Function Computeでカスタムドメイン名がwebアプリケーションにバインドされている場合、Function Computeコンソールでカスタムドメイン名に対してWebアプリケーションファイアウォール (WAF) 保護を有効にできます。 これにより、webトラフィックはWAFに転送されます。 このトピックでは、Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする方法について説明します。
背景情報
Function Computeは、サーバーレスアーキテクチャを使用するイベント駆動型コンピューティングサービスです。 Function Computeを使用すると、インフラストラクチャリソースを管理する必要なく、コードを作成およびアップロードできます。 Function Computeを使用して、アプリケーションとサービスを効率的に作成できます。 詳細については、「Function Computeとは 」をご参照ください。
WAFの保護機能は、SDKモジュールとしてFunction Computeに統合されています。 Function Computeでwebアプリケーションにバインドされているカスタムドメイン名に対してWAF保護を有効にできます。 WAFは、悪意のあるwebトラフィックを識別し、スクラブして除外し、通常のトラフィックをバックエンド機能に転送します。
制限
webサービスが、Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Serverless App Engine (SAE) 、Classic Load Balancer (CLB) 、Elastic Compute Service (ECS) のいずれかのAlibaba cloudサービスを使用している場合にのみ、クラウドネイティブモードでwebサービスをWAFに追加できます。 webサービスが上記のサービスを使用しない場合は、CNAMEレコードモードでwebサイトのドメイン名をWAFに追加できます。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
WAF保護を有効にするカスタムドメイン名は、中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (張家口) 、中国 (深セン) のいずれかのリージョンにある必要があります。
WAFに追加されたカスタムドメイン名に対して、Webサイトの改ざん防止、データ漏洩防止、ボット管理、APIセキュリティの保護モジュールを有効にすることはできません。
前提条件
中国本土にデプロイされているWAF 3.0インスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「WAF 3.0の有効化」をご参照ください。
サブスクリプションWAFインスタンスを使用する場合は、WAFに追加する保護対象オブジェクトの数が上限を超えないようにしてください。 WAFに追加する保護されたオブジェクトの数が上限を超えると、クラウドサービスインスタンスをWAFに追加できなくなります。
WAFに追加できる保護されたオブジェクトの数を表示するには、
手順
webアプリケーションのカスタムドメイン名の作成中または作成後に、WAF保護を有効にできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、管理するWAFインスタンスが属するリソースグループを選択し、WAFインスタンスのリージョンで 中国本土 を選択します。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブで、左側の製品タイプリストで [FC] をクリックします。 次に、[追加] をクリックします。
[今すぐ許可] をクリックして、WAFインスタンスにFunction Computeへのアクセスを許可します。
Alibaba Cloudは、AliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
説明すでにWAFにFunction Computeへのアクセスを許可している場合は、この手順をスキップします。
その後、Function Computeコンソールにリダイレクトされます。
Function Computeコンソールの [カスタムドメイン] ページで、カスタムドメイン名のWAF保護を有効にします。
カスタムドメイン名を作成し、ドメイン名のWAF保護を有効にします
上部のナビゲーションバーで、中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (張家口) 、または中国 (深セン) を選択し、[カスタムドメイン名の追加] をクリックします。
[カスタムドメイン名の追加] ページで、パラメーターを設定し、[作成] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
ドメイン名
Alibaba Cloud ICPファイリングシステムでのインターネットコンテンツプロバイダ (ICP) ファイリングを取得したカスタムドメイン名、またはICPファイリング情報にサービスプロバイダーとしてのAlibaba Cloudが含まれているカスタムドメイン名を入力します。 単一ドメイン名がサポートされています。 例:
www.aliyun.com。 ワイルドカードドメイン名もサポートされています。 例:* .aliyun.comHTTPS
HTTPSによるカスタムドメイン名へのアクセスを許可または拒否するには、[有効化] または [無効化] を選択します。
有効: HTTPS経由でカスタムドメイン名にアクセスできます。 このオプションを選択すると、ユーザーはHTTPまたはHTTPSでカスタムドメイン名にアクセスできます。
HTTPSを有効にした後、カスタムドメイン名にバインドされているAlibaba Cloud SSL証明書をアップロードします。
Alibaba Cloud SSL証明書: [証明書名] ドロップダウンリストからAlibaba Cloud SSL証明書を選択します。 [証明書名] ドロップダウンリストが空の場合、Alibaba Cloud SSL証明書を購入していません。 証明書管理サービスコンソールにログインして、Alibaba Cloud SSL証明書を購入します。 詳細については、「SSL証明書の購入」をご参照ください。
手動アップロード: 証明書名、PEM証明書の内容、およびPEM証明書キーパラメーターを設定します。
説明アップロードする証明書のサイズは20 KBを超えることはできません。 証明書キーのサイズは4 KBを超えることはできません。
ビジネス要件に基づいて、次のパラメーターを設定できます。
カスタムドメイン名を使用するトランスポート層セキュリティ (TLS) プロトコルのバージョンをドロップダウンリストから選択します。 このパラメーターを設定しない場合、TLS 1.0、TLS 1.1、またはTLS 1.2が使用されます。 有効な値:
TLS 1.0以降 (最高の互換性と低セキュリティ) 。 TLS 1.0、TLS 1.1、およびTLS 1.2がサポートされています。
TLS 1.1以降 (高い互換性と高いセキュリティ) 。 TLS 1.1とTLS 1.2がサポートされています。
TLS 1.2以降 (高い互換性と最高のセキュリティ): TLS 1.2のみがサポートされています。
説明TLSプロトコルのバージョンを選択したら、[TLS1.3のサポートを有効にする] を選択できます。 これにより、TLS 1.3がサポートされます。
[暗号スイート] を選択します。 このパラメーターを設定しない場合、すべての暗号スイートが選択されます。 有効な値:
すべての暗号スイート (高い互換性と低いセキュリティ): すべての暗号スイート。 Function Computeでサポートされている暗号スイートのリストについては、「強力な暗号スイートと弱い暗号スイート」をご参照ください。
Custom Cipher Suite (プロトコルバージョンに基づいて選択) 。 注意) に進む: ビジネス要件に基づいて暗号スイートを選択します。 すべての暗号スイートがドロップダウンリストに表示されます。 暗号スイートの右側にある
アイコンをクリックすると、暗号スイートの選択を解除できます。 これにより、弱い暗号スイートを削除し、指定したTLSバージョンでサポートされている暗号スイートのみを保持できます。
説明TLSプロトコルのバージョンとサポートされている暗号スイートの詳細については、「カスタムドメイン名の設定」をご参照ください。
Function Computeでは、暗号スイートはコメント要求 (RFC) の命名規則に基づいて命名されます。 暗号スイートの名前は、命名規則によって異なります。 RFC規則とOpenSSL規則に基づく暗号スイートの名前の違いについては、「カスタムドメイン名の設定」をご参照ください。
無効: HTTPSによるカスタムドメイン名へのアクセスを拒否します。
CDNアクセラレーション
カスタムドメイン名のCDNアクセラレーションを有効にするか無効にするかを指定します。 詳細については、「 (最適) 手順4: CDNアクセラレーションの有効化」をご参照ください。
Webアプリケーションファイアウォール (WAF)
カスタムドメイン名のWAF保護を有効にするか無効にするかを指定します。 カスタムドメイン名に対してWAF保護を有効にすると、WAFはドメイン名に送信された悪意のあるトラフィックを検出し、通常のトラフィックをバックエンド機能に転送して侵入を防ぎます。
ルート
パスと関数間のマッピングを設定して、より効率的に関数にアクセスします。 次のフィールドを設定します。
パス: リクエストが指定されたサービスで指定された関数をトリガーできるパス。 たとえば、カスタムドメイン名
example.comを作成し、関数にアクセスするためのパスとして/aを指定したとします。 この関数は、要求URI (Uniform Resource Identifier) がexample.com/aされた場合にトリガーできます。サービス名: 指定された関数が属するサービスの名前。
関数名: 指定された関数の名前。
VersionまたはAlias: 指定された関数のバージョンまたはエイリアス。
書き換えポリシー: 指定されたパスのリクエストのURIが書き換えられるルール。 詳細については、「書き換えポリシーの設定」をご参照ください。
複数のルートを設定できます。 詳細については、「ルートマッチングルール」をご参照ください。
WAFへのカスタムドメイン名の追加
上部のナビゲーションバーで、カスタムドメイン名のリージョンを選択します。 WAF保護を有効にするカスタムドメイン名を見つけて、[操作] 列の [変更] をクリックします。
[カスタムドメイン名の変更] ページで、[Web Application Firewall (WAF)] パラメーターを [有効] に設定し、[保存] をクリックします。
カスタムドメイン名をWAFに追加すると、カスタムドメイン名はWAFの保護対象オブジェクトになります。 カスタムドメイン名の保護されたオブジェクト名は、ドメイン名-fcの形式です。 基本的な保護ルールは、カスタムドメイン名に対して自動的に有効になります。 [保護オブジェクト] ページで、カスタムドメイン名の保護ルールを設定できます。 [保護オブジェクト] ページに移動するには、[Webサイト設定] ページの [クラウドネイティブ] タブで、WAFに追加したカスタムドメイン名をクリックします。 詳細については、「保護設定の概要」をご参照ください。
