Web Application Firewall:CNAMEレコードモードでWAFにドメイン名を追加する

WAF保護の仕組み

CNAMEレコードモードでWebサイトのドメイン名をWAFに追加すると、すべてのWebサイトトラフィックが検査のためにWAFにリダイレクトされます。 WAFは悪意のあるトラフィックを除外し、通常のトラフィックを配信元サーバーに転送します。 これにより、Webサイトのサービスとデータのセキュリティが保証されます。 この場合、WAFはトラフィックを検査し、リバースプロキシクラスターとして転送します。

前提条件

• WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。

• Webサイトのドメイン名が中国本土リージョンのサーバーでホストされている場合は、そのドメイン名のICP登録が完了しており、WebサイトがWAFによって保護されている場合にICP登録情報が有効であることを確認してください。

  説明

  中国本土リージョンにデプロイされているWAFインスタンスは、ドメイン名のICP登録情報が有効かどうかを定期的に確認します。 ドメイン名のICP登録情報が無効になった場合、WAFは関連する法令に基づいてドメイン名を管理します。 たとえば、WAFはドメイン名のリクエストの転送を停止したり、ドメイン名の設定を削除したりできます。

  • WebサイトがAlibaba Cloudでホストされている場合、Alibaba Cloud ICP申請システムを使用して、ドメイン名のICP申請を申請できます。 詳細については、次をご参照ください： シナリオ。

  • WebサイトがAlibaba Cloudにデプロイされていない場合は、Alibaba Cloudまたは別のクラウドサービスプロバイダーに連絡してICP申請を申請できます。

手順

1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

3. On theCNAME アクセスタブをクリックします。追加.

4. では、Listener 設定ステップ、パラメータを設定し、次へ. 下表に、各パラメーターを説明します。

   パラメーター	説明
   ドメイン名	保護するドメイン名を入力します。 www.aliyundoc.comなどの完全一致ドメイン名、または * .aliyundoc.comなどのワイルドカードドメイン名を入力できます。 ドメイン名は1つだけ入力できます。 初めてドメイン名をWAFに追加するときは、ドメイン名の所有権を確認する必要があります。 所有権が検証に合格した後にのみ、ドメイン名をWAFに追加できます。 詳細については、「ドメイン名の所有権の確認」をご参照ください。 説明 ワイルドカードドメイン名を使用して、ワイルドカードドメイン名と同じレベルにあるすべてのサブドメインをカバーできます。 たとえば、* .aliyundoc.comはwww.aliyundoc.comとexample.aliyundoc.comをカバーできますが、* .aliyundoc.comはwww.example.aliyundoc.comをカバーできません。 第2レベルのワイルドカードドメイン名は、その第2レベルの親ドメイン名をカバーすることができる。 たとえば、* .aliyundoc.comはaliyundoc.comをカバーできます。 第3レベルのワイルドカードドメイン名は、その第3レベルの親ドメイン名をカバーできません。 たとえば、* .example.aliyundoc.comはexample.aliyundoc.comをカバーできません。 完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加する場合、完全一致ドメイン名用に構成されている保護ルールが優先されます。
   プロトコルタイプ	Webサイトで使用されるプロトコルタイプとポートを選択します。 ポート番号を入力するたびにEnterキーを押します。 説明 入力するポート番号はWAFでサポートされている必要があります。 WAFでサポートされているHTTPポートとHTTPSポートを表示するには、ポート範囲の表示 をクリックします。 詳細については、「サポートされているポートの表示」をご参照ください。 HTTPSを選択した場合、HTTPSUpload Typeパラメーターを設定して、SSL証明書のアップロードに使用する方法を指定します。 次に、ドメイン名にバインドされたSSL証明書をWAFにアップロードします。 これにより、WAFはWebサイトのHTTPSトラフィックを監視できます。 SSL証明書のアップロードに使用する方法を指定します。 説明 WAF (version_share_vm) はHTTPSをサポートしていません。 手動でアップロード 手動でアップロード を選択し、証明書名 、証明書ファイル 、および 秘密鍵ファイル パラメーターを設定します。 Certificate Fileパラメータの値は、----- BEGIN CERTIFICATE-----......-----END CERTIFICATE ----- 形式でなければならず、Private Keyパラメータの値は、----- BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY ----- 形式でなければならない。 重要 証明書ファイルがPEM、CER、またはCRT形式の場合は、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーできます。 証明書ファイルがPFXやP7Bなどの上記の形式以外の形式の場合は、ファイルをPEM形式に変換し、テキストエディターを使用してファイルを開いてテキストコンテンツをコピーする必要があります。 証明書管理サービスコンソールにログインし、提供されたツールを使用してファイル形式を変換できます。 詳細については、「証明書の形式の変換」をご参照ください。 ドメイン名が複数のSSL証明書または証明書チェーンにバインドされている場合、証明書ファイルのテキストコンテンツを結合し、結合したコンテンツをWAFにアップロードする必要があります。 既存証明書の選択 証明書が次のいずれかの条件を満たしている場合、証明書リストからWAFにアップロードする証明書を選択できます。 証明書は、Alibaba CloudCertificate Management Service (Original SSL Certificate) によって発行されます。 証明書は、certificate Management Serviceにアップロードされるサードパーティの証明書です。 重要 certificate Management Serviceにアップロードされたサードパーティの証明書を選択し、証明書チェーンの整合性を検証するには失敗しました証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります エラーメッセージが表示されたら、[Alibaba Cloud Security - Certificate Management Service] をクリックし、[certificate Management Service] コンソールで証明書を再アップロードします。 詳細については、「SSL証明書のアップロードと共有」をご参照ください。 証明書の申し込み 証明書の申し込み を選択し、今すぐ申し込む をクリックします。 Certificate Management Serviceコンソールで、ドメイン名の証明書を申請します。 説明 有料ドメイン検証済み (DV) 証明書のみを申請できます。 別の種類の証明書を申請する場合は、証明書管理サービスから証明書を購入する必要があります。 詳細については、「SSL証明書の購入」をご参照ください。 certificate Management Serviceコンソールでドメイン名の証明書を設定すると、証明書は自動的にWAFにアップロードされます。 HTTPSを選択して証明書をアップロードすると、ビジネス要件に基づいて次の操作を実行できます。 WebサイトがHTTP/2をサポートしている場合は、HTTP2を選択してHTTP/2リクエストを保護します。 説明 HTTP/2ポートはHTTPSポートと同じです。 詳細設定 HTTPS ルーティングの有効化 デフォルトでは、この機能は無効化されています。 この機能を有効にすると、HTTPリクエストは自動的にポート443のHTTPSリクエストにリダイレクトされます。 この機能により、セキュリティが向上します。 この機能を有効にすると、HTTP Strict Transport Security (HSTS) がデフォルトで有効になり、Strict-Transport-Securityヘッダーがレスポンスに含まれ、HTTPSを使用してのみWebサイトにアクセスできるようになります。 重要 この機能は、HTTPを選択しない場合にのみ有効にできます。 TLS バージョン HTTPS通信でサポートされているTransport Layer Security (TLS) プロトコルのバージョンを指定します。 クライアントがサポートされていないTLSバージョンを使用している場合、WAFはクライアントから送信されるリクエストをブロックします。 TLSプロトコルの新しいバージョンは、より高いセキュリティを提供しますが、互換性は低くなります。 ウェブサイトのHTTPS設定に基づいてTLSバージョンを指定することを推奨します。 WebサイトのHTTPS設定を取得できない場合は、デフォルト値を使用することを推奨します。 有効な値： TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。 (デフォルト) TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております この値を選択すると、TLS 1.0を使用するクライアントはWebサイトにアクセスできません。 TLS 1.2 以上をサポートします。互換性と安全性が優れています。 この値を選択すると、TLS 1.0または1.1を使用するクライアントはWebサイトにアクセスできません。 ウェブサイトがTLS 1.3をサポートしている場合は、TLS 1.3 以上対応 を選択します。 デフォルトでは、WAFはTLS 1.3を使用して送信されたリクエストをリッスンしません。 HTTPSCipherスイート HTTPS通信でサポートされている暗号スイートを指定します。 クライアントがサポートされていない暗号スイートを使用する場合、WAFはクライアントからの要求をブロックします。 デフォルト値: すべての暗号スイート (高い互換性と低いセキュリティ) 。 Webサイトが特定の暗号スイートのみをサポートしている場合にのみ、このパラメーターを別の値に設定することを推奨します。 有効な値： すべての暗号スイート (高い互換性、低い安全性) 。 カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください) 詳細については、「サポートされている暗号スイートの表示」をご参照ください。 他の暗号スイートを使用するクライアントはWebサイトにアクセスできません。
   Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか	Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 有効な値： No (デフォルト): レイヤ7プロキシはWAFの前にデプロイされません。 WAFはクライアントからリクエストを受信します。 リクエストはプロキシによって転送されません。 WAFは、クライアントがWAFへの接続を確立するために使用するIPアドレスをクライアントのIPアドレスとして使用します。 WAFは、REMOTE_ADDRフィールドの値に基づいてIPアドレスを取得します。 Yes: レイヤ7プロキシがWAFの前にデプロイされます。 WAFはレイヤー7プロキシからリクエストを受信します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを設定する必要があります。 有効な値： X-Forwarded-For フィールドのファースト IP アドレスをクライアントのソースアドレスにする (デフォルト) デフォルトでは、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントの送信元IPアドレスとして使用します。 [推奨] X-Forwarded-For偽造を防ぐために、指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用する。 X-Client-IPやX-Real-IPなど、カスタムヘッダーフィールドにクライアントの送信元IPアドレスを含むプロキシを使用する場合は、この値を選択します。 次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。 説明 カスタムヘッダーフィールドを使用してクライアントの送信元IPアドレスを格納し、WAFでヘッダーフィールドを指定することを推奨します。 このように、攻撃者はX-Forwarded-Forフィールドを偽造してWAF検査をバイパスすることはできません。 これにより、ビジネスのセキュリティが向上します。 複数のヘッダーフィールドを入力できます。 ヘッダーフィールドを入力するたびにEnterキーを押します。 複数のヘッダーフィールドを入力した場合、WAFはクライアントのIPアドレスを取得するまでヘッダーフィールドを順番にスキャンします。 WAFがヘッダーフィールドからクライアントのIPアドレスを取得できない場合、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。
   詳細設定	IPv6 デフォルトでは、WAFはIPv4トラフィックのみを処理します。 WebサイトがIPv6をサポートしている場合は、IPv6を有効にして、IPv6トラフィックのWAF保護を有効にできます。 IPv6を有効にすると、WAFはIPv6トラフィックを処理するためにWAF IPアドレスをドメイン名に割り当てます。 この機能は、従量課金WAFインスタンスおよびサブスクリプションWAFインスタンスでのみ使用できます。中国本土. Exclusive IP アドレス デフォルトでは、WAFに追加されるすべてのドメイン名は、同じWAF IPアドレスを使用して保護されます。 排他的IPアドレスをオンにすると、WAFはドメイン名の要求を監視するために排他的IPアドレスを割り当てます。 排他的IPアドレスを使用して保護されているドメイン名は、他のドメイン名でボリュームDDoS攻撃が発生してもアクセスできます。 詳細については、「排他的IPアドレス」をご参照ください。 ドメイン名を保護するために排他的IPアドレスを使用する場合は、排他的IPアドレスをオンにすることができます。 重要 Pro、Enterprise、およびUltimateエディションのサブスクリプションWAFインスタンスのExclusive IP Addressを有効にできます。 この機能に対して課金されます。 従量課金WAFインスタンスを使用する場合、使用する排他的IPアドレスの数に基づいて課金されます。 詳細については、「課金の概要」をご参照ください。 軽減リソース 使用する保護リソースのタイプを選択します。 有効な値： IP アドレス詳細 (デフォルト) Shared Cluster-based Intelligent Load Balancing WAFインスタンスの共有クラスターベースのインテリジェントな負荷分散を有効にすると、異なるリージョンにデプロイされた少なくとも3つの保護ノードがWAFインスタンスに割り当てられ、自動ディザスタリカバリをサポートします。 WAFインスタンスは、インテリジェントなドメインネームシステム (DNS) 解決機能と最小時間back-to-originアルゴリズムを使用して、保護ノードからオリジンサーバーに送信されるトラフィックのレイテンシを最小限に抑えます。 詳細については、「インテリジェント負荷分散機能の使用」をご参照ください。 重要 Pro、Enterprise、およびUltimateエディションのサブスクリプションWAFインスタンスに対して、Shared Cluster-based Intelligent Load Balancingを有効にできます。 この機能に対して課金されます。 Shared Cluster-based Intelligent Load Balancingを有効にするには、概要 ページの [保護された資産] セクションで 今すぐアップグレード をクリックし、インテリジェント SLB パラメーターを [有効] に設定します。 詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。 従量課金WAFインスタンスを使用している場合、Shared Cluster-based Intelligent Load Balancingを有効にしているかどうかに基づいて課金されます。 詳細については、「課金の概要」をご参照ください。 Shared Cluster-based Intelligent Load Balancingを有効にすると、IPv6または排他的IPアドレスを有効にできなくなります。
   リソースグループ	ドロップダウンリストから、ドメイン名を追加するリソースグループを選択します。 リソースグループを選択しない場合、ドメイン名はデフォルトリソースグループに追加されます。 説明 リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。

5. 転送ルールの設定 ステップで、パラメーターを設定し、サブミット をクリックします。 下表にパラメーターを示します。

   パラメーター	説明
   ロードバランシングアルゴリズム	複数の配信元サーバーアドレスを指定する場合は、ロードバランシングアルゴリズム を選択し、配信元に戻るリクエストを配信元サーバーに転送するためにWAFを使用します。 有効な値： IPハッシュ (デフォルト) 特定のIPアドレスから送信されたリクエストは、同じ配信元サーバーに転送されます。 ポーリング リクエストは、オリジンサーバーに順番に配信されます。 最低時間 WAFは、インテリジェントDNS解決機能と最小時間back-to-originアルゴリズムを使用して、リクエストがオリジンサーバーに転送される際のパスと遅延を最小限に抑えます。 重要 Listener 設定 ステップで 軽減リソース パラメーターを Shared Cluster-based Intelligent Load Balancing に設定した場合にのみ、負荷分散アルゴリズムパラメーターを [最小時間] に設定できます。 詳細については、このトピックの「Protection Resourceパラメーター」の説明をご参照ください。
   配信元サーバーアドレス	オリジンサーバーのパブリックIPアドレスまたはドメイン名を指定します。 IPアドレスまたはドメイン名は、WAFによって転送されるback-to-originリクエストを受信するために使用されます。 有効な値： IP インターネット経由でIPアドレスにアクセスできることを確認してください。 最大20個のIPアドレスを入力できます。 IPアドレスを入力するたびにEnterキーを押します。 説明 複数のIPアドレスを入力すると、WAFはワークロードをIPアドレス全体に分散して負荷分散を実現します。 IPv4アドレスとIPv6アドレスの両方、IPv4アドレスのみ、またはIPv6アドレスのみを入力できます。 IPv4アドレスとIPv6アドレスの両方を入力すると、IPv4アドレスからのリクエストがIPv4アドレスを使用するオリジンサーバーに転送され、IPv6アドレスからのリクエストがIPv6アドレスを使用するオリジンサーバーに転送されます。 重要 IPv6アドレスを入力する場合は、[リスナーの設定] でIPv6をオンにします。 詳細については、このトピックの「IPv6パラメーター」の説明をご参照ください。 重要 オリジンサーバーのパブリックIPアドレスが変更された場合は、新しいback-to-origin IPアドレスを手動で追加する必要があります。 ドメイン名(CHAMEなど) Origin Server AddressパラメーターをDomain Name (CNAMEなど) に設定した場合、ドメイン名はIPv4アドレスに対してのみ解決でき、WAFはback-to-originリクエストをIPv4アドレスに転送します。
   HTTPS 詳細設定	HTTP back-to-origin の有効化 [HTTPルーティングの有効化] をオンにすると、WAFはHTTP経由でリクエストを転送します。 デフォルトのポートは80です。 [HTTPルーティングの有効化] をオンにすると、クライアントがポート80でWAFにアクセスするかポート443でアクセスするかに関係なく、WAFはポート80でオリジンサーバーにリクエストを転送します。 すべてのリクエストはHTTP経由でオリジンサーバーに転送でき、オリジンサーバーの設定を変更する必要はありません。 これにより、Webサイトのパフォーマンスに対するトラフィックの影響が軽減されます。 重要 WebサイトがHTTPSをサポートしていない場合は、[HTTPルーティングの有効化] をオンにします。 Back-to-origin SNI の有効化 WAFがオリジンサーバーにリクエストを転送するときに、Transport Layer Security (TLS) ハンドシェイクプロセスの開始時にHTTPS接続を確立する必要があるドメイン名を指定します。 オリジンサーバーが複数のドメイン名をホストする場合は、オリジンSNIを選択する必要があります。 Back-to-origin SNI の有効化 を選択した後、サーバー名表示 (SNI) フィールドを設定できます。 有効な値： Host ヘッダのドメイン名 (デフォルト) WAF back-to-originリクエストのSNIフィールドの値は、Hostヘッダーフィールドの値と同じです。 たとえば、設定するドメイン名が * .aliyundoc.comで、クライアントがHostヘッダーフィールドでwww.aliyundoc.comドメイン名を要求した場合、WAF back-to-originリクエストのSNIフィールドの値がwww.aliyundoc.comされます。 カスタム WAF back-to-originリクエストのSNIフィールドにカスタム値を入力できます。 ほとんどの場合、SNIフィールドにカスタム値を指定する必要はありません。 ただし、back-to-originリクエストのHostヘッダーフィールドの値とは異なる値のSNIフィールドをWAFで使用する場合は、SNIフィールドにカスタム値を指定できます。
   他の詳細設定	X-Forwarded-Protoヘッダーフィールドを使用したWAFのリスニングプロトコルの取得 X-Forwarded-Protoヘッダーフィールドは、HTTPリクエストに自動的に追加されます。 X − Forwarded − Protoヘッダフィールドは、クライアントによって使用される元のプロトコルを識別するために使用される。 WebサイトがX-Forwarded-Protoヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。 このような問題を防ぐには、X-Forwarded-Protoヘッダーフィールドを使用してWAFのリスニングプロトコルの取得をクリアします。 トラフィックマークの有効化 [トラフィックマークの有効化] を選択すると、WAFを通過するリクエストがマークされます。 これは、オリジンサーバーがクライアントの発信IPアドレスまたはポートを取得するのに役立ちます。 ドメイン名をWAFに追加する前に攻撃者がオリジンサーバーに関する情報を取得し、別のWAFインスタンスを使用してリクエストをオリジンサーバーに転送する場合は、[トラフィックマークの有効化] を選択して悪意のあるトラフィックを傍受できます。 オリジンサーバーは、リクエストがWAFを通過したかどうかを確認します。 指定されたヘッダーフィールドがリクエストに存在する場合、リクエストはWAFを通過し、許可されます。 指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストはWAFを通過せず、ブロックされます。 次のタイプのヘッダーフィールドを設定できます。 カスタムヘッダ カスタムヘッダーフィールドを追加する場合は、ヘッダ名 および ヘッダ値 パラメーターを設定する必要があります。 WAFは、back-to-originリクエストにヘッダーフィールドを追加します。 これにより、オリジンサーバーは、リクエストがWAFを通過したかどうかを確認し、統計を収集し、データを分析できます。 たとえば、ALIWAF-TAG: はいのカスタムヘッダーフィールドを追加して、WAFを通過するリクエストをマークできます。 この例では、ヘッダーフィールドの名前はALIWAF-TAGで、ヘッダーフィールドの値はYesです。 リアル送信元 IP アドレス クライアントの送信元IPアドレスを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントの発信IPアドレスを取得できます。 WAFがクライアントの送信元IPアドレスを取得する方法の詳細については、このトピックのレイヤー7プロキシ (Anti-DDoS Pro、Anti-DDoS Premium、またはAlibaba Cloud CDNなど) がWAFの前にデプロイされているかどうかパラメーターの説明を参照してください。 ソースポート クライアントの発信ポートを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントのポートを取得できます。 重要 User-Agentなどの標準のHTTPヘッダーフィールドを設定しないことをお勧めします。 それ以外の場合、標準ヘッダーフィールドの元の値は、カスタムヘッダーフィールドの値で上書きされます。 マークの追加 をクリックすると、ヘッダーフィールドを追加できます。 最大5つのヘッダーフィールドを指定できます。 back-to-originリクエストのタイムアウト期間の指定 接続タイムアウト期間: WAFが配信元サーバーへの接続を待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 既定値：5 読み取り接続タイムアウト期間: WAFが配信元サーバーから応答を受信するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120 書き込み接続タイムアウト期間: WAFがリクエストを配信元サーバーに転送するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120 Back-to-origin の再試行 Retry Back-to-originリクエストをオンにすると、WAFはオリジンサーバーへのリクエストの転送に失敗したときに、最大3回まで再試行します。 Retry Back-to-originリクエストをオンにしない場合、WAFは初めて失敗した場合、転送リクエストを再試行しません。 Back-to-origin の持続的接続 Back-to-originキープアライブ要求をオンにする場合は、次のパラメーターを設定する必要があります。 持続的接続の復元リクエスト数: 再利用されたキープアライブリクエストの数。 有効値: 60 ~ 1000 デフォルト値は 1000 です。 アイドル時の長時間の接続タイムアウト: アイドルキープアライブ要求のタイムアウト期間。 有効な値: 1 ~ 60。 単位は秒です。 デフォルト値：15。 説明 Back-to-originキープアライブ要求をオフにすると、back-to-originキープアライブ要求はWebSocketをサポートしません。

6. 追加完了ステップで、ドメイン名に割り当てられたCNAMEを取得します。 ドメイン名がWAFによって提供されるCNAMEを指すようにDNSレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

   重要

   DNSレコードを変更する前に、次の条件が満たされていることを確認してください。

   • Webサイトの転送設定が正しく、有効になっています。 Webサイトの転送設定が有効になる前にDNSレコードを変更すると、サービスの中断が発生する可能性があります。 詳細については、「ドメイン名設定の確認」をご参照ください。

   • WAFのback-to-origin CIDRブロックは、ドメイン名がホストされているオリジンサーバーが使用するサードパーティファイアウォールのIPアドレスホワイトリストに追加されます。 これにより、WAFによって転送される通常のリクエストがブロックされなくなります。 [CNAMEレコード] タブで、ドメイン名リストの上にある Back-to-origin CIDR ブロック をクリックして、WAFのback-to-origin CIDRブロックを表示およびコピーできます。 詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。

   

   上記の設定を完了したら、次の操作を実行して、ドメイン名がWAFによって保護されているかどうかを確認できます。

   • ブラウザにドメイン名を入力します。 Webサイトにアクセスできる場合、ドメイン名はWAFによって保護されます。

   • ドメイン名と <Protected domain name>/alert(xss) やalert(xss) などの悪意のあるコードを入力します。 405エラーページが表示された場合、攻撃はブロックされ、ドメイン名はWAFによって保護されます。

その他操作

ドメイン名のDNS解決ステータスの表示

WAFは、保護されたドメイン名のDNS解決ステータスをチェックし、DNSレコードが異常なドメイン名を特定します。 WAFに追加したドメイン名のDNS解決ステータスをドメイン名リストに表示し、WAFコンソールに表示されるエラーメッセージに基づいてDNSレコードを変更できます。

ドメイン名へのタグの追加または削除

WAFに追加されたドメイン名にタグを追加し、タグで特定のドメイン名を検索できます。

• ドメイン名へのタグの追加または削除

  1. タグを管理するドメイン名を見つけ、タグ 列のアイコンの上にポインターを移動します。 ドメイン名にタグが追加されていない場合は、アタッチ をクリックします。 ドメイン名にタグが追加されている場合は、編集 をクリックします。

  2. タグの編集 ダイアログボックスで、タグキー および タグ値 パラメーターを設定します。

     説明

     • タグキーパラメーターの下に最大20個のタグキーを追加し、タグ値パラメーターを空のままにすることができます。

     • タグキーまたはタグ値パラメーターに値を指定する場合は、値の長さが1 ~ 128文字で、http:// またはhttps:// を含まず、先頭がacs: またはaliyunでないことを確認します。

     • タグは、WAFにドメイン名を追加するときに [Webサイト設定] ページで、または保護オブジェクトの保護ルールを設定するときに [保護オブジェクト] ページで追加できます。 最新のタグ設定は、2つのページ間で同期されます。 ドメイン名に追加されたタグは、ドメイン名関連の保護オブジェクトに自動的に追加されます。

     ドメイン名にタグを追加した後、[ラベルの選択] ドロップダウンリストからタグを選択して、ドメイン名を検索できます。

  3. オプション： タグが不要になった場合は、ドメイン名を見つけて タグの編集 ダイアログボックスを開き、タグの右側にあるアイコンをクリックします。 次に、タグがドメイン名から削除されます。

• 一度に複数のドメイン名にタグを追加または削除

  タグを管理するドメイン名を選択し、ドメイン名リストの下にある タグの追加 または タグの削除 をクリックします。

WAFに追加されたドメイン名の変更または削除

管理するドメイン名を見つけて、[操作] 列の 編集 または 削除 をクリックします。

デフォルトのSSLまたはTLS設定

同じWAFインスタンスに複数のドメイン名を追加する場合、共有WAF仮想IPアドレス (VIP) を使用してドメイン名のトラフィックを監視します。

さまざまなシナリオでHTTPSのセキュリティコンプライアンスと互換性の要件を満たすために、WAFではIPv4 VIPのSSLまたはTLS設定を構成できます。 コンプライアンスのスキャンと検出を実行する前に、VIPのHTTPS証明書をアップロードし、特定のTLSプロトコルバージョンと暗号スイートを無効または有効にすることができます。

1. ドメイン名リストの上にある [デフォルトのSSL/TLS設定] をクリックします。

2. [デフォルトのSSL/TLS設定] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。

   パラメーター	説明
   HTTPSUploadタイプ	SSL証明書のアップロード方法を指定します。 詳細については、このトピックの「HTTPSUpload Typeパラメーター」をご参照ください。
   TLSバージョン	HTTPS通信でサポートされているTLSプロトコルのバージョンを指定します。 有効な値： TLS 1.0以降 (最高の互換性と低セキュリティ) (デフォルト) TLS 1.1以降 (高い互換性と高いセキュリティ) TLS 1.2以降 (高い互換性と最高のセキュリティ) TLS 1.3を有効にする場合は、[TLS 1.3のサポート] を選択します。
   HTTPSCipherスイート	HTTPS通信でサポートされている暗号スイートを指定します。 有効な値： すべてのサイファースイート (高い互換性と低いセキュリティ) (デフォルト) Custom Cipher Suite (プロトコルバージョンに基づいて選択します。 注意してください。) カスタム暗号スイートの詳細については、「サポートされている暗号スイートの表示」をご参照ください。

ドメイン名にバインドされたSSL証明書の更新

ドメイン名にバインドされているSSL証明書の有効期限が近づいている場合、または証明書が取り消された場合など、証明書が変更された場合は、証明書を更新する必要があります。

ドメイン名にバインドされているSSL証明書を更新するには、次の手順を実行します。

1. 証明書を更新するか、サードパーティの証明書を証明書管理サービスにアップロードします。 詳細については、「証明書の更新」または「SSL証明書のアップロードと共有」をご参照ください。

2. 証明書をWAFに同期します。

   • 証明書管理サービスコンソールで、証明書をWAFにデプロイします。 詳細については、「Alibaba Cloudサービスへの証明書のデプロイ」をご参照ください。

   • WAFコンソールで証明書をアップロードします。

     1. [Webサイト設定] ページの [CNAMEレコード] タブで、証明書を更新するドメイン名を見つけ、[操作] 列の [編集] をクリックします。

     2. HTTPSUpload Typeパラメーターを [既存の証明書の選択] に設定し、新しい証明書を選択します。

次のステップ

関連ドキュメント

• 保護されたオブジェクト、保護ルール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。

• API操作を呼び出してドメイン名をWAFに追加する方法の詳細については、「CreateDomain」をご参照ください。

• CNAMEレコードモードでWAFに追加されたドメイン名の詳細を照会する方法の詳細については、「DescribeDomainDetail」をご参照ください。