このトピックでは、Web Application Firewall (WAF) のリリースノートについて説明し、関連リファレンスへのリンクを提供します。
2025
リリース日 | 機能 | 説明 | リファレンス |
2025-10-14 | WAF 従量課金版の Secu 電卓をリリース | ユーザーが WAF 従量課金サブスクリプションの予測コストを見積もるのに役立ちます。 | - |
2025-10-10 | AI アプリケーション保護の新機能をリリース |
| |
2025-08-15 | ボット管理の新しい機能 |
| |
2025-05-09 | AI アプリケーション保護モジュール | プロンプトインジェクション攻撃とジェイルブレイク攻撃を検出してブロックします。 サポートされている保護対象:
| 詳細については、「AI アプリケーション保護」をご参照ください。 |
2025-04-09 | WAF コンソールの概要およびセキュリティレポートモジュールの新しいページ | 概要ページとセキュリティレポートページが再構築され、新しい機能とトップ統計関連チャートが追加されました。 |
|
2025-02-25 | Harmony アプリとの SDK 統合 | Anti-Bot SDK は Harmony アプリに統合できます。 これにより、WAF コンソールのボット管理ページで Harmony アプリのアンチクローラールールを構成できます。 | 詳細については、「Anti-Bot SDK を Harmony アプリに統合する」をご参照ください。 |
2024
リリース日 | 機能 | 説明 | リファレンス |
2024-11-07 | コア保護ルール (新バージョン) | エンジン構成とルールライブラリ管理がサポートされています。 これにより、Web サービスをより効率的に保護できます。 | 詳細については、「コア保護ルールモジュールを構成する」をご参照ください。 |
2024-11-06 | トラフィックスパイクスロットリング | Web サービスを保護するために、カスタム保護ルールを作成できます。 2 つのスロットリング方法がサポートされています: QPS とパーセンテージ。 | 詳細については、「トラフィックスパイクスロットリング」をご参照ください。 |
2024-03-27 | 企業レベルの顧客向けの複数アカウント管理 | WAF インスタンスを使用して、複数の Alibaba Cloud アカウント内のクラウドリソースを保護できます。 | 詳細については、「複数アカウント管理機能を使用する」をご参照ください。 |
2024-01-16 | ブロックされたリクエストのクエリ | ブロックされたリクエストクエリページが提供されます。 リクエスト ID を使用してブロッキングの詳細をクエリできます。 | 詳細については、「ブロックされたリクエストをクエリする」をご参照ください。 |
2024-01-15 | ハイブリッドクラウドログ配信のアップグレード | ハイブリッドクラウドログを Kafka プラットフォームに配信できます。 Syslog プラットフォームと Kafka プラットフォームへのログ配信に異なる設定を構成できます。 | 詳細については、「ハイブリッドクラウドログ配信」をご参照ください。 |
2023
リリース日 | 機能 | 説明 | リファレンス |
2023-10-12 | 中国本土以外のインスタンスの API セキュリティ | API セキュリティモジュールは、中国本土以外にデプロイされた WAF 3.0 インスタンスでサポートされています。 | 詳細については、「API セキュリティ」をご参照ください。 |
2023-09-21 | API セキュリティのコンプライアンスチェック、トレース、および監査 | WAF 3.0 の API セキュリティモジュールでは、国境を越えたデータ転送のコンプライアンスチェックと、機密データのトレースと監査がサポートされています。 | 詳細については、「API セキュリティ」をご参照ください。 |
2023-08-28 | Cookie 属性の構成 | WAF 3.0 では、保護対象の Cookie 属性を構成できます。 | 詳細については、「保護対象と保護対象グループを構成する」をご参照ください。 |
2023-08-20 | IPv6 保護 | WAF 3.0 では IPv6 保護がサポートされています。 WAF に追加された Web サービスの IPv6 トラフィックを保護できます。 | 詳細については、「IPv6 保護を有効にする」をご参照ください。 |
2023-08-10 | SSL および TLS 設定の構成 | IPv4 バージョンの仮想 IP アドレス (VIP) に対して、Transport Layer Security (TLS) 設定と SSL 証明書のカスタム構成がサポートされています。 | 詳細については、「デフォルトの SSL/TLS ポリシーを設定する」をご参照ください。 |
2023-08-01 | オリジンへのトラフィックマーキング、保護ルールのカナリアリリース、ボットトラフィック分析 |
|
|
2023-07-14 | DNS 解決ステータスの確認 | WAF 3.0 は、追加されたドメイン名の DNS 解決ステータスを確認し、DNS 解決ステータスが異常なドメイン名を識別します。 これにより、Web サービスが影響を受けるのを防ぐことができます。 |
|
2023-06-21 | ドメイン名の所有権の確認 | ドメイン名を WAF に初めて追加するときは、ドメイン名の所有権を確認する必要があります。 確認に合格すると、サブドメインの所有権を確認することなく、ドメイン名のサブドメインを追加できます。 |
|
2023-06-10 | SM アルゴリズムに基づく HTTPS 暗号化 | [SM ベースの HTTPS を有効にする] スイッチと [SM 証明書ベースのクライアントからのアクセスのみ許可する] スイッチが HTTPS プロトコル設定に追加されます。 | 詳細については、「WAF にドメイン名を追加する」をご参照ください。 |
2023-05-30 | API セキュリティの更新 | カスタムの機密データ型を使用するポリシーを構成できます。 | 詳細については、「API セキュリティ」をご参照ください。 |
2023-05-22 | セマンティックベースの保護 | コア保護ルールモジュールでは、セマンティックベースの保護がサポートされています。 セマンティックベースの保護を使用して、SQL インジェクション攻撃から防御できます。 また、インジェクション以外の攻撃を検出するかどうかを決定するスイッチが追加されています。 | 詳細については、「コア保護ルールとルールグループ」をご参照ください。 |
2023-05-18 | 仕様ダウングレードの更新 |
| 詳細については、「WAF インスタンスをアップグレードまたはダウングレードする」をご参照ください。 |
2023-04-28 | 保護対象としてのドメイン名の追加 | クラウドネイティブモードで WAF に追加された CLB インスタンスと ECS インスタンスでホストされているドメイン名を、保護対象として追加できます。 | 詳細については、「保護対象と保護対象グループを構成する」をご参照ください。 |
2023-04-14 | トラフィック課金保護 | トラフィック課金保護機能がサポートされています。 従量課金制 WAF インスタンスのトラフィック課金保護機能を有効にすると、WAF インスタンスのピーククエリ/秒 (QPS) がトラフィック課金保護の指定しきい値を超えたときに、WAF インスタンスがサンドボックスに追加されます。 WAF インスタンスがサンドボックスに追加された時間帯に発生したトラフィック処理料金または機能料金は請求されません。 これにより、トラフィックの急増による高額なコストを回避できます。 |
|
2023-03-03 | API セキュリティの更新 |
| 詳細については、「API セキュリティ」をご参照ください。 |
2023-02-24 | 主要イベント保護とハイブリッドクラウド保護ノードのクォータ |
|
|
2023-02-08 | インテリジェントホワイトリスト、誤検知の無視、緩いルールグループと厳格なルールグループ |
|
|
2023-02-08 | Function Compute のカスタムドメイン名に対する WAF 保護 | WAF の保護機能は、SDK モジュールとして Function Compute に統合されています。 Function Compute の Web アプリケーションにバインドされているカスタムドメイン名を、クラウドネイティブモードで WAF に追加できます。 WAF は悪意のある Web トラフィックを識別、スクラブ、およびフィルタリングしてから、通常のトラフィックをバックエンド関数に転送します。 | 詳細については、「Function Compute の Web アプリケーションにバインドされているカスタムドメイン名に対して WAF 保護を有効にする」をご参照ください。 |
2023-01-19 | グループベースのリソース管理とタグベースのリソース管理 | WAF 3.0 は Alibaba Cloud Resource Management と統合されています。 [リソースグループ] と [タグ] を使用して、リソースと権限を管理できます。 | |
2023-01-17 | ボット管理の更新 |
|
2022
リリース日 | 機能 | 説明 | リファレンス |
2022-12-22 | 中国本土にあるインスタンスの API セキュリティ | API セキュリティモジュールは、WAF によって保護されているサービス内の API アセットを自動的にソートし、API への不正アクセス、機密データの漏洩、内部 API の漏洩などの API リスクを検出します。 また、このモジュールを使用すると、レポートを使用して API 例外イベントを追跡し、検出されたリスクの修正方法に関する提案を提供し、API ライフサイクルの管理に役立つデータを提供できます。 これにより、包括的な API セキュリティ保護を実装できます。 | 詳細については、「API セキュリティ」をご参照ください。 |
2022-11-29 | CNAME レコードモードでの [オリジンへのリクエストの再試行] パラメータと [オリジンへのキープアライブリクエスト] パラメータの構成 | [オリジンへのリクエストの再試行] パラメータと [オリジンへのキープアライブリクエスト] パラメータは、CNAME レコードモードで Web サービスを WAF に追加するためにサポートされています。 | 詳細については、「CNAME レコードモード」をご参照ください。 |
2022-11-28 | ログのカスタムリクエストヘッダー、リクエスト本文、レスポンスヘッダー、およびレスポンス本文の記録 | request_body、request_header、response_header、および response_info フィールドが追加され、ログにカスタムリクエストヘッダー、リクエスト本文、レスポンスヘッダー、およびレスポンス本文が記録されます。 | 詳細については、「ログフィールド」をご参照ください。 |
2022-11-25 | ログストレージ使用量のアラート | WAF インスタンスのログストレージ使用量がログストレージ容量の 80% を超えると、システムはショートメッセージとメールで問題のアラート通知を送信します。 ログストレージ容量が使い果たされると、WAF ログを書き込むことができなくなります。 可能な限り早く WAF インスタンスのログストレージ容量をアップグレードすることをお勧めします。 | 詳細については、「ログストレージ容量をアップグレードする」をご参照ください。 |
2022-11-24 | サブスクリプション課金方法 | WAF 3.0 では、サブスクリプション課金方法がサポートされています。 リソースを使用するには、事前にリソースの料金を支払う必要があります。 | 詳細については、「サブスクリプション課金概要」をご参照ください。 |
2022-11-23 | レイヤー 4 CLB インスタンス、レイヤー 7 CLB インスタンス、および ECS インスタンスの WAF 保護 | トラフィックリダイレクトポートを指定することで、レイヤー 4 CLB インスタンス、レイヤー 7 CLB インスタンス、および ECS インスタンスを WAF に追加できます。 |
|
2022-11-17 | セルフサービスの仕様ダウングレード | セルフサービスの仕様ダウングレードがサポートされています。 次の仕様をダウングレードできます: 追加 QPS クォータ、バースト可能 QPS (従量課金制) クォータ、追加ドメイン名クォータ、およびログストレージ容量。 | 詳細については、「WAF インスタンスをアップグレードまたはダウングレードする」をご参照ください。 |
2022-10-30 | API 操作 | WAF 3.0 の API 操作がリリースされました。 API 操作は、WAF 3.0 コンソールの一般的な操作に対応しています。 操作を呼び出してバッチ処理を実行できます。 | 詳細については、「API の概要」をご参照ください。 |
2022-10-27 | バースト可能 QPS (従量課金制) とサンドボックス | バースト可能 QPS (従量課金制) 機能がサポートされています。 この機能は、販促イベント中など、トラフィックの急増が発生するシナリオに適しています。 前述のシナリオでは、ピークサービストラフィックが、WAF エディションのデフォルト QPS クォータと購入した追加 QPS クォータの合計を超える場合があります。 バースト可能 QPS (従量課金制) 機能を有効にすると、超過 QPS リソースの使用量に対して従量課金制で課金されます。 この機能により、サービスの継続性が確保され、WAF インスタンスがサンドボックスに追加されるのを防ぎます。 |
|
2022-10-19 | 監視とアラート | 攻撃や異常トラフィックが検出されたときに WAF がアラート通知を送信できるように、アラートルールを構成できます。 これにより、ビジネスのセキュリティステータスをできるだけ早く確認できます。 | 詳細については、「WAF アラートを構成する」をご参照ください。 |
2022-09-23 | クライアントの発信元ポートを取得するためのカスタムヘッダーフィールドの構成 | [トラフィックマークを有効にする] パラメータと [送信元ポート] パラメータを選択して、WAF にドメイン名を追加できます。 クライアントの発信元ポートを記録するヘッダーフィールドを指定できます。 これにより、WAF はヘッダーフィールドを記録し、オリジンサーバーに転送します。 | 詳細については、「ドメイン名を追加する」をご参照ください。 |
2022-08-24 | オリジンへのリクエストのカスタムタイムアウト期間の構成 | 新しい接続、読み取り接続、および書き込み接続のカスタムタイムアウト期間を構成して、WAF にドメイン名を追加できます。 | 詳細については、「ドメイン名を追加する」をご参照ください。 |
2022-08-12 | MSE インスタンスの WAF 保護 | Microservices Engine (MSE) インスタンスの WAF 保護を有効にすることができます。 | 詳細については、「MSE クラウドネイティブゲートウェイインスタンスの WAF 保護を有効にする」をご参照ください。 |
2022-07-22 | データ漏洩防止 | データ漏洩防止モジュールがサポートされています。 このモジュールは、返された異常なコンテンツをフィルタリングし、ID カード番号、電話番号、銀行カード番号、機密語などの機密情報をマスクします。 次に、WAF はマスクされた情報またはデフォルトのレスポンスページを返します。 | 詳細については、「データ漏洩防止ルールを構成して機密情報の漏洩を防ぐ」をご参照ください。 |
2022-07-22 | Web サイトの改ざん防止 | Web サイトの改ざん防止モジュールがサポートされています。 このモジュールを使用すると、機密情報を含む Web ページなど、保護が必要な Web ページをロックできます。 ロックされた Web ページがリクエストされると、WAF はページのキャッシュされたバージョンを返します。 これにより、Web ページの改ざんを防ぐことができます。 | 詳細については、「Web サイトの改ざん防止ルールを構成して Web ページの改ざんを防ぐ」をご参照ください。 |
2022-07-20 | サブスクリプション課金方法 | WAF 3.0 では、サブスクリプション課金方法がサポートされています。 リソースを使用するには、事前にリソースの料金を支払う必要があります。 サブスクリプション課金方法ではリソースを予約でき、従量課金制よりも費用対効果が高くなります。 | 詳細については、「サブスクリプション課金概要」をご参照ください。 |
2022-07-14 | アセットセンター | アセットセンター機能がサポートされています。 この機能を使用して、Alibaba Cloud 内外のドメイン名を識別し、クラウド内のドメイン名の攻撃ステータスに基づいてリスクを評価できます。 これにより、ドメイン名の全体的な保護ステータスを取得できます。 | 詳細については、「アセットセンター」をご参照ください。 |
2022-06-23 | ボット管理 | WAF 3.0 では、ボット管理モジュールがサポートされています。 このモジュールを使用して、Web サイトとアプリのカスタムアンチクローラールールを構成できます。 これにより、ビジネスが悪意のあるクローラーから保護されます。 |
|
2022-05-30 | 主要イベント保護 | 主要イベント保護モジュールがサポートされています。 このモジュールを使用して、主要イベント保護、協調防御、および Cookie セキュリティ関連機能のルールグループと IP アドレスブラックリストを構成できます。 これにより、攻撃と防御のシナリオにおける顧客の保護が強化されます。 | 詳細については、「主要イベント保護」をご参照ください。 |
2022-04-21 | HTTP フラッド攻撃保護 | HTTP フラッド攻撃保護モジュールがサポートされています。 このモジュールを使用して、Web サイトへの HTTP フラッド攻撃から防御できます。 WAF が HTTP フラッド攻撃をブロックすると、WAF はクライアントに 405 エラーページを返します。 | 詳細については、「HTTP フラッド攻撃保護モジュールの保護ルールを構成して HTTP フラッド攻撃から防御する」をご参照ください。 |
2022-04-21 | リージョンブラックリスト | リージョンブラックリストモジュールがサポートされています。 このモジュールは、リクエストの送信元リージョンを識別します。 特定のリージョンからのリクエストをブロックまたは許可するようにモジュールを構成して、悪意のあるリクエストを防ぐことができます。 | |
2022-01-22 | WAF 3.0 のリリース | WAF 3.0 がリリースされました。 WAF 3.0 は、CNAME レコードモードとクラウドネイティブモードをサポートし、Application Load Balancer (ALB) などの他のクラウドサービスのクラウドネイティブアーキテクチャに統合されています。 WAF 2.0 と比較して、WAF 3.0 はより多くの機能を提供し、WAF 3.0 コンソールでより効率的に保護設定を構成できます。 これにより、ユーザーエクスペリエンスが向上します。 | 詳細については、「WAF 3.0 リリース、WAF 2.0 販売終了」をご参照ください。 |