すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:CNAMEレコードモードでWAFにドメイン名を追加する

最終更新日:Nov 21, 2024

Web Application Firewall (WAF) を使用してWebサイトを保護するには、Webサイトのドメイン名をWAFに追加する必要があります。 このトピックでは、CNAMEレコードモードでWAFにドメイン名を追加し、ドメイン名がWAFに正常に追加されたかどうかを確認する方法について説明します。

WAF保護の仕組み

CNAMEレコードモードでWebサイトのドメイン名をWAFに追加すると、すべてのWebサイトトラフィックが検査のためにWAFにリダイレクトされます。 WAFは悪意のあるトラフィックを除外し、通常のトラフィックを配信元サーバーに転送します。 これにより、Webサイトのサービスとデータのセキュリティが保証されます。 この場合、WAFはトラフィックを検査し、リバースプロキシクラスターとして転送します。

image

前提条件

  • WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。

  • Webサイトのドメイン名が中国本土のサーバーでホストされている場合は、WebサイトがWAFによって保護されている場合に、ドメイン名のICP登録が完了し、ICP登録情報が有効であることを確認します。

    説明

    中国本土リージョンにデプロイされているWAFインスタンスは、ドメイン名のICP登録情報が有効かどうかを定期的に確認します。 ドメイン名のICP登録情報が無効になった場合、WAFは関連する法令に基づいてドメイン名を管理します。 たとえば、WAFはドメイン名のリクエストの転送を停止したり、ドメイン名の設定を削除したりできます。

    • WebサイトがAlibaba Cloudでホストされている場合、Alibaba Cloud ICP申請システムを使用して、ドメイン名のICP申請を申請できます。 詳細については、

      シナリオ

    • WebサイトがAlibaba Cloudにデプロイされていない場合は、Alibaba Cloudまたは別のクラウドサービスプロバイダーに連絡してICP申請を申請できます。

手順

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

  3. CNAME アクセスタブで追加をクリックします。

  4. Listener 設定ステップで、パラメータを設定し、次へ. 下表に、各パラメーターを説明します。

    パラメーター

    説明

    ドメイン名

    保護するドメイン名を入力します。 www.aliyundoc.comなどの完全一致ドメイン名、または * .aliyundoc.comなどのワイルドカードドメイン名を入力できます。 ドメイン名は1つだけ入力できます。

    初めてドメイン名をWAFに追加するときは、ドメイン名の所有権を確認する必要があります。 所有権が検証に合格した後にのみ、ドメイン名をWAFに追加できます。 詳細については、「ドメイン名の所有権の確認」をご参照ください。

    説明
    • ワイルドカードドメイン名を使用して、ワイルドカードドメイン名と同じレベルにあるすべてのサブドメインをカバーできます。 たとえば、* .aliyundoc.comwww.aliyundoc.comexample.aliyundoc.comをカバーできますが、* .aliyundoc.comwww.example.aliyundoc.comをカバーできません。

    • 第2レベルのワイルドカードドメイン名は、その第2レベルの親ドメイン名をカバーすることができる。 たとえば、* .aliyundoc.comaliyundoc.comをカバーできます。

    • 第3レベルのワイルドカードドメイン名は、その第3レベルの親ドメイン名をカバーできません。 たとえば、* .example.aliyundoc.comexample.aliyundoc.comをカバーできません。

    • 完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加する場合、完全一致ドメイン名用に構成されている保護ルールが優先されます。

    プロトコルタイプ

    Webサイトで使用されるプロトコルタイプとポートを選択します。 ポート番号を入力するたびにEnterキーを押します。

    説明

    入力するポート番号はWAFでサポートされている必要があります。 WAFでサポートされているHTTPポートとHTTPSポートを表示するには、ポート範囲の表示 をクリックします。 詳細については、「サポートされているポートの表示」をご参照ください。

    • HTTPSを選択した場合、HTTPSUpload Typeパラメーターを設定して、SSL証明書のアップロードに使用する方法を指定します。 次に、ドメイン名にバインドされたSSL証明書をWAFにアップロードします。 これにより、WAFはWebサイトのHTTPSトラフィックを監視できます。

      SSL証明書のアップロードに使用する方法を指定します。

      説明

      WAF (version_share_vm) はHTTPSをサポートしていません。

      手動でアップロード

      手動でアップロード を選択し、証明書名証明書ファイル 、および 秘密鍵ファイル パラメーターを設定します。 Certificate Fileパラメータの値は、----- BEGIN CERTIFICATE-----......-----END CERTIFICATE ----- 形式でなければならず、Private Keyパラメータの値は、----- BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY ----- 形式でなければならない。

      重要
      • 証明書ファイルがPEM、CER、またはCRT形式の場合は、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーできます。 証明書ファイルがPFXやP7Bなどの上記の形式以外の形式の場合は、ファイルをPEM形式に変換し、テキストエディターを使用してファイルを開いてテキストコンテンツをコピーする必要があります。 証明書管理サービスコンソールにログインし、提供されたツールを使用してファイル形式を変換できます。 詳細については、「証明書の形式の変換」をご参照ください。

      • ドメイン名が複数のSSL証明書または証明書チェーンにバインドされている場合、証明書ファイルのテキストコンテンツを結合し、結合したコンテンツをWAFにアップロードする必要があります。

      既存証明書の選択

      証明書が次のいずれかの条件を満たしている場合、証明書リストからWAFにアップロードする証明書を選択できます。

      • 証明書は、Alibaba CloudCertificate Management Service (Original SSL Certificate) によって発行されます。

      • 証明書は、certificate Management Serviceにアップロードされるサードパーティの証明書です。

      • 重要

        certificate Management Serviceにアップロードされたサードパーティの証明書を選択し、証明書チェーンの整合性を検証するには失敗しました証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります エラーメッセージが表示されたら、[Alibaba Cloud Security - Certificate Management Service] をクリックし、[certificate Management Service] コンソールで証明書を再アップロードします。 詳細については、「SSL証明書のアップロードと共有」をご参照ください。

      証明書の申し込み

      証明書の申し込み を選択し、今すぐ申し込む をクリックします。 Certificate Management Serviceコンソールで、ドメイン名の証明書を申請します。

      説明
      • 有料ドメイン検証済み (DV) 証明書のみを申請できます。 別の種類の証明書を申請する場合は、証明書管理サービスから証明書を購入する必要があります。 詳細については、「SSL証明書の購入」をご参照ください。

      • certificate Management Serviceコンソールでドメイン名の証明書を設定すると、証明書は自動的にWAFにアップロードされます。

    • HTTPSを選択して証明書をアップロードすると、ビジネス要件に基づいて次の操作を実行できます。

      • WebサイトがHTTP/2をサポートしている場合は、HTTP2を選択してHTTP/2リクエストを保護します。

        説明

        HTTP/2ポートはHTTPSポートと同じです。

      • 詳細設定

        • HTTPS ルーティングの有効化

          デフォルトでは、この機能は無効化されています。 この機能を有効にすると、HTTPリクエストは自動的にポート443のHTTPSリクエストにリダイレクトされます。 この機能により、セキュリティが向上します。 この機能を有効にすると、HTTP Strict Transport Security (HSTS) がデフォルトで有効になり、Strict-Transport-Securityヘッダーがレスポンスに含まれ、HTTPSを使用してのみWebサイトにアクセスできるようになります。

          重要

          この機能は、HTTPを選択しない場合にのみ有効にできます。

        • TLS バージョン

          HTTPS通信でサポートされているTransport Layer Security (TLS) プロトコルのバージョンを指定します。 クライアントがサポートされていないTLSバージョンを使用している場合、WAFはクライアントから送信されるリクエストをブロックします。 TLSプロトコルの新しいバージョンは、より高いセキュリティを提供しますが、互換性は低くなります。

          ウェブサイトのHTTPS設定に基づいてTLSバージョンを指定することを推奨します。 WebサイトのHTTPS設定を取得できない場合は、デフォルト値を使用することを推奨します。

          有効な値:

          • TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。 (デフォルト)

          • TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております

            この値を選択すると、TLS 1.0を使用するクライアントはWebサイトにアクセスできません。

          • TLS 1.2 以上をサポートします。互換性と安全性が優れています。

            この値を選択すると、TLS 1.0または1.1を使用するクライアントはWebサイトにアクセスできません。

          ウェブサイトがTLS 1.3をサポートしている場合は、TLS 1.3 以上対応 を選択します。 デフォルトでは、WAFはTLS 1.3を使用して送信されたリクエストをリッスンしません。

        • HTTPSCipherスイート

          HTTPS通信でサポートされている暗号スイートを指定します。 クライアントがサポートされていない暗号スイートを使用する場合、WAFはクライアントからの要求をブロックします。

          デフォルト値: すべての暗号スイート (高い互換性と低いセキュリティ) 。 Webサイトが特定の暗号スイートのみをサポートしている場合にのみ、このパラメーターを別の値に設定することを推奨します。

          有効な値:

          • すべての暗号スイート (高い互換性、低い安全性)

          • カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください) 詳細については、「サポートされている暗号スイートの表示」をご参照ください。

            他の暗号スイートを使用するクライアントはWebサイトにアクセスできません。

    Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか

    Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 有効な値:

    • No (デフォルト): レイヤ7プロキシはWAFの前にデプロイされません。

      WAFはクライアントからリクエストを受信します。 リクエストはプロキシによって転送されません。 WAFは、クライアントがWAFへの接続を確立するために使用するIPアドレスをクライアントのIPアドレスとして使用します。 WAFは、REMOTE_ADDRフィールドの値に基づいてIPアドレスを取得します。

    • Yes: レイヤ7プロキシがWAFの前にデプロイされます。

      WAFはレイヤー7プロキシからリクエストを受信します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを設定する必要があります。

      有効な値:

      • X-Forwarded-For フィールドのファースト IP アドレスをクライアントのソースアドレスにする (デフォルト)

        デフォルトでは、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントの送信元IPアドレスとして使用します。

      • [推奨] X-Forwarded-For偽造を防ぐために、指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用する。

        X-Client-IPやX-Real-IPなど、カスタムヘッダーフィールドにクライアントの送信元IPアドレスを含むプロキシを使用する場合は、この値を選択します。 次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。

        説明

        カスタムヘッダーフィールドを使用してクライアントの送信元IPアドレスを格納し、WAFでヘッダーフィールドを指定することを推奨します。 このように、攻撃者はX-Forwarded-Forフィールドを偽造してWAF検査をバイパスすることはできません。 これにより、ビジネスのセキュリティが向上します。

        複数のヘッダーフィールドを入力できます。 ヘッダーフィールドを入力するたびにEnterキーを押します。 複数のヘッダーフィールドを入力した場合、WAFはクライアントのIPアドレスを取得するまでヘッダーフィールドを順番にスキャンします。 WAFがヘッダーフィールドからクライアントのIPアドレスを取得できない場合、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。

    詳細設定

    • IPv6

      デフォルトでは、WAFはIPv4トラフィックのみを処理します。 WebサイトがIPv6をサポートしている場合は、IPv6を有効にして、IPv6トラフィックのWAF保護を有効にできます。 IPv6を有効にすると、WAFはIPv6トラフィックを処理するためにWAF IPアドレスをドメイン名に割り当てます。 この機能は、従量課金WAFインスタンスおよびサブスクリプションWAFインスタンスでのみ使用できます。中国本土.

    • Exclusive IP アドレス

      デフォルトでは、WAFに追加されるすべてのドメイン名は、同じWAF IPアドレスを使用して保護されます。 排他的IPアドレスをオンにすると、WAFはドメイン名の要求を監視するために排他的IPアドレスを割り当てます。 排他的IPアドレスを使用して保護されているドメイン名は、他のドメイン名でボリュームDDoS攻撃が発生してもアクセスできます。 詳細については、「排他的IPアドレス」をご参照ください。

      ドメイン名を保護するために排他的IPアドレスを使用する場合は、排他的IPアドレスをオンにすることができます。

      重要
      • Pro、Enterprise、およびUltimateエディションのサブスクリプションWAFインスタンスのExclusive IP Addressを有効にできます。 この機能に対して課金されます。

      • 従量課金WAFインスタンスを使用する場合、使用する排他的IPアドレスの数に基づいて課金されます。 詳細については、「課金の概要」をご参照ください。

    • 軽減リソース

      使用する保護リソースのタイプを選択します。 有効な値:

      • IP アドレス詳細 (デフォルト)

      • Shared Cluster-based Intelligent Load Balancing

        WAFインスタンスの共有クラスターベースのインテリジェントな負荷分散を有効にすると、異なるリージョンにデプロイされた少なくとも3つの保護ノードがWAFインスタンスに割り当てられ、自動ディザスタリカバリをサポートします。 WAFインスタンスは、インテリジェントなドメインネームシステム (DNS) 解決機能と最小時間back-to-originアルゴリズムを使用して、保護ノードからオリジンサーバーに送信されるトラフィックのレイテンシを最小限に抑えます。 詳細については、「インテリジェント負荷分散機能の使用」をご参照ください。

        重要
        • Pro、Enterprise、およびUltimateエディションのサブスクリプションWAFインスタンスに対して、Shared Cluster-based Intelligent Load Balancingを有効にできます。 この機能に対して課金されます。 Shared Cluster-based Intelligent Load Balancingを有効にするには、概要 ページの [保護された資産] セクションで 今すぐアップグレード をクリックし、インテリジェント SLB パラメーターを [有効] に設定します。 詳細については、「WAFインスタンスのアップグレードまたはダウングレード」をご参照ください。

        • 従量課金WAFインスタンスを使用している場合、Shared Cluster-based Intelligent Load Balancingを有効にしているかどうかに基づいて課金されます。 詳細については、「課金の概要」をご参照ください。

        • Shared Cluster-based Intelligent Load Balancingを有効にすると、IPv6または排他的IPアドレスを有効にできなくなります。

    リソースグループ

    ドロップダウンリストから、ドメイン名を追加するリソースグループを選択します。 リソースグループを選択しない場合、ドメイン名はデフォルトリソースグループに追加されます。

    説明

    リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。

  5. 転送ルールの設定 ステップで、パラメーターを設定し、サブミット をクリックします。 下表にパラメーターを示します。

    パラメーター

    説明

    ロードバランシングアルゴリズム

    複数の配信元サーバーアドレスを指定する場合は、ロードバランシングアルゴリズム を選択し、配信元に戻るリクエストを配信元サーバーに転送するためにWAFを使用します。 有効な値:

    • IPハッシュ (デフォルト)

      特定のIPアドレスから送信されたリクエストは、同じ配信元サーバーに転送されます。

    • ポーリング

      リクエストは、オリジンサーバーに順番に配信されます。

    • 最低時間

      WAFは、インテリジェントDNS解決機能と最小時間back-to-originアルゴリズムを使用して、リクエストがオリジンサーバーに転送される際のパスと遅延を最小限に抑えます。

      重要

      Listener 設定 ステップで 軽減リソース パラメーターを Shared Cluster-based Intelligent Load Balancing に設定した場合にのみ、負荷分散アルゴリズムパラメーターを [最小時間] に設定できます。 詳細については、このトピックの「Protection Resourceパラメーター」の説明をご参照ください。

    配信元サーバーアドレス

    オリジンサーバーのパブリックIPアドレスまたはドメイン名を指定します。 IPアドレスまたはドメイン名は、WAFによって転送されるback-to-originリクエストを受信するために使用されます。 有効な値:

    • IP

      • インターネット経由でIPアドレスにアクセスできることを確認してください。

      • 最大20個のIPアドレスを入力できます。 IPアドレスを入力するたびにEnterキーを押します。

        説明

        複数のIPアドレスを入力すると、WAFはワークロードをIPアドレス全体に分散して負荷分散を実現します。

      • IPv4アドレスとIPv6アドレスの両方、IPv4アドレスのみ、またはIPv6アドレスのみを入力できます。

        IPv4アドレスとIPv6アドレスの両方を入力すると、IPv4アドレスからのリクエストがIPv4アドレスを使用するオリジンサーバーに転送され、IPv6アドレスからのリクエストがIPv6アドレスを使用するオリジンサーバーに転送されます。

        重要

        IPv6アドレスを入力する場合は、[リスナーの設定] でIPv6をオンにします。 詳細については、このトピックの「IPv6パラメーター」の説明をご参照ください。

      重要

      オリジンサーバーのパブリックIPアドレスが変更された場合は、新しいback-to-origin IPアドレスを手動で追加する必要があります。

    • ドメイン名(CHAMEなど)

      Origin Server AddressパラメーターをDomain Name (CNAMEなど) に設定した場合、ドメイン名はIPv4アドレスに対してのみ解決でき、WAFはback-to-originリクエストをIPv4アドレスに転送します。

    HTTPS 詳細設定

    • HTTP back-to-origin の有効化

      [HTTPルーティングの有効化] をオンにすると、WAFはHTTP経由でリクエストを転送します。 デフォルトのポートは80です。 [HTTPルーティングの有効化] をオンにすると、クライアントがポート80でWAFにアクセスするかポート443でアクセスするかに関係なく、WAFはポート80でオリジンサーバーにリクエストを転送します。 すべてのリクエストはHTTP経由でオリジンサーバーに転送でき、オリジンサーバーの設定を変更する必要はありません。 これにより、Webサイトのパフォーマンスに対するトラフィックの影響が軽減されます。

      重要

      WebサイトがHTTPSをサポートしていない場合は、[HTTPルーティングの有効化] をオンにします。

    • Back-to-origin SNI の有効化

      WAFがオリジンサーバーにリクエストを転送するときに、Transport Layer Security (TLS) ハンドシェイクプロセスの開始時にHTTPS接続を確立する必要があるドメイン名を指定します。 オリジンサーバーが複数のドメイン名をホストする場合は、オリジンSNIを選択する必要があります。

      Back-to-origin SNI の有効化 を選択した後、サーバー名表示 (SNI) フィールドを設定できます。 有効な値:

      • Host ヘッダのドメイン名 (デフォルト)

        WAF back-to-originリクエストのSNIフィールドの値は、Hostヘッダーフィールドの値と同じです。

        たとえば、設定するドメイン名が * .aliyundoc.comで、クライアントがHostヘッダーフィールドでwww.aliyundoc.comドメイン名を要求した場合、WAF back-to-originリクエストのSNIフィールドの値がwww.aliyundoc.comされます。

      • カスタム

        WAF back-to-originリクエストのSNIフィールドにカスタム値を入力できます。

        ほとんどの場合、SNIフィールドにカスタム値を指定する必要はありません。 ただし、back-to-originリクエストのHostヘッダーフィールドの値とは異なる値のSNIフィールドをWAFで使用する場合は、SNIフィールドにカスタム値を指定できます。

    他の詳細設定

    • X-Forwarded-Protoヘッダーフィールドを使用したWAFのリスニングプロトコルの取得

      X-Forwarded-Protoヘッダーフィールドは、HTTPリクエストに自動的に追加されます。 X − Forwarded − Protoヘッダフィールドは、クライアントによって使用される元のプロトコルを識別するために使用される。 WebサイトがX-Forwarded-Protoヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。 このような問題を防ぐには、X-Forwarded-Protoヘッダーフィールドを使用してWAFのリスニングプロトコルの取得をクリアします。

    • トラフィックマークの有効化

      [トラフィックマークの有効化] を選択すると、WAFを通過するリクエストがマークされます。 これは、オリジンサーバーがクライアントの発信IPアドレスまたはポートを取得するのに役立ちます。

      ドメイン名をWAFに追加する前に攻撃者がオリジンサーバーに関する情報を取得し、別のWAFインスタンスを使用してリクエストをオリジンサーバーに転送する場合は、[トラフィックマークの有効化] を選択して悪意のあるトラフィックを傍受できます。 オリジンサーバーは、リクエストがWAFを通過したかどうかを確認します。 指定されたヘッダーフィールドがリクエストに存在する場合、リクエストはWAFを通過し、許可されます。 指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストはWAFを通過せず、ブロックされます。

      次のタイプのヘッダーフィールドを設定できます。

      • カスタムヘッダ

        カスタムヘッダーフィールドを追加する場合は、ヘッダ名 および ヘッダ値 パラメーターを設定する必要があります。 WAFは、back-to-originリクエストにヘッダーフィールドを追加します。 これにより、オリジンサーバーは、リクエストがWAFを通過したかどうかを確認し、統計を収集し、データを分析できます。

        たとえば、ALIWAF-TAG: はいのカスタムヘッダーフィールドを追加して、WAFを通過するリクエストをマークできます。 この例では、ヘッダーフィールドの名前はALIWAF-TAGで、ヘッダーフィールドの値はYesです。

      • リアル送信元 IP アドレス

        クライアントの送信元IPアドレスを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントの発信IPアドレスを取得できます。 WAFがクライアントの送信元IPアドレスを取得する方法の詳細については、このトピックのレイヤー7プロキシ (Anti-DDoS Pro、Anti-DDoS Premium、またはAlibaba Cloud CDNなど) がWAFの前にデプロイされているかどうかパラメーターの説明を参照してください。

      • ソースポート

        クライアントの発信ポートを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントのポートを取得できます。

      重要

      User-Agentなどの標準のHTTPヘッダーフィールドを設定しないことをお勧めします。 それ以外の場合、標準ヘッダーフィールドの元の値は、カスタムヘッダーフィールドの値で上書きされます。

      マークの追加 をクリックすると、ヘッダーフィールドを追加できます。 最大5つのヘッダーフィールドを指定できます。

    • back-to-originリクエストのタイムアウト期間の指定

      • 接続タイムアウト期間: WAFが配信元サーバーへの接続を待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 既定値:5

      • 読み取り接続タイムアウト期間: WAFが配信元サーバーから応答を受信するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120

      • 書き込み接続タイムアウト期間: WAFがリクエストを配信元サーバーに転送するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120

    • Back-to-origin の再試行

      Retry Back-to-originリクエストをオンにすると、WAFはオリジンサーバーへのリクエストの転送に失敗したときに、最大3回まで再試行します。 Retry Back-to-originリクエストをオンにしない場合、WAFは初めて失敗した場合、転送リクエストを再試行しません。

    • Back-to-origin の持続的接続

      Back-to-originキープアライブ要求をオンにする場合は、次のパラメーターを設定する必要があります。

      • 持続的接続の復元リクエスト数: 再利用されたキープアライブリクエストの数。 有効値: 60 ~ 1000 デフォルト値は 1000 です。

      • アイドル時の長時間の接続タイムアウト: アイドルキープアライブ要求のタイムアウト期間。 有効な値: 1 ~ 60。 単位は秒です。 デフォルト値:15。

      説明

      Back-to-originキープアライブ要求をオフにすると、back-to-originキープアライブ要求はWebSocketをサポートしません。

  6. 追加完了ステップで、ドメイン名に割り当てられたCNAMEを取得します。 ドメイン名がWAFによって提供されるCNAMEを指すようにDNSレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

    重要

    DNSレコードを変更する前に、次の条件が満たされていることを確認してください。

    • Webサイトの転送設定が正しく、有効になっています。 Webサイトの転送設定が有効になる前にDNSレコードを変更すると、サービスの中断が発生する可能性があります。 詳細については、「ドメイン名設定の確認」をご参照ください。

    • WAFのback-to-origin CIDRブロックは、ドメイン名がホストされているオリジンサーバーが使用するサードパーティファイアウォールのIPアドレスホワイトリストに追加されます。 これにより、WAFによって転送される通常のリクエストがブロックされなくなります。 [CNAMEレコード] タブで、ドメイン名リストの上にある Back-to-origin CIDR ブロック をクリックして、WAFのback-to-origin CIDRブロックを表示およびコピーできます。 詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。

    复制CNAME

    上記の設定を完了したら、次の操作を実行して、ドメイン名がWAFによって保護されているかどうかを確認できます。

    • ブラウザにドメイン名を入力します。 Webサイトにアクセスできる場合、ドメイン名はWAFによって保護されます。

    • ドメイン名と <Protected domain name>/alert(xss)alert(xss) などの悪意のあるコードを入力します。 405エラーページが表示された場合、攻撃はブロックされ、ドメイン名はWAFによって保護されます。

    重要

    CNAMEレコードモードでWAFにドメイン名を追加すると、WAFはそのドメイン名のICP登録が完了しているかどうか、およびICP登録情報が定期的に有効であるかどうかをチェックします。 ドメイン名のICP登録情報が無効になると、WAFはドメイン名のリクエストの転送を停止します。

    WAFに追加されたドメイン名のICP登録情報が無効になった場合、そのドメイン名のICP登録を再申請する必要があります。 アプリケーションが成功したら、[Webサイト設定] ページの [CNAMEレコード] タブに移動し、[操作] 列の [再度追加] をクリックして、ドメイン名をWAFに再追加できます。

その他操作

ドメイン名のDNS解決ステータスの表示

WAFは、保護されたドメイン名のDNS解決ステータスをチェックし、DNSレコードが異常なドメイン名を特定します。 WAFに追加したドメイン名のDNS解決ステータスをドメイン名リストに表示し、WAFコンソールに表示されるエラーメッセージに基づいてDNSレコードを変更できます。

DNS状态

DNS検証ステータス

説明

API 操作

DNS解決は正常です。

ドメイン名は、WAFによって提供されるCNAMEを指します。

なし。

DNS解決が異常です。 Aレコードが使用される。

Aレコードが使用され、サービス中断が発生する可能性があります。

Aレコードを削除し、CNAMEレコードを追加して、WAFが提供するCNAMEにドメイン名を指定します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

DNS解決が異常です。 WAFインスタンスの無効なIPアドレスが使用されています。

Aレコードが使用され、ドメイン名が無効なWAF IPアドレスを指しています。 サービスの中断が発生する可能性があります。

Aレコードを削除し、CNAMEレコードを追加して、WAFが提供するCNAMEにドメイン名を指定します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

DNS解決が異常です。 無効なCNAMEが使用されます。

CNAMEレコードが使用され、ドメイン名が無効なCNAMEにポイントされます。 サービスの中断が発生する可能性があります。

ドメイン名がWAFによって提供されるCNAMEを指すようにCNAMEレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

不明なDNS解決の問題が発生します。 プロキシがデプロイされます。

レイヤ7プロキシはWAFの前で使用され、back-to-originアドレスはWAFによって提供されるCNAMEではありません。

back-to-originアドレスがWAFによって提供されるCNAMEであるかどうかを確認します。

検証がタイムアウトしました。

なし。

アイコンをクリックして、updateDNS解決ステータスを再確認します。

DNS解決レコードが見つかりません。 DNSレコードは設定されていません。

ドメイン名にDNSレコードが設定されていません。 CNAMEレコードは、ドメイン名をWAFによって提供されるCNAMEにポイントするように追加する必要があります。

CNAMEレコードを追加して、ドメイン名をWAFによって提供されるCNAMEに指定します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

WAFをポイントできませんでした。 DNSレコードは設定されていません。

ドメイン名は、WAFが提供するCNAMEを指していません。 CNAMEレコードは、ドメイン名をWAFによって提供されるCNAMEにポイントするように追加する必要があります。

ドメイン名がWAFによって提供されるCNAMEを指すようにCNAMEレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

ドメイン名へのタグの追加または削除

WAFに追加されたドメイン名にタグを追加し、タグで特定のドメイン名を検索できます。

  • ドメイン名へのタグの追加または削除

    1. タグを管理するドメイン名を見つけ、タグ 列のアイコンの上に编辑ポインターを移動します。 ドメイン名にタグが追加されていない場合は、アタッチ をクリックします。 ドメイン名にタグが追加されている場合は、編集 をクリックします。

    2. タグの編集 ダイアログボックスで、タグキー および タグ値 パラメーターを設定します。

      説明
      • タグキーパラメーターの下に最大20個のタグキーを追加し、タグ値パラメーターを空のままにすることができます。

      • タグキーまたはタグ値パラメーターに値を指定する場合は、値の長さが1 ~ 128文字で、http:// またはhttps:// を含まず、先頭がacs: またはaliyunでないことを確認します。

      • タグは、WAFにドメイン名を追加するときに [Webサイト設定] ページで、または保護オブジェクトの保護ルールを設定するときに [保護オブジェクト] ページで追加できます。 最新のタグ設定は、2つのページ間で同期されます。 ドメイン名に追加されたタグは、ドメイン名関連の保護オブジェクトに自動的に追加されます。

      ドメイン名にタグを追加した後、[ラベルの選択] ドロップダウンリストからタグを選択して、ドメイン名を検索できます。

    3. オプション: タグが不要になった場合は、ドメイン名を見つけて タグの編集 ダイアログボックスを開き、タグの右側にある删除アイコンをクリックします。 次に、タグがドメイン名から削除されます。

  • 一度に複数のドメイン名にタグを追加または削除

    タグを管理するドメイン名を選択し、ドメイン名リストの下にある タグの追加 または タグの削除 をクリックします。

WAFに追加されたドメイン名の変更または削除

警告

ドメイン名を削除する前に、DNSレコードの設定を元の設定に戻す必要があります。 たとえば、DNSレコードを変更して、ドメイン名を配信元サーバーのIPアドレスに解決できます。 DNSレコード設定を変更しない場合、WAFはドメイン名に送信されたリクエストをオリジンサーバーに転送できず、Webサイトにアクセスできません。

管理するドメイン名を見つけて、[操作] 列の 編集 または 削除 をクリックします。

デフォルトのSSLまたはTLS設定

同じWAFインスタンスに複数のドメイン名を追加する場合、共有WAF仮想IPアドレス (VIP) を使用してドメイン名のトラフィックを監視します。

さまざまなシナリオでHTTPSのセキュリティコンプライアンスと互換性の要件を満たすために、WAFではIPv4 VIPのSSLまたはTLS設定を構成できます。 コンプライアンスのスキャンと検出を実行する前に、VIPのHTTPS証明書をアップロードし、特定のTLSプロトコルバージョンと暗号スイートを無効または有効にすることができます。

説明

排他的IPアドレスを購入して有効にすると、排他的IPアドレスの設定が有効になります。 排他的IPアドレスの詳細については、「排他的IPアドレス」をご参照ください。

  1. ドメイン名リストの上にある [デフォルトのSSL/TLS設定] をクリックします。image.png

  2. [デフォルトのSSL/TLS設定] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。 下表に、各パラメーターを説明します。

    パラメーター

    説明

    HTTPSUploadタイプ

    SSL証明書のアップロード方法を指定します。 詳細については、このトピックの「HTTPSUpload Typeパラメーター」をご参照ください。

    TLSバージョン

    HTTPS通信でサポートされているTLSプロトコルのバージョンを指定します。 有効な値:

    • TLS 1.0以降 (最高の互換性と低セキュリティ) (デフォルト)

    • TLS 1.1以降 (高い互換性と高いセキュリティ)

    • TLS 1.2以降 (高い互換性と最高のセキュリティ)

    TLS 1.3を有効にする場合は、[TLS 1.3のサポート] を選択します。

    HTTPSCipherスイート

    HTTPS通信でサポートされている暗号スイートを指定します。 有効な値:

    • すべてのサイファースイート (高い互換性と低いセキュリティ) (デフォルト)

    • Custom Cipher Suite (プロトコルバージョンに基づいて選択します。 注意してください。)

      カスタム暗号スイートの詳細については、「サポートされている暗号スイートの表示」をご参照ください。

ドメイン名にバインドされたSSL証明書の更新

ドメイン名にバインドされているSSL証明書の有効期限が近づいている場合、または証明書が取り消された場合など、証明書が変更された場合は、証明書を更新する必要があります。

説明
  • 証明書の残りの有効期間が30日未満の場合、image.pngアイコンがドメイン名リストに表示されます。 これは、証明書の有効期限が近づいていることを示します。 この場合、できるだけ早い機会に証明書を更新する必要があります。

  • 証明書の有効期限が近づいたときに電子メールやテキストメッセージなどの方法で通知を受信する場合は、証明書の通知を設定できます。 詳細については、「SSL証明書の通知の設定」をご参照ください。

  • 証明書の有効期限によるサービスの中断を防ぐには、証明書管理サービスの証明書ホスティング機能を有効にします。 証明書に対してこの機能を有効にすると、システムは自動的に

    ホストされた証明書の有効期限が近づいたときの新しい証明書。 詳細については、「証明書ホスティング機能の概要」をご参照ください。

ドメイン名にバインドされているSSL証明書を更新するには、次の手順を実行します。

  1. 証明書を更新するか、サードパーティの証明書を証明書管理サービスにアップロードします。 詳細については、「証明書の更新」または「SSL証明書のアップロードと共有」をご参照ください。

  2. 証明書をWAFに同期します。

    • 証明書管理サービスコンソールで、証明書をWAFにデプロイします。 詳細については、「Alibaba Cloudサービスへの証明書のデプロイ」をご参照ください。

    • WAFコンソールで証明書をアップロードします。

      1. [Webサイト設定] ページの [CNAMEレコード] タブで、証明書を更新するドメイン名を見つけ、[操作] 列の [編集] をクリックします。

      2. HTTPSUpload Typeパラメーターを [既存の証明書の選択] に設定し、新しい証明書を選択します。

次のステップ

ドメイン名をWAFに追加すると、ドメイン名がWAFの保護オブジェクトとして自動的に追加され、保護オブジェクトに対して基本保護ルールモジュールの保護ルールが自動的に有効になります。 保護されたオブジェクトの名前は、Domain name-waf形式です。 保護設定 > 保護対象 ページで、保護オブジェクトを表示し、保護オブジェクトの保護ルールを設定できます。防护对象

関連ドキュメント

  • 保護されたオブジェクト、保護ルール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。

  • API操作を呼び出してドメイン名をWAFに追加する方法の詳細については、「CreateDomain」をご参照ください。

  • CNAMEレコードモードでWAFに追加されたドメイン名の詳細を照会する方法の詳細については、「DescribeDomainDetail」をご参照ください。