Classic Load Balancer (CLB) インスタンスを作成し、インスタンスにTCPリスナーを追加した場合、インスタンスのリスナーポートをWeb Application Firewall (WAF) に追加して、インスタンスのwebトラフィックを保護のためにWAFにリダイレクトできます。 このトピックでは、レイヤー4 CLBインスタンスのWAF保護を有効にする方法について説明します。
背景情報
同じリージョンにデプロイされているElastic Compute Service (ECS) インスタンスをCLBインスタンスに追加すると、CLBは仮想IPアドレス (VIP) を使用して、ECSインスタンスを高性能で高可用性のサーバープールに結合します。 次に、CLBは転送ルールに基づいてインバウンドリクエストをECSインスタンスに転送します。 詳細については、「CLB の概要」をご参照ください。
保護のためにレイヤ4 CLBインスタンスをWAFに追加できます。 レイヤ4 CLBインスタンスをWAFに追加すると、CLBインスタンスのすべてのトラフィックが特定のゲートウェイによってWAFにリダイレクトされます。 WAFは悪意のあるトラフィックを除外し、通常のトラフィックをCLBインスタンスに転送します。 次の図は、ネットワークアーキテクチャを示しています。
制限事項
次のAlibaba Cloudサービスのいずれかを使用するWebサービスをクラウドネイティブモードでWAFに追加できます。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Classic Load Balancer (CLB) 、Elastic Compute Service (ECS) 、およびNetwork Load Balancer (NLB) 。
. 前述のAlibaba Cloudサービスを使用しないwebサービスを保護するためにWAFを使用する場合は、CNAMEレコードモードでwebサービスのドメイン名をWAFに追加します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
項目 | 説明 |
サポートされているインスタンス | 次の要件を満たすインスタンスのみをWAFに追加できます。
|
サポートされるリージョン |
|
トラフィック転送ポート数 | トラフィック転送ポートの最大数は、保護されているオブジェクトの最大数と同じです。
|
Anti-DDoS ProxyおよびWAFによって保護されるサービス | Anti-DDoS ProxyとWAFを使用してwebサービスを保護する場合は、ドメイン名を追加してAnti-DDoS proxyにサービスを追加する場合にのみ、透過プロキシモードでサービスをWAFに追加できます。 |
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
要件を満たすCLBインスタンスが作成されます。 TCPリスナーがCLBインスタンスに追加されます。 要件の詳細については、「制限」をご参照ください。 TCPリスナーをCLBインスタンスに追加する方法の詳細については、「TCPリスナーの追加」をご参照ください。
サブスクリプションWAFインスタンスを使用する場合は、WAFに追加した保護対象オブジェクトの数が上限を超えないようにしてください。 上限を超えると、クラウドサービスインスタンスをWAFに追加できなくなります。
WAFに追加できる保護されたオブジェクトの数を表示するには、
トラフィック転送ポートの追加
WAFにインスタンスを追加すると、webサービスが数秒間中断されることがあります。 クライアントが自動的に再接続できる場合、webサービスは自動的に再開されます。 ビジネス要件に基づいて、再接続メカニズムとback-to-origin設定を構成します。
レイヤー4 CLB、ECS、またはNLBインスタンスをWAFに追加した後に次の操作を実行すると、トラフィックリダイレクションポートはWAFから自動的に削除されます。 ポートをWAFに再追加しない場合、ポート上のトラフィックはWAFによってフィルタリングされません。
インスタンスに関連付けられているパブリックIPアドレスを変更します。
説明NLBインスタンスのパブリックIPアドレスが変更された場合、トラフィックのリダイレクトは無効になりません。
相互認証を有効にします。
インスタンスからリスナーポートを削除します。
インスタンスを削除します。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブで、左側のクラウドサービスリストで [CLB(TCP)] をクリックします。
権限付与ページで、今すぐ許可するWAFインスタンスに必要なクラウドサービスへのアクセスを許可します。
Alibaba Cloudは、AliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
説明承認が完了した場合、承認ページは表示されません。 次のステップに進むことができます。
[追加] をクリックします。
[インスタンス-レイヤー4 CLBインスタンスの設定] パネルで、パラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
API 操作
追加するインスタンスとポートを選択します。
(オプション) インスタンスの同期
WAFに追加するインスタンスがインスタンスリストにない場合は、インスタンスの同期 をクリックしてインスタンスリストを更新します。
ポートの追加
WAFに追加するインスタンスを見つけて、操作 列の ポートの追加 をクリックします。
WAFに追加するポートを選択します。
WAFに追加するポートのプロトコルタイプを選択します。 有効な値: HTTPおよびHTTPS。
HTTPSを選択した場合、証明書をアップロードする必要があります。
説明アップロードするデフォルト証明書と追加証明書の総数は10を超えることはできません。
デフォルト証明書
HTTPSを選択した場合、詳細設定 をクリックして、次の詳細パラメーターを設定できます。
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 設定可能な値は、Yes または No です。
デフォルトでは、No が選択されています。 この値は、WAFがクライアントから送信されたリクエストを受信することを示します。 リクエストはプロキシによって転送されません。
説明クライアントからWAFにリクエストが送信されると、WAFはWAFへの接続を確立するために使用されるIPアドレスをクライアントのIPアドレスとして使用します。 IPアドレスは、リクエストの
REMOTE_ADDR
フィールドで指定されます。レイヤ7プロキシがWAFの前にデプロイされている場合は、Yes を選択します。 この値は、レイヤ7プロキシによってWAFに転送されたリクエストをWAFが受信することを示します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを設定する必要があります。
リソースグループ
インスタンスを追加するリソースグループを選択します。 リソースグループを選択しない場合、インスタンスはデフォルトリソースグループに追加されます。
説明リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。
詳細設定
WAFに追加するCLBインスタンスを選択し、OKをクリックします。
CLBインスタンスをWAFに追加すると、インスタンスは自動的にWAFの保護対象オブジェクトになります。 保護されたオブジェクトの名前は、インスタンスID-ポート-アセット型の形式です。 基本的な保護ルールは、CLBインスタンスに対して自動的に有効になります。 保護されたオブジェクトの保護ルールは、[保護されたオブジェクト] ページで設定できます。 [保護オブジェクト] ページに移動するには、[Webサイト設定] ページの [クラウドネイティブ] タブで、WAFに追加したCLBインスタンスのIDをクリックします。 詳細については、「保護設定の概要」をご参照ください。
その他の操作
配信元サーバーの表示とトラフィックのリダイレクションポートの管理
WAFにCLBインスタンスを追加した後、緊急ディザスタリカバリシナリオでは、オリジンサーバーの保護の詳細を表示し、トラフィックのリダイレクトを強制的に無効にするか、トラフィックのリダイレクションポートを削除できます。
アクセス管理ページで、クラウドプロダクトアクセスタブをクリックします。
左側のクラウドサービスリストで、[CLB(TCP)] をクリックします。 トラフィックリダイレクションポートを表示するCLBインスタンスを見つけ、インスタンス名の左側にあるアイコンをクリックして、WAFに追加されたポートを表示します。
ポートの詳細の表示: [操作] 列の ポート詳細 をクリックして、ポート、プロトコル、および証明書に関する情報を表示します。 次に、次のパラメーターを設定します。Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか、[トラフィックマークの有効化] (詳細設定) 、[Back-to-originキープアライブリクエスト] (詳細設定) 。
ポートの削除: 接続解除 をクリックし、接続解除 メッセージの OK をクリックします。
重要WAFからトラフィックのリダイレクトポートを削除すると、webサービスが数秒間中断されることがあります。 クライアントが自動的に再接続できる場合、webサービスは自動的に再開されます。 ビジネス要件に基づいて、再接続メカニズムとback-to-origin設定を構成します。
トラフィックリダイレクトポートを削除すると、そのポートのトラフィックはWAFによって保護されなくなります。 ポートをWAFに再追加するには、[追加] をクリックします。 詳細については、「トラフィック転送ポートの追加」をご参照ください。
トラフィックリダイレクションポートに関連付けられた証明書の更新
トラフィックリダイレクトポートに関連付けられている証明書の有効期限が近づいている場合、または証明書が取り消された場合など、証明書が変更された場合は、証明書を更新する必要があります。
証明書の残りの有効期間が30日未満の場合、アイコンがドメイン名リストに表示されます。 これは、証明書の有効期限が近づいていることを示します。 この場合、できるだけ早い機会に証明書を更新する必要があります。
証明書の有効期限が近づいたときに電子メールやテキストメッセージなどの方法で通知を受信する場合は、証明書の通知を設定できます。 詳細については、「SSL証明書の通知の設定」をご参照ください。
証明書の有効期限によるサービスの中断を防ぐには、証明書管理サービスの証明書ホスティング機能を有効にします。 証明書に対してこの機能を有効にすると、システムは自動的に
ホストされた証明書の有効期限が近づいたときの新しい証明書。 詳細については、「証明書ホスティング機能の概要」をご参照ください。
以下の手順を実行します。
証明書を更新するか、サードパーティの証明書を証明書管理サービスにアップロードします。 詳細については、「証明書の更新」または「SSL証明書のアップロードと共有」をご参照ください。
証明書をWAFに同期します。
証明書管理サービスコンソールで、証明書をWAFにデプロイします。 詳細については、「Alibaba Cloudサービスへの証明書のデプロイ」をご参照ください。
WAFコンソールで証明書を更新します。
クラウドプロダクトアクセス タブで、左側のクラウドサービスリストで [CLB(TCP)] をクリックします。 証明書を更新するインスタンスを見つけ、アイコンをクリックし、操作 列の 証明書の編集 をクリックします。
デフォルト証明書 ダイアログボックスで、既存ファイルを選択 を選択し、ドロップダウンリストから新しい証明書を選択します。