WAF 3.0の使用を開始する - Web Application Firewall - Alibaba Cloud ドキュメントセンター

Web Application Firewall (WAF) は、悪意のあるwebトラフィックを識別し、通常のトラフィックを配信元サーバーに転送します。これにより、オリジンサーバーが攻撃から保護され、データセキュリティが確保されます。このトピックでは、WAF 3.0を使用してwebサービスを保護する方法について説明します。

背景情報

次のトピックは、WAF 3.0に慣れるのに役立ちます。

手順1: WAF 3.0インスタンスの購入

WAF 3.0コンソールにログインします。 [Webアプリケーションファイアウォール (WAF) へようこそ] ページで、[WAFサブスクリプションの購入] または [従量課金エディションの有効化] をクリックします。
Webアプリケーションファイアウォール3.0 (サブスクリプション) またはWebアプリケーションファイアウォール (従量課金) の購入ページで、ビジネス要件に基づいて仕様を選択し、支払いを完了します。
- サブスクリプションWAF 3.0インスタンスの購入方法の詳細については、「WAF 3.0基本インスタンスの購入」および「WAF 3.0 Pro、Enterprise、またはUltimateインスタンスの購入」をご参照ください。
- 従量課金WAF 3.0インスタンスの購入方法の詳細については、「従量課金WAF 3.0インスタンスの購入」をご参照ください。
WAF 3.0インスタンスを購入した後、[コンソール] をクリックしてWAF 3.0コンソールに戻ります。

手順2: webサービスの追加WAF 3.0

次の図に示す手順に基づいて、webサービスをWAF 3.0に追加するアクセスモードを選択できます。

クラウドネイティブモード

異なるアクセスモードは、異なる保護機能をサポートする。ビジネス要件に基づいてアクセスモードを選択できます。詳細については、「アクセスモードと保護機能」をご参照ください。

クラウドサービス	関連ドキュメント
Application Load Balancer (ALB)	ALBインスタンスのWAF保護の有効化
マイクロサービスエンジン (MSE)	MSEインスタンスのWAF保護の有効化
Function Compute	Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする
クラシックロードバランサー (CLB)	レイヤー7 CLBインスタンスのWAF保護の有効化レイヤ4 CLBインスタンスのWAFへの追加
Elastic Compute Service (ECS)	ECSインスタンスのWAF保護の有効化

CNAMEレコードモード

WAFにドメイン名を追加します。詳細については、「WAFへのドメイン名の追加」をご参照ください。
転送設定がオンプレミスマシンで有効になるかどうかを確認します。詳細については、「ドメイン名設定の確認」をご参照ください。
ドメイン名がホストされている配信元サーバーがサードパーティのファイアウォールを使用している場合は、WAFのIPアドレスをサードパーティのファイアウォールのIPアドレスホワイトリストに追加します。これにより、WAFによって転送される通常のリクエストがブロックされなくなります。詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。
ドメイン名をWAFのCNAMEまたはIPアドレスに解決するには、ドメイン名のDNSレコードを変更します。詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

ハイブリッドクラウドモード

webサービスがサードパーティのクラウド、プライベートクラウド、またはデータセンターにデプロイされている場合は、ハイブリッドクラウドモードでwebサービスをWAFに追加できます。これにより、webサービスを一元的に管理および保護できます。詳細については、「ハイブリッドクラウドモード」をご参照ください。

手順3: 保護ポリシーの設定

WAFにインスタンスまたはドメイン名を追加すると、WAFは自動的にインスタンスまたはドメイン名を保護オブジェクトとして追加し、オブジェクトの基本保護ルールモジュールの保護ルールを有効にします。デフォルトでは、中ルールと緩いルールが使用され、保護アクションは [ブロック] に設定されます。

特別なセキュリティ要件がない場合は、デフォルト設定を使用できます。保護の詳細は、[セキュリティレポート] ページで確認できます。詳細については、「手順4: セキュリティレポートの表示」をご参照ください。
webサイトがweb攻撃を受けている場合は、[概要] ページと [セキュリティレポート] ページに表示される攻撃の詳細に基づいて保護ポリシーを構成することを推奨します。詳細については、「保護設定の概要」をご参照ください。

手順4: セキュリティレポートの表示

[セキュリティレポート] ページでは、設定した保護ポリシーの保護の詳細を表示し、攻撃の送信元IPアドレスに対して操作を実行できます。

基本保護ルールモジュールのセキュリティレポートを表示したら、[偽陽性を無視] をクリックして攻撃IPアドレスをホワイトリストに追加します。その後、IPアドレスから開始されたリクエストが許可されます。
ボット管理モジュールのセキュリティレポートを表示したら、[ホワイトリストに追加] または [ブラックリストに追加] をクリックして、IPアドレスをホワイトリストまたはブラックリストに追加できます。