すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:WAFのback-to-origin CIDRブロックからのアクセスを許可する

最終更新日:Nov 28, 2024

CNAMEレコードモードでは、Web Application Firewall (WAF) は特定のback-to-origin CIDRブロックを使用して、通常のトラフィックをオリジンサーバーに転送します。 CNAMEレコードモードでWebサイトをWAFに追加した後、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックを許可するように、オリジンサーバーのセキュリティソフトウェアまたはアクセス制御ポリシーを設定する必要があります。

シナリオ

CNAMEレコードモードで、オリジンサーバーにSafeDogやYunsuoなどのセキュリティソフトウェアを使用する場合は、 back-to-origin CIDRブロックのWAF セキュリティソフトウェアのIPアドレスホワイトリストに このように、セキュリティソフトウェアは、WAFによって配信元サーバーに転送される通常のトラフィックをブロックしません。

よくある質問

  • WAFのback-to-origin CIDRブロックとは何ですか?

    WAFのback-to-origin CIDRブロックは、クライアントから配信元サーバーに送信されたリクエストを転送するためにWAFによって使用されるCIDRブロックです。 WebサイトがWAFに追加された後、オリジンサーバーは、すべてのリクエストがWAFのback-to-origin CIDRブロックから発生したものと見なします。 クライアントの発信元IPアドレスは、リクエストのHTTPヘッダーのX-Forwarded-For (XFF) フィールドに追加されます。

    image
  • WAFのback-to-origin CIDRブロックをオリジンサーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加する必要があるのはなぜですか。

    WebサイトがWAFに追加されると、オリジンサーバーはWAFのback-to-origin CIDRブロックからリクエストを高いレートで受信します。 この場合、配信元サーバー上のファイアウォールまたはセキュリティソフトウェアは、CIDRブロックを攻撃IPアドレスと見なし、それらをブロックする可能性があります。 IPアドレスがブロックされている場合、WAFは配信元サーバーから期待どおりの応答を受信できません。 WebサイトをWAFに追加した後、WAFのback-to-origin CIDRブロックがオリジンサーバーのIPアドレスホワイトリストに追加されていることを確認します。 そうしないと、Webサイトにアクセスできないか、遅くなる可能性があります。

WAFのback-to-origin CIDRブロックの取得

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。中国本土または中国本土以外を選択します。

  2. 左側のナビゲーションウィンドウで、アクセス管理をクリックします。

  3. をクリックし、CNAMEレコードタブをクリックします。

  4. ドメイン名リストの上にある [Back-to-origin CIDR Blocks] をクリックします。

    回源IP

  5. Back-to-origin CIDR Blockメッセージで、[コピー] をクリックして、すべてのback-to-origin CIDRブロックをクリップボードにコピーします。

    説明

    コピーするback-to-origin CIDRブロックは、コンマ (,) で区切ります。

    回源IP段

次のステップ

WAFのback-to-origin CIDRブロックを取得したら、配信元サーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加する必要があります。 配信元サーバーのアクセス制御ポリシーを設定して、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックのみを許可することもできます。

警告

WAFのback-to-origin CIDRブロックをオリジンサーバーのセキュリティソフトウェアのIPアドレスホワイトリストに追加しないと、WAFによって転送された通常のリクエストがブロックされる可能性があります。 これは、サービスの中断を引き起こし得る。

セキュリティ上の理由から、オリジンサーバーのアクセス制御ポリシーを構成して、WAFのback-to-origin CIDRブロックからのインバウンドトラフィックのみを許可することを推奨します。 これにより、攻撃者はWAFをバイパスしてオリジンサーバーを攻撃することはできません。