web攻撃のリスクがあるドメイン名に対してコンテンツ配信ネットワーク (CDN) を有効にした場合、Webサービスを保護するために、Alibaba Cloud CDNなどのCDNサービスと一緒にwebアプリケーションファイアウォール (WAF) を使用することを推奨します。 このトピックでは、WAFをAlibaba Cloud CDNと併用してwebサービスを保護する方法について説明します。
ネットワークアーキテクチャ
WAFおよびCDNは、CDN、WAF、および配信元サーバーの順序でデプロイできます。 CDNは、コンテンツ配信を高速化するためにingressレイヤーにデプロイされます。 WAFは、アプリケーションを保護するために中間層にデプロイされます。 オリジンサーバーは、Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、仮想プライベートクラウド (VPC) 、またはデータセンターにデプロイできます。 その後、トラフィックはCDNによって高速化され、WAFによってフィルタリングされます。 通常のサービストラフィックのみがオリジンサーバーに転送されます。 これにより、サービスとデータのセキュリティが確保されます。
前提条件
Alibaba Cloud CDNが有効になっており、ドメイン名がAlibaba Cloud CDNに追加されています。 詳細については、「Alibaba Cloud CDNの使用開始方法」をご参照ください。
WAFインスタンスが購入されました。
ステップ1: WAFにドメイン名を追加する
WAFコンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 リージョンは、中国本土または中国本土以外です。
左側のナビゲーションウィンドウで、.
On theドメイン名タブをクリックします。Webサイトへのアクセス.
ドメイン名を追加します。
CNAMEレコードモード
[ドメイン名の追加] ページで、[アクセスモード] パラメーターはデフォルトで [CNAMEレコード] に設定されています。 CNAMEレコードモードでAccess Modeパラメーターの値を変更する必要はありません。
[ウェブサイト情報の入力] ステップで、パラメーターを設定し、[次へ] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
パラメーター
説明
ドメイン名
保護するWebサイトのドメイン名を入力します。
保護リソース
使用する保護リソースのタイプを選択します。
プロトコルタイプ
Webサイトでサポートされているプロトコルのタイプを選択します。
配信元サーバーアドレス
IP: オリジンサーバーがデプロイされているSLBまたはECSインスタンスのパブリックIPアドレス、またはAlibaba CloudにデプロイされていないオリジンサーバーのIPアドレスを入力します。
宛先サーバーポート
[プロトコルタイプ] パラメーターの値に基づいてポートを指定します。 ポートは、サービスを提供するためにオリジンサーバーによって使用されます。
負荷分散アルゴリズム
配信元サーバーの複数のアドレスを入力する場合は、ビジネス要件に基づいてこのパラメーターを設定します。
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
このパラメーターをYesに設定します。
トラフィックマークの有効化
WAFのトラフィックマーキング機能を有効にするかどうかを指定します。
リソースグループ
部門別またはプロジェクト別にクラウドリソースを管理する場合は、リソースグループドロップダウンリストからドメイン名を追加するリソースグループを選択します。
Webサイトアクセスページの [ドメイン名] タブで、WAFに追加したドメイン名を見つけ、WAFによって割り当てられたCNAMEをドメイン名にコピーします。
透明プロキシモード
[ドメイン名の追加] ページで、[アクセスモード] パラメーターを [透過プロキシモード] に設定します。
[ドメイン名の追加] ステップで、パラメーターを設定し、[次へ] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
パラメーター
説明
ドメイン名
保護するWebサイトのドメイン名を入力します。
SLBベースのドメイン、レイヤー7 SLBベースのドメイン、レイヤー4 SLBベースのドメイン、およびECSベースのドメイン
保護するインスタンスのタイプと対応するポートを選択します。
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
このパラメーターをYesに設定します。
トラフィックマークの有効化
WAFのトラフィックマーキング機能を有効にするかどうかを指定します。
リソースグループ
部門別またはプロジェクト別にクラウドリソースを管理する場合は、リソースグループドロップダウンリストからドメイン名を追加するリソースグループを選択します。
[追加情報の確認と確認] ステップで、情報を確認し、[次へ] をクリックします。
[完了] をクリックします。 Webサイトのリストに戻ります。 Webサイトアクセスページの [ドメイン名] タブに戻ります。 [サーバー] タブで、[リソースインスタンスID] ドロップダウンリストから [リソースインスタンスID] を選択し、インスタンスのIDを入力して、WAFに追加したインスタンスのIPアドレスとポートを検索します。
手順2: Alibaba Cloud CDNに追加されたドメイン名のWAF保護を有効にする
にログインします。
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
WAF保護を有効にするドメイン名を見つけて、[操作] 列の [管理] をクリックします。
表示されるページの左側のナビゲーションウィンドウで、[基本] をクリックします。 [オリジン情報] セクションで、[オリジンサーバーの追加] をクリックします。 [オリジンサーバーの追加] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
パラメーター
説明
オリジン情報
優先度
配信元サーバーの優先度を指定します。 プライマリオリジンサーバーは、セカンダリオリジンサーバーよりも優先度が高くなります。
重量
オリジンサーバーの重みを指定します。 複数の配信元サーバーの優先度が同じ場合、Alibaba Cloud CDNは重みに基づいて配信元サーバーにリクエストを転送します。
ポート
リクエストを処理するオリジンサーバーのポートを指定します。
[ドメイン名] ページの左側のナビゲーションウィンドウで、[Back-to-origin] をクリックします。 [設定] タブで、[デフォルトのオリジンホスト] が無効になっていることを確認します。
ドメインネームシステム (DNS) レコードを変更して、ドメイン名をAlibaba Cloud CDNによって割り当てられたCNAMEにマッピングします。 詳細については、「ドメイン名のCNAMEレコードの追加」をご参照ください。
設定が完了すると、トラフィックはAlibaba Cloud CDNを通過します。 WAFは引き続き動的コンテンツの検出と保護を行います。
ドメイン名Bに送信されたトラフィックを、WAFに追加されたドメイン名Aに転送する場合は、Alibaba Cloud DNSコンソールにログインし、ドメイン名Bに送信されたリクエストをドメイン名aに転送するURL転送レコードを追加します。詳細については、「DNSレコードの追加」トピックの「明示的または暗黙的なURL転送レコードの追加」セクションをご参照ください。
上記の設定を完了したら、次の操作を実行して、ドメイン名がWAFによって保護されているかどうかを確認できます。
ブラウザにドメイン名を入力します。 Webサイトにアクセスできる場合、ドメイン名はWAFによって保護されます。
ドメイン名と
<Protected domain name>/alert(xss)やalert(xss)などの悪意のあるコードを入力します。 405エラーページが表示された場合、攻撃はブロックされ、ドメイン名はWAFによって保護されます。
その他の操作
Dynamic Route for CDN (DCDN) が有効になっているドメイン名に対してWAF保護を有効にする場合は、WAFの
DCDNコンソール 次に、WAFを使用して、DCDNノード上のwebサービスを保護できます。 詳細については、「WAFの使用を開始する (new edition) 」をご参照ください。
参考資料
WAFにドメイン名を追加: CNAMEレコードモードでWAFにドメイン名を追加します。
透過プロキシモード: 透過プロキシモードでドメイン名をWAFに追加します。
ドメイン名の追加: Alibaba Cloud CDNにドメイン名を追加します。
