webサービスをWebアプリケーションファイアウォール (WAF) に追加した後、webサイトの改ざん防止モジュールの保護ルールを構成して、保護するwebページをロックできます。 たとえば、機密情報を含むwebページをロックできます。 ロックされたページが要求されると、ページのキャッシュされたバージョンが返され、webページの改ざんを防ぎます。 このトピックでは、Webサイトの改ざん防止モジュールの保護テンプレートを作成し、テンプレートに保護ルールを追加する方法について説明します。
制限事項
ハイブリッドクラウドまたはクラウドネイティブモードでwebサービスをWAFに追加する場合、関連する保護されたオブジェクトはwebサイトの改ざん防止モジュールをサポートしません。 クラウドネイティブモードで、Microservices Engine (MSE) インスタンスとFunction Compute関連のドメイン名をWAFに追加できます。
前提条件
WAF 3.0インスタンスを購入しました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
Webサービスは、保護されたオブジェクトとしてWAF 3.0に追加されます。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
ステップ1: Webサイトの改ざん防止モジュールの保護テンプレートを作成する
Webサイトの改ざん防止モジュールは、デフォルトの保護テンプレートを提供しません。 Webサイトの改ざん防止モジュールの保護ルールを有効にする前に、モジュールの保護テンプレートを作成し、保護ルールをテンプレートに追加する必要があります。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、ウェブサイトの改ざん防止のセクション基本的な Web 保護ページをクリックします。テンプレートの作成.
説明Webサイトの改ざん防止モジュールの保護テンプレートを初めて作成する場合は、基本的な Web 保護 ページの上部にある [Webサイトの改ざん防止] カードの [今すぐ設定] をクリックすることもできます。
[テンプレートの作成-Webサイトの改ざん防止] パネルで、パラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
テンプレートの名前は1 ~ 255文字で、英数字、ピリオド (.) 、アンダースコア (_) 、ハイフン (-) を使用できます。
ルール設定
[ルールの作成] をクリックして、テンプレートの保護ルールを作成します。 テンプレートの作成後に保護ルールを作成することもできます。 詳細については、「手順2: Webサイトの改ざん防止モジュールの保護テンプレートに保護ルールを追加する」をご参照ください。
申請先
テンプレートを適用する保護オブジェクトと保護オブジェクトグループを選択します。
保護対象オブジェクトまたは保護対象オブジェクトグループに適用できる保護テンプレートは、Webサイトの改ざん防止モジュールの1つだけです。 保護オブジェクトの追加と保護オブジェクトグループの作成方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
デフォルトでは、新しく作成された保護テンプレートが有効になります。 テンプレートリスト内のテンプレートに対して次の操作を実行できます。
テンプレートに関連付けられている保護オブジェクトおよび保護オブジェクトグループの数を 保護対象 / グループ 列に表示します。
ステータス 列のスイッチをオンまたはオフにして、テンプレートを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、テンプレートを変更または削除します。
テンプレート名の左側にある
アイコンをクリックして、テンプレート内の保護ルールを表示します。
ステップ2: Webサイトの改ざん防止モジュールの保護テンプレートに保護ルールを追加する
保護テンプレートは、テンプレートに保護ルールを追加した後にのみ有効になります。 保護テンプレートの作成時に保護ルールを作成した場合は、この手順をスキップできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、 を選択します。
では、ウェブサイトの改ざん防止セクションで、保護ルールを追加する保護テンプレートを見つけて、ルールの作成で、アクション列を作成します。
[ルールの作成] ダイアログボックスでパラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ルール名
ルールの名前を指定します。
ルールの名前には、英数字、ピリオド (.) 、アンダースコア (_) 、およびハイフン (-) を使用できます。
キャッシュページのアドレス
キャッシュされたページのタイプとパスを指定します。
タイプはhttpまたはhttpsです。
パスについては、次の項目に注意してください。
キャッシュされたページのデフォルトパスは
www.waftest.cn/index.htmlです。 パスを変更できます。パスには、
/*などのワイルドカード文字や、/abc?xxx=yyyのxxx=yyyなどのパラメーターを含めることはできません。重要リクエストのURLにパラメーターが含まれている場合、リクエストはWebサイトの改ざん防止モジュールの保護ルールにヒットしません。 WAFは、リクエストをオリジンサーバーに直接転送します。 たとえば、キャッシュされたページのパスはWebサイトの改ざん防止モジュールの保護ルールの
/abcで、リクエストのURLは/abc?xxx=yyyです。 この場合、指定されたパスが/abcであっても、リクエストは保護ルールにヒットしません。Webサイトの改ざん防止モジュールは、指定されたディレクトリ内のテキストデータ、HTMLページ、および画像を保護します。 保護されたファイルのサイズは1 MBを超えることはできません。
重要指定できるのはURLだけです。 ディレクトリは指定できません。
アクセスするユーザーエージェントの指定
クライアント用のブラウザのUser-Agent文字列を指定します。
[アクセスするユーザーエージェントの指定] を選択しない場合、すべてのデスクトップブラウザーのユーザーエージェント文字列が使用されます。
[アクセスするユーザーエージェントの指定] を選択した場合、カスタムユーザーエージェント文字列を指定する必要があります。
ブラウザを開き、F12キーを押して開発者ツールを開くことができます。 [ネットワーク] タブで、リクエストをクリックします。 [リクエストヘッダー] セクションで、[User-Agent] フィールドを見つけて、ブラウザーのUser-Agent文字列を取得します。
説明保護ルールが作成されると、システムは自動的にWAFのリソースをプルしてキャッシュします。 保護されたwebページが要求されると、ページのキャッシュされたバージョンが返され、webページの改ざんを防ぐのに役立ちます。
Webサイトの改ざん防止機能を再度開くか、保護ルールのステータスを有効にすると、[キャッシュの更新] をクリックしてキャッシュされたリソースを更新します。
デフォルトでは、新しく作成された保護ルールが有効になります。 ルールリスト内のルールに対して次の操作を実行できます。
ステータス 列のスイッチをオンまたはオフにして、ルールを有効または無効にします。
[操作] 列の 編集 または 削除 をクリックして、ルールを変更または削除します。
関連する API 操作
サーバー上の特定のディレクトリに対してwebサイトの改ざん防止を有効にする場合は、Security Centerのweb改ざん防止機能を使用できます。 詳細については、「web改ざん防止機能の使用」をご参照ください。
次の表は、WAFのwebサイト改ざん防止モジュールとSecurity Centerのweb改ざん防止機能の違いを示しています。
項目 | WAF | セキュリティセンター |
実装 | WAFのwebサイト改ざん防止モジュールを使用すると、保護するwebページをロックできます。 ロックされたページが要求されると、ページのキャッシュされたバージョンが返され、webページの改ざんを防ぎます。 | Security Centerのweb改ざん防止機能は、改ざんされたファイルまたはディレクトリをバックアップファイルに基づいて復元し、重要なwebサイト情報が改ざんされないようにします。 |
適用範囲 | ウェブサイトのURL。 | サーバーディレクトリ。 |
関連ドキュメント
WAF 3.0の保護オブジェクト、保護モジュール、および保護プロセスの詳細については、「保護構成の概要」をご参照ください。
API操作を呼び出して保護テンプレートを作成する方法の詳細については、「CreateDefenseTemplate」をご参照ください。
API操作を呼び出して保護ルールを作成する方法の詳細については、「CreateDefenseRule」をご参照ください。