CNAMEレコードモードでは、Web Application Firewall (WAF) は特定のback-to-origin CIDRブロックを使用して、通常のトラフィックをオリジンサーバーに転送します。 CNAMEレコードモードでWebサイトをWAFに追加した後、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックを許可するように、オリジンサーバーのセキュリティソフトウェアまたはアクセス制御ポリシーを設定する必要があります。
シナリオ
CNAMEレコードモードで、オリジンサーバーにSafeDogやYunsuoなどのセキュリティソフトウェアを使用する場合は、 back-to-origin CIDRブロックのWAF セキュリティソフトウェアのIPアドレスホワイトリストに このように、セキュリティソフトウェアは、WAFによって配信元サーバーに転送される通常のトラフィックをブロックしません。
よくある質問
WAFのback-to-origin CIDRブロックは、クライアントから配信元サーバーに送信されたリクエストを転送するためにWAFによって使用されるCIDRブロックです。 WebサイトがWAFに追加された後、オリジンサーバーは、すべてのリクエストがWAFのback-to-origin CIDRブロックから発生したものと見なします。 クライアントの発信元IPアドレスは、リクエストのHTTPヘッダーの
X-Forwarded-For(XFF) フィールドに追加されます。
WAFのback-to-origin CIDRブロックの取得
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。中国本土または中国本土以外を選択します。
左側のナビゲーションウィンドウで、アクセス管理をクリックします。
をクリックし、CNAMEレコードタブをクリックします。
ドメイン名リストの上にある [Back-to-origin CIDR Blocks] をクリックします。
Back-to-origin CIDR Blockメッセージで、[コピー] をクリックして、すべてのback-to-origin CIDRブロックをクリップボードにコピーします。
説明コピーするback-to-origin CIDRブロックは、コンマ (,) で区切ります。
次のステップ
WAFのback-to-origin CIDRブロックを取得したら、配信元サーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加する必要があります。 配信元サーバーのアクセス制御ポリシーを設定して、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックのみを許可することもできます。
WAFのback-to-origin CIDRブロックをオリジンサーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加しないと、WAFによって転送された通常のリクエストがブロックされる可能性があります。 これは、サービスの中断を引き起こし得る。
セキュリティ上の理由から、オリジンサーバーのアクセス制御ポリシーを構成して、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックのみを許可することを推奨します。 これにより、攻撃者はWAFをバイパスしてオリジンサーバーを攻撃することはできません。