じ配信元サーバーにデプロイされている場合は、Cname Reuseをオンにして、Webサイトサービスのドメイン名をAnti-DDoS ProまたはAnti-DDoS Premiumによって割り当てられたCNAMEにマッピングできます。

      2. [追加] をクリックします。

      3. [Webサイトの設定] ページで、追加したドメイン名を見つけ、Anti-DDoS ProまたはAnti-DDoS Premiumによって割り当てられたCNAME[ドメイン] 列のドメイン名にコピーします。 复制高防CNAME

    ステップ3: ドメイン名のDNSレコードを変更する

    ドメイン名がホストされている場合

    Alibaba Cloud DNS で、以下の手順を実行してDNSレコードを変更し、ステップ2で取得したCNAMEにドメイン名をマッピングします。 サードパーティのDNSサービスを使用している場合は、DNSプロバイダーのシステムにログインしてDNSレコードを変更します。 次の例は参照のためだけです。

    1. にログインします。Alibaba Cloud DNSコンソール.

    2. [DNSの管理] ページで、DNSレコードを変更するドメイン名を見つけ、[操作] 列の [設定] をクリックして [DNS設定] ページに移動します。

    3. On theDNS設定ページで、変更するDNSレコードを見つけて、編集で、アクション列を作成します。

      説明

      変更するDNSレコードがリストにない場合は、[レコードの追加] をクリックしてレコードを追加します。

    4. [レコードの編集] (または [レコードの追加]) パネルで、TypeパラメーターにCNAME- Canonical nameを選択し、Valueパラメーターをステップ2で取得したCNAMEに設定します。

    5. クリックOK設定が有効になるのを待ちます。

    6. ブラウザからWebサイトにアクセスできるかどうかを確認します。

    参考資料

    • WAFにドメイン名を追加する: このトピックでは、CNAMEレコードモードでWAFにドメイン名を追加する方法について説明します。

    • 透過プロキシモード: このトピックでは、透過プロキシモードでドメイン名をWAFに追加する方法について説明します。

    • 1つ以上のWebサイトの追加: このトピックでは、ドメイン名をAnti-DDoS ProまたはAnti-DDoS Premiumに追加する方法と、複数のドメイン名の設定をAnti-DDoS ProまたはAnti-DDoS Premiumに同時にインポートする方法について説明します。

    • DNSレコードを変更してWebサイトサービスを保護する: このトピックでは、Anti-DDoS ProまたはAnti-DDoS Premiumでドメイン名のDNSレコードを手動で変更して、ドメイン名のWebサイトサービスを保護する方法について説明します。