Elastic Compute Service (ECS) インスタンスを作成した場合、インスタンスのポートをWebアプリケーションファイアウォール (WAF) に追加して、インスタンスのwebトラフィックをWAFにリダイレクトして保護できます。 このトピックでは、ECSインスタンスのWAF保護を有効にする方法について説明します。
背景情報
ECSは、Alibaba Cloudが提供する高性能、安定性、信頼性、スケーラブルなIaaSレベルのサービスです。 ECSにより、ITハードウェアへの先行投資が不要になります。 これにより、アプリケーションを効率的にデプロイできます。 ECSでは、要件の変化とトラフィックの急増に基づいてリソースをスケーリングできます。 詳細については、「ECS の概要」をご参照ください。
ECSインスタンスのWAF保護を有効にできます。 ECSインスタンスのWAF保護を有効にすると、インスタンスのすべてのwebトラフィックは、検査用の特定のゲートウェイを使用してWAFにルーティングされます。 WAFは悪意のあるトラフィックを除外し、通常のトラフィックをECSインスタンスに転送します。 次の図は、ネットワークアーキテクチャを示しています。
制限事項
次のAlibaba Cloudサービスのいずれかを使用するWebサービスをクラウドネイティブモードでWAFに追加できます。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Classic Load Balancer (CLB) 、Elastic Compute Service (ECS) 、およびNetwork Load Balancer (NLB) 。
. 前述のAlibaba Cloudサービスを使用しないwebサービスを保護するためにWAFを使用する場合は、CNAMEレコードモードでwebサービスのドメイン名をWAFに追加します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。
項目 | 説明 |
サポートされているインスタンス | 次の要件を満たすインスタンスのみをWAFに追加できます。
|
サポートされるリージョン |
|
トラフィック転送ポート数 | トラフィック転送ポートの最大数は、保護されているオブジェクトの最大数と同じです。
|
サポートされるポート | 0から65535までの標準および非標準ポートがサポートされます。 詳細については、「サポートされているポートの表示」をご参照ください。 |
Anti-DDoSプロキシおよびWAFによって保護されるサービス | Anti-DDoS ProxyとWAFを使用してwebサービスを保護する場合は、ドメイン名を追加してAnti-DDoS proxyにサービスを追加する場合にのみ、透過プロキシモードでサービスをWAFに追加できます。 |
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
上記の要件を満たすECSインスタンスが作成されます。 要件の詳細については、このトピックの「制限」セクションを参照してください。 ECSインスタンスの作成方法については、「インスタンスの作成」をご参照ください。
サブスクリプションWAFインスタンスを使用する場合は、WAFに追加した保護対象オブジェクトの数が上限を超えないようにしてください。 上限を超えると、クラウドサービスインスタンスをWAFに追加できなくなります。
WAFに追加できる保護されたオブジェクトの数を表示するには、
トラフィック転送ポートの追加
WAFにインスタンスを追加すると、webサービスが数秒間中断されることがあります。 クライアントが自動的に再接続できる場合、webサービスは自動的に再開されます。 ビジネス要件に基づいて、再接続メカニズムとback-to-origin設定を構成します。
ECSインスタンスのWAF保護を有効にした後に次の操作を実行すると、トラフィックリダイレクションポートはWAFから自動的に削除されます。 ポートをWAFに再追加しない場合、ポート上のトラフィックはWAFによってフィルタリングされません。
インスタンスに関連付けられているパブリックIPアドレスを変更します。
移行タスクを作成し、ゾーンを変更します。
インスタンスをリリースします。
ECSインスタンスのWAF保護を有効にすると、ECSインスタンスに関連付けられているelastic IPアドレス (EIP) またはパブリックIPアドレス宛てのトラフィックがWAFにリダイレクトされます。
ECSインスタンスからEIPの関連付けを解除すると、トラフィックリダイレクトは自動的に無効になります。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
Webサイト設定ページの [クラウドネイティブ] タブで、左側のクラウドサービスリストで [ECS] をクリックします。
[今すぐ許可] をクリックして、WAFインスタンスにECSへのアクセスを許可します。
Alibaba Cloudは、AliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
説明WAFインスタンスにECSへのアクセスを既に許可している場合は、この手順をスキップしてください。
[追加] をクリックします。
[インスタンス-ECSインスタンスの設定] パネルで、パラメーターを設定します。 下表に、各パラメーターを説明します。
パラメーター
API 操作
追加するインスタンスとポートを選択します。
インスタンスの同期
WAFに追加するインスタンスがインスタンスリストにない場合は、インスタンスの同期 をクリックしてインスタンスリストを更新します。
ポートの追加
WAFに追加するインスタンスを見つけて、操作 列の ポートの追加 をクリックします。
WAFに追加するポートの番号を入力し、Enterキーを押します。
ポート番号はWAFでサポートされている必要があります。 [ポート範囲の表示] をクリックすると、WAFでサポートされているHTTPポートとHTTPSポートを表示できます。 詳細については、「サポートされているポートの表示」をご参照ください。
WAFに追加するポートのプロトコルタイプを選択します。 有効な値: HTTPおよびHTTPS。
HTTPSを選択した場合、証明書をアップロードする必要があります。
説明アップロードするデフォルト証明書と追加証明書の総数は10を超えることはできません。
デフォルト証明書
HTTPSを選択した場合、詳細設定 をクリックして、次の詳細パラメーターを設定できます。
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
Anti-DDoS proxyやAlibaba Cloud CDNなど、レイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 設定可能な値は、Yes または No です。
デフォルトでは、No が選択されています。 この値は、WAFがクライアントから送信されたリクエストを受信することを示します。 リクエストはプロキシによって転送されません。
説明クライアントからWAFにリクエストが送信されると、WAFはWAFへの接続を確立するために使用されるIPアドレスをクライアントのIPアドレスとして使用します。 IPアドレスは、リクエストの
REMOTE_ADDR
フィールドで指定されます。レイヤ7プロキシがWAFの前にデプロイされている場合は、Yes を選択します。 この値は、レイヤ7プロキシによってWAFに転送されたリクエストをWAFが受信することを示します。 WAFがセキュリティ分析のためにクライアントの実際のIPアドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを設定する必要があります。
リソースグループ
[リソースグループ] ドロップダウンリストから、ECSインスタンスを追加するリソースグループを選択します。 リソースグループを選択しない場合、ECSインスタンスはデフォルトリソースグループに追加されます。
説明リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。
詳細設定
WAF保護を有効にするECSインスタンスを選択し、OK.
ECSインスタンスのWAF保護を有効にすると、インスタンスは自動的にWAFの保護対象オブジェクトになります。 保護されたオブジェクトの名前は、インスタンスID-ポート番号-資産タイプの形式です。 デフォルトでは、保護対象オブジェクトに対して基本保護ルールが有効になっています。 保護されたオブジェクトの保護ルールは、[保護されたオブジェクト] ページで設定できます。 [保護されたオブジェクト] ページに移動するには、[Webサイト設定] ページの [クラウドネイティブ] タブで、WAFに追加したECSインスタンスのIDをクリックします。 詳細については、「保護設定の概要」をご参照ください。
WAF保護の管理
配信元サーバーの表示とトラフィックのリダイレクションポートの管理
ECSインスタンスのWAF保護を有効にすると、緊急ディザスタリカバリシナリオで、オリジンサーバーの保護の詳細を表示し、トラフィックのリダイレクトを強制的に無効にするか、トラフィックのリダイレクションポートを削除できます。
On theアクセス管理ページをクリックし、クラウドプロダクトアクセスタブをクリックします。
左側のクラウドサービスリストで、[ECS] をクリックします。 表示するトラフィックリダイレクションポートを持つECSインスタンスを見つけ、インスタンス名の左側にあるアイコンをクリックして、WAFに追加されたポートを表示します。
ポートの詳細の表示: [操作] 列の ポート詳細 をクリックして、ポート、プロトコル、および証明書に関する情報を表示します。 次に、Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前面にデプロイするかどうか、[トラフィックマークの有効化] (詳細設定) 、[Back-to-origin Keep-alive Requests] (詳細設定) パラメーターを設定します。
ポートの削除: [操作] 列の 接続解除 をクリックします。 接続解除 メッセージで、OK をクリックします。
重要WAFからトラフィックのリダイレクトポートを削除すると、webサービスが数秒間中断されることがあります。 クライアントが自動的に再接続できる場合、webサービスは自動的に再開されます。 ビジネス要件に基づいて、再接続メカニズムとback-to-origin設定を構成します。
WAFからトラフィックリダイレクトポートを削除すると、そのポートのトラフィックはWAFによって保護されなくなります。 ポートをWAFに再追加するには、[追加] をクリックします。 詳細については、「トラフィック転送ポートの追加」をご参照ください。
トラフィックリダイレクションポートに関連付けられた証明書の更新
トラフィックリダイレクトポートに関連付けられている証明書の有効期限が近づいている場合、または証明書が取り消された場合など、証明書が変更された場合は、証明書を更新する必要があります。
証明書の残りの有効期間が30日未満の場合、アイコンがドメイン名リストに表示されます。 これは、証明書の有効期限が近づいていることを示します。 この場合、できるだけ早い機会に証明書を更新する必要があります。
証明書の有効期限が近づいたときに電子メールやテキストメッセージなどの方法で通知を受信する場合は、証明書の通知を設定できます。 詳細については、「SSL証明書の通知の設定」をご参照ください。
証明書の有効期限によるサービスの中断を防ぐには、証明書管理サービスの証明書ホスティング機能を有効にします。 証明書に対してこの機能を有効にすると、システムは自動的に
ホストされた証明書の有効期限が近づいたときの新しい証明書。 詳細については、「証明書ホスティング機能の概要」をご参照ください。
以下の手順を実行します。
証明書を更新するか、サードパーティの証明書を証明書管理サービスにアップロードします。 詳細については、「証明書の更新」または「SSL証明書のアップロードと共有」をご参照ください。
証明書をWAFに同期します。
証明書管理サービスコンソールで、証明書をWAFにデプロイします。 詳細については、「Alibaba Cloudサービスへの証明書のデプロイ」をご参照ください。
WAFコンソールで証明書を更新します。
クラウドプロダクトアクセス タブで、左側のクラウドサービスリストで [ECS] をクリックします。 管理するインスタンスを見つけて、アイコンをクリックします。 証明書を更新するトラフィックリダイレクションポートを見つけて、操作 列の 証明書の編集 をクリックします。
デフォルト証明書 ダイアログボックスで、既存ファイルを選択 を選択し、ドロップダウンリストから新しい証明書を選択します。