WAF を使用して ECS インスタンスを HTTP フラッド攻撃から保護 - Web Application Firewall

Web Application Firewall (WAF) は、悪意のあるトラフィック、DDoS 攻撃、自動化された脅威が Web アプリケーションに到達する前にブロックします。このガイドでは、ご利用の Elastic Compute Service (ECS) インスタンスを WAF にオンボーディングし、HTTP フラッド攻撃保護を設定する方法について説明します。

適用範囲

ECS インスタンスが、パブリック IP アドレス経由でアクセス可能な Web サービスをホストしていること。
ECS インスタンスが、以下のいずれかのリージョンに存在している必要があります：
- 中国リージョン：中国 (成都)、中国 (北京)、中国 (張家口)、中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (青島)、中国 (香港)
- グローバルリージョン：マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、またはシンガポール
ご利用の ECS インスタンスがサポート対象のリージョンにない場合は、CNAME アクセスを使用してください。

ステップ 1：従量課金 WAF インスタンスのアクティブ化

Web Application Firewall 3.0 (従量課金) の購入ページに移動します。

[プロダクトタイプ] を [Web Application Firewall 3.0] に、[Billing Method] を [従量課金] に設定します。その後、以下の設定を構成します。

パラメーター	説明
Region	WAF インスタンスのリージョン。ご利用の ECS インスタンスと同じリージョンに設定します。選択肢：中国本土中国本土以外
Version	デフォルトで従量課金版 3.0 になります。設定は不要です。
トラフィック課金保護のしきい値	デフォルト値を維持します。後で変更できます。
Service-Linked Role	WAF がトラフィックのアクセス制御やモニタリング分析などのサービスを提供するには、お客様のクラウドサービスリソースへのアクセスが必要です。Create Service-Linked Role をクリックします。システムは自動的に AliyunServiceRoleForWaf ロールを作成します。このロールは手動で変更しないでください。

今すぐ購入 をクリックして、支払いを完了してください。

ステップ 2：ECS インスタンスの WAF へのオンボーディング

Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーで、リソースグループとリージョン (中国本土 または 中国本土以外) を選択します。左側のナビゲーションウィンドウで、アクセス管理 をクリックします。次に、クラウドプロダクトアクセス タブを選択します。クラウドプロダクトタイプリストから、Elastic Compute Service (ECS) を選択します。
目的の ECS インスタンスを探し、操作列の 今すぐアクセスする をクリックします。インスタンスがリストにない場合は、右上の 資産の同期 をクリックします。

Web サイトのプロトコルとポートを設定します：

インスタンスとポートの選択 セクションで、操作列の ポートの追加 をクリックします。

ポートの追加 ダイアログボックスで、ポートとプロトコルを設定します。

Web サイトタイプ	プロトコル	ポート	追加設定
HTTP (`http://yourdomain.com`)	HTTP	80	なし
HTTPS (`https://yourdomain.com`)	HTTPS	443	SSL 証明書のアップロードまたは既存の証明書の選択
カスタムポート (`http://yourdomain.com:8080`)	HTTP/HTTPS	カスタムポート	実際の設定に合わせてください

SSL 証明書のアップロードまたは既存の証明書の選択

Port フィールドに、ウェブサイトが使用するポート番号を入力します。
プロトコルタイプ セクションで、HTTPS を選択します。
HTTP2、TLS バージョン、暗号スイート、および 拡張証明書 は、デフォルト設定のままにします。
［デフォルト証明書］セクションで、証明書をアップロードする方法を選択します。
- 手動アップロード： Alibaba Cloud Certificate Management Service (Original SSL Certificate) の外部で管理されている証明書向けです。
- 既存の証明書を選択：Alibaba Cloud Certificate Management Service (Original SSL Certificate) によって既に発行またはアップロードされている証明書の場合。

手動アップロード

証明書名: 証明書の一意な名前を入力します。この名前は、既存の証明書の名前と同じにすることはできません。
証明書ファイル：テキストエディターで証明書ファイルを開き、証明書の内容を貼り付けます。証明書は PEM、CER、または CRT フォーマットである必要があります。
形式の例：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----
- 形式の変換：証明書が PFX や P7B などの形式である場合は、証明書ツールを使用して PEM 形式に変換してください。
- 証明書チェーン：中間証明書が含まれている場合は、サーバー証明書を最初に貼り付け、その後に中間証明書を貼り付けます。
秘密鍵ファイル: テキストエディターで秘密鍵ファイルを開き、秘密鍵の内容を貼り付けます。秘密鍵は PEM フォーマットである必要があります。
形式の例：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

既存の証明書を選択

証明書のドロップダウンリストから、WAF にアップロードする証明書を選択します。

説明

WAF コンソールに「証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります」というメッセージが表示された場合、証明書チェーンは不完全です。証明書の内容が正しく、完全であることを確認し、Certificate Management Service コンソールで再度アップロードしてください。詳細については、「SSL 証明書をアップロード、同期、共有する」をご参照ください。

その他の設定はデフォルト値のままにし、OK をクリックします。
オンボーディングが完了すると、ECS インスタンスの保護ステータスは [フルプロテクション] に変わります。WAF は、instance ID-port-asset type というフォーマットで保護オブジェクトを自動的に作成します。デフォルトでは、このオブジェクトに対して標準の保護ルール ([Web コア保護] など) が有効になります。このオブジェクトは、保護設定 > 保護対象 ページで表示および管理できます。
基本保護の検証： Web サイトの URL に攻撃文字列 (例：http://yourdomain/alert(xss)) を追加します。WAF 405 ブロックページが表示されれば、保護が有効になっています。

ステップ 3：HTTP フラッド攻撃保護の設定

HTTP フラッド攻撃は、高頻度のリクエストでサーバーを過負荷状態にします。以下の手順で保護ルールを設定します：

左側のナビゲーションウィンドウで、保護設定 > Web コア保護 を選択します。
ページ下部の CC 保護 セクションで、テンプレートの作成 をクリックします。

テンプレートの作成 パネルで、以下の構成を完了します。

パラメーター	説明
テンプレート名	テンプレートの分かりやすい名前を入力します。例：`ECS-HTTP-Flood-Protection`。
デフォルトテンプレート	オフのままにします。
ルールアクション	リクエストがルールにヒットしたときに実行するアクションを選択します。選択肢： Protection: 日常的な保護に適しています。このモードは、異常性の高いリクエストのみをブロックし、誤検知率が低くなっています。 Protection-emergency: 高頻度の HTTP フラッド攻撃によって業務に異常が発生した場合の緊急回復に適しています。HTTP フラッド攻撃を効率的にブロックしますが、誤検知率が高くなる可能性があります。Protection モードが失敗し、Web サイトの応答の遅延、トラフィックの急増、または CPU やメモリ使用量の異常が確認された場合に、このモードを有効にします。説明 [Protection-emergency] モードは、ウェブページまたは H5 ページ向けです。API やネイティブアプリサービスには適用されません。
有効対象	選択待ちの対象セクションで、ECS インスタンスに対応する保護対象オブジェクトを選択し、アイコンをクリックして右側の選択済みセクションに移動します。

OK をクリックします。

ステップ 4：攻撃トラフィックの監視

構成を完了したら、左側のナビゲーションウィンドウから概要ページに移動します。このページでは、ビジネスセキュリティ分析のために Protection Overview や Top 10 Attacks などの情報を表示できます。

次のステップ：

WAF の継続利用 (推奨)：高度な最適化に進みます。
WAF の利用停止：リソースの解放に進み、課金を停止します。

高度な最適化：保護の強化とコスト管理

このガイドで提供された設定に基づき、WAF を継続して使用する場合は、特定のビジネス特性に合わせて設定をさらに調整できます。これにより、セキュリティ体制の強化とコスト削減を実現できます。

複数モジュールによる連携保護：このトピックでは、HTTP フラッド攻撃保護モジュールを有効にする方法について説明しました。これを以下の保護モジュールと組み合わせて連携防御を行うことができます。
- カスタムルール：柔軟な一致条件とルールアクションを使用して、特定の攻撃パターンに対して精密な保護を行います。例えば、アクセスを制限するための頻度制御ルールを設定できます。
- ホワイトリスト：信頼できる IP アドレスからのリクエストなど、指定された基準を満たすリクエストを許可します。
- IP ブラックリスト：既知の悪意のある IP アドレスからのアクセスをブロックします。
- 地域ブロック：ワンクリックで特定の地理的リージョンからのリクエストをブロックします。例えば、ビジネスが中国本土のユーザーのみを対象としており、他の国からの攻撃が多く検出された場合にこの機能を有効にできます。
高度なオンボーディング設定：WAF はリソースにアクセスするための複数の方法を提供します。必要に応じて方法を選択してください。
- クラウドネイティブモードでの ECS インスタンスのオンボーディング：クラウド製品インスタンスを迅速に追加します。TLS バージョン、暗号スイート、または複数の証明書を設定するには、「セキュリティ保護の強化 (HTTPS)」をご参照ください。CDN などの WAF の前にあるレイヤー 7 プロキシ設定やトラフィックタギングを設定するには、「実際のクライアント情報の取得」をご参照ください。
- CNAME アクセス：ドメイン名を使用してリソースを追加します。この方法はより広く適用可能で、制限が少なく、より多くの機能をサポートします。
コスト最適化の提案：
- トラフィック課金保護：大規模な攻撃中の QPS 急増による高コストを防ぐために、トラフィック課金保護のしきい値を設定して、WAF が処理できるピーク QPS を制限します。
- SeCU リソースプラン：従量課金 WAF のための費用対効果の高いソリューションです。従量課金 WAF インスタンスをアクティブ化した後、SeCU リソースプランを購入して、従量課金 WAF の合計料金を相殺できます。
- サブスクリプション WAF：WAF を長期間使用する予定の場合は、より良い単価でサブスクリプション WAF インスタンスを購入してください。

リソースを解放して課金を停止

このクイックスタートを完了した後、WAF インスタンスが不要になった場合は、以下の手順に従って WAF を無効にし、課金を停止してください。

警告

課金に関する注意：従量課金 WAF は、リクエスト処理と機能 (WAF インスタンス自体を含む) に対して課金されます。WAF をアクティブ化すると、リソースを追加したかどうかに関わらず料金が発生します。WAF を使用する必要がなくなった場合は、追加料金が発生しないように、できるだけ早く WAF インスタンスを無効にしてください。
CNAME アクセスに関する注意：このトピックで説明されているクラウドネイティブモードのみを使用した場合は、この注意を無視してください。CNAME アクセスを設定している場合は、WAF インスタンスを終了する前に、関連する Web サイトドメイン名の DNS レコードがオリジンサーバーに切り替えられていることを確認してください。

左側のナビゲーションウィンドウで、概要ページに移動します。上部のメニューバーで、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
以下のページが表示される場合は、右上隅のコンソールへのアクセスをクリックします。このページが表示されない場合は、このステップをスキップします。
ページの右側のセクションで、[WAF サービスの終了] をクリックします。表示されるダイアログボックスで、該当するチェックボックスを選択し、OK をクリックします。