Webアプリケーションファイアウォール (WAF) を使用してwebサービスを保護する前に、WebサイトをWAFに追加する必要があります。 このトピックでは、WebサイトをWAFに追加する方法について説明します。
接続モード
ビジネス要件に基づいて、CNAMEレコードモードまたは透過プロキシモードでWebサイトをWAFに追加できます。 デフォルトでは、HTTP 1.0、HTTP 1.1、およびHTTP/2がサポートされています。
WebサイトがHTTP/2をサポートしている場合は、HTTP2を選択してHTTP/2保護を有効にします。
比較項目 | CNAMEレコードモード | 透明プロキシモード |
概要 | CNAMEレコードモードでは、保護するWebサイトのドメイン名をWAFに追加し、Webサイトのドメイン名のDNS (domain name System) レコードを更新する必要があります。 | 透過プロキシモードでは、配信元サーバーがデプロイされているクラウドサービスインスタンスをWAFに追加する必要があります。 Webサイトのドメイン名のDNSレコードを更新する必要はありません。 |
サポートされているオリジンサーバー | Alibaba Cloudの内外にデプロイされたオリジンサーバー。 | Elastic Compute Service (ECS) インスタンスまたはインターネット接続のServer Load Balancer (SLB) インスタンスにデプロイされたオリジンサーバー。 |
追加できるドメイン名の数 | 毎回1つのドメイン名。 | インスタンス内のすべてのドメイン名。 |
back-to-origin設定を構成する必要があるかどうか | 可 | 任意 |
DNSレコードを更新する必要があるかどうか | 可 | 任意 |
オリジンサーバーの保護を設定する必要があるかどうか | 可 | 任意 |
制限事項 | なし |
透過プロキシモードの制限の詳細については、「透過プロキシモード」をご参照ください。 |
CNAMEレコードモード
に移動します。Go to theドメイン名の追加WAFコンソールのページ。
保護するWebサイトのドメイン名をWAFに追加し、back-to-origin設定を構成します。
パラメーター
説明
ドメイン名
保護するWebサイトのドメイン名を入力します。
保護リソース
使用する保護リソースのタイプを選択します。
プロトコルタイプ
Webサイトでサポートされているプロトコルを選択します。 プロトコルタイプパラメーターをHTTPSに設定した場合、[オリジンSNIの有効化] を選択できます。 [詳細設定] をクリックし、[HTTPSルーティングの有効化] および [HTTPの有効化] を選択することもできます。
宛先サーバーポート
[プロトコルタイプ] パラメーターの値に基づいてポートを指定します。 ポートは、サービスを提供するためにオリジンサーバーによって使用されます。
重要オリジンサーバーがHTTPポート80とHTTPSポート443以外のポートを使用している場合は、ポートを指定して、ポートがWAFでサポートされているポート範囲内にあるかどうかを確認できます。 詳細については、「WAFでサポートされているポートの表示」をご参照ください。
宛先サーバー (IPアドレス)
配信元サーバーアドレスのタイプを指定します。 有効な値:
IP: オリジンサーバーがデプロイされているSLBまたはECSインスタンスのパブリックIPアドレス、またはAlibaba CloudにデプロイされていないオリジンサーバーのIPアドレスを入力します。
ドメイン名 (CNAMEなど): オリジンサーバーのドメイン名を入力します。 配信元サーバーのドメイン名は、WAFに追加されたWebサイトのドメイン名と同じにすることはできません。 IPv4 アドレスのみがサポートされています。
負荷分散アルゴリズム
配信元サーバーに複数のアドレスを入力する場合は、ビジネス要件に基づいてこのパラメーターを設定します。
WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか
Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。
トラフィックマークの有効化
トラフィックマーキング機能を有効にするかどうかを指定します。
リソースグループ
部門別またはプロジェクト別にクラウドリソースを管理する場合は、[リソースグループ] ドロップダウンリストからドメイン名を追加するリソースグループを選択します。
詳細については、「WAFへのドメイン名の追加」をご参照ください。
設定が有効かどうかを確認します。 Webサイトの転送設定が有効になる前にDNSレコードを更新すると、サービスの中断が発生する可能性があります。 詳細については、「ドメイン名設定の確認」をご参照ください。
DNSレコードを更新します。 Webサイト宛てのリクエストをWAFにリダイレクトするには、DNSレコードを手動で更新する必要があります。
次の例は、Alibaba Cloud DNSでDNSレコードを更新する方法を示しています。
WAFインスタンスのCNAMEまたはIPアドレスを取得します。 詳細については、「WAFによってドメイン名に割り当てられたCNAMEの取得」をご参照ください。
Alibaba Cloud DNSコンソールの [ドメイン名の解決] ページで、設定を変更するドメイン名を見つけ、[操作] 列の [DNS設定] をクリックします。 CNAMEレコードを変更して、ドメイン名をWAFによって提供されるCNAMEにマップします。
詳細については、「DNSレコードの変更」をご参照ください。
WebサイトがWAFによって保護されているかどうかを確認します。 詳細については、「ステップ6」をご参照ください。
上記の操作を実行すると、WebサイトはWAFによって保護されます。 WAFインスタンスの保護機能を強化するには、次の操作を実行することを推奨します。
HTTPS証明書のアップロード
WebサイトでHTTPSを使用している場合、WAFコンソールで有効なHTTPS証明書をアップロードして、WAFが期待どおりにHTTPSリクエストを処理するようにする必要があります。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
WAFのback-to-origin CIDRブロックからのアクセスを許可する
WAFは、特定のback-to-origin CIDRブロックを使用して、通常のトラフィックをオリジンサーバーに転送します。 このようにして、オリジンサーバーはWAFのback-to-origin CIDRブロックからリクエストを受信し、リクエストは高いレートで送信されます。 この場合、オリジンサーバーでホストされているセキュリティソフトウェアは、back-to-origin CIDRブロックを攻撃IPアドレスと見なしてブロックすることがあります。 そのため、back-to-origin CIDRブロックをセキュリティソフトウェアのIPアドレスホワイトリストに追加する必要があります。 詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。
オリジンサーバーの保護を構成する
セキュリティ上の理由から、オリジンサーバーのアクセス制御ポリシーを構成して、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックのみを許可することを推奨します。 これにより、攻撃者はWAFをバイパスしてオリジンサーバーを攻撃することはできません。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。
カスタムTLS設定の構成
WAFに追加したWebサイトがHTTPSを使用してデータを送信する場合、Webサイトのドメイン名のカスタムTLS設定と暗号スイートを構成できます。 詳細については、「カスタムTLS設定の設定」をご参照ください。
透明プロキシモード
On theドメイン名の追加WAFコンソールのページで、アクセスモードパラメーターを透明プロキシモード.
ドメイン名を追加します。
パラメーター
説明
ドメイン名
保護のためにWAFに追加するWebサイトのドメイン名を入力します。
宛先サーバーポート
インスタンスタイプとインスタンスのポートを選択します。 透過プロキシモードでWAFに追加できるインスタンスは、ALBインスタンス、レイヤー7 CLBインスタンス、レイヤー4 CLBインスタンス、ECSインスタンスです。
WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか
Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。
トラフィックマークの有効化
トラフィックマーキング機能を有効にするかどうかを指定します。
リソースグループ
部門別またはプロジェクト別にクラウドリソースを管理する場合は、[リソースグループ] ドロップダウンリストからドメイン名を追加するリソースグループを選択します。
詳細については、「透過プロキシモード」をご参照ください。
WebサイトがWAFによって保護されているかどうかを確認します。 詳細については、「ステップ6」をご参照ください。
WAFへのクラウドサービスの追加
Webサイトのセキュリティを向上させるために、Anti-DDoS ProxyやAlibaba Cloud CDNなどの他のAlibaba Cloudセキュリティサービスと一緒にWAFを使用できます。
Anti-DDoS ProxyとWAFを使用してwebサイトサービスを保護する: webアプリケーション攻撃とDDoS攻撃からwebサイトを保護するために、Anti-DDoS ProxyとWAFを順番にデプロイできます。
CDNと一緒にWAFを使用する: Alibaba Cloud CDNとWAFを順番にデプロイして、webアプリケーション攻撃からwebサイトを保護し、webサイトへのアクセスを高速化できます。
次のステップ
WebサイトがWAFに追加されると、WAFはWebサイト宛てのリクエストをフィルタリングし、通常のリクエストを配信元サーバーに転送します。 WAFは、さまざまな種類の攻撃からWebサイトを保護する複数の機能を提供します。 デフォルトでは、保護ルールエンジンとHTTPフラッド保護機能のみが有効になっています。 保護ルールエンジン機能は、SQLインジェクション攻撃、クロスサイトスクリプティング (XSS) 攻撃、webshellアップロードなどの一般的なweb攻撃からwebサイトを保護します。 HTTPフラッド保護機能は、HTTPフラッド攻撃からWebサイトを保護します。 他の機能を使用するには、手動で機能を有効にし、保護ルールを設定する必要があります。 詳細については、「保護設定の概要」をご参照ください。