ハイブリッドクラウドモードは、Alibaba cloudの外部にデプロイされたwebサービスを保護するためにAlibaba Cloudが提供するwebアプリケーション保護および管理ソリューションです。 webサービスがサードパーティのクラウド、プライベートクラウド、またはデータセンターにデプロイされている場合は、ハイブリッドクラウドモードでwebサービスをWebアプリケーションファイアウォール (WAF) に追加できます。 これにより、webサービスを一元的に管理および保護できます。 このトピックでは、ハイブリッドクラウドモードと、このモードでwebサービスをWAFに追加する方法について説明します。
概要
ハイブリッドクラウドモードでは、Alibaba cloudの保護コンポーネントを使用して、サードパーティのクラウドおよびデータセンターにデプロイされているwebアプリケーションを保護します。
シナリオ
保護するwebサービスには特別なセキュリティ要件があり、パブリッククラウドに移行することはできません。
webサービスは、Alibaba Cloud、サードパーティのクラウド、データセンター、および仮想プライベートクラウド (VPC) にデプロイされており、それらを一元的に保護する必要があります。
保護するwebサービスは、レイテンシに敏感であり、高い信頼性、アクティブな地理的冗長性、および複数のネットワーク環境にわたる集中保護が必要です。
メリット
クラウドおよびデータセンターにデプロイされた資産と保護ポリシーは、集中管理されます。
Webサービスは、最も近い保護ノードを使用して保護できます。
クラウド内の保護ルールと脅威インテリジェンスは、リアルタイムで同期できます。
インターネットサービスおよび内部サービスを保護することができる。
サービストラフィックは、統合アクセス層でリダイレクトされ、バイパスモードで検出されます。 手動バイパスおよび自動バイパスは支えられます。 このようにして、ハイブリッドクラウドクラスタに障害が発生した場合でも、サービストラフィックを検出し、検出結果を返すことができます。
接続モード
モード | 説明 | シナリオ |
逆プロキシモード | リバースプロキシモードでWebサイトをWAFに追加する場合は、Webサイトのドメイン名またはIPアドレスをWAFに追加し、ドメイン名システム (DNS) レコードを変更して、Webサイトのドメイン名またはIPアドレスをハイブリッドクラウドクラスターのアドレスに指定する必要があります。 ハイブリッドクラウドクラスターは、リバースプロキシモードでWAFに追加されたWebサイトに対するすべてのリクエストを検出します。 | リバースプロキシモードは、ネットワークアーキテクチャを変更でき、トラフィックが高くないWebサイトを保護するように設計されています。 たとえば、リバースプロキシモードは、インターネット、小売、公共サービス部門、金融、およびメディア業界に適しています。 |
SDKの統合 | SDK統合モードでは、SDKは統合アクセスゲートウェイにデプロイされ、WAFがトラフィックミラーリングを使用してサービストラフィックを検出できるようになります。 このように、ハイブリッドクラウドクラスタはトラフィックを転送せず、トラフィック転送はトラフィック検出から分離される。 | SDK統合モードは、NGINXゲートウェイを使用し、高いサービストラフィックを持ち、低レイテンシと高い安定性を必要とし、専門のO&M担当者によって管理されるWebサイトを保護するように設計されています。 たとえば、SDK統合モードは、大規模なインターネット企業やトラフィック転送に特別な要件があるユーザーに適しています。 |
制限事項
webサイトの改ざん防止機能は、ハイブリッドクラウドモードでWAFに追加されるwebサービスではサポートされていません。
前提条件
ハイブリッドクラウドモードでwebサービスをWAFに追加する前に、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
EnterpriseまたはUltimateエディションを実行するサブスクリプションWAFインスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」をご参照ください。
説明ハイブリッドクラウドモードをサポートしているのは、サブスクリプションWAF Enterprise EditionとUltimate Editionのみです。
必要なリソースはすべて準備されています。 詳細については、「クラスターリソースの準備」をご参照ください。
説明ハイブリッドクラウドクラスタは、管理、ストレージ、および保護コンポーネントで構成されています。 クラスターの安定性を確保するために、異なるタイプのコンポーネントを異なるノードにデプロイして分離することを推奨します。 コンポーネントが複数のノードにデプロイされている場合は、ノードにロードバランサーをデプロイすることを推奨します。
手順1: WAFエージェントのインストール
WAFエージェントの紹介
ハイブリッドクラウドクラスターをデプロイする場合は、オンプレミスサーバーを準備する必要があります。 ハイブリッドクラウドクラスターをデプロイする前に、保護ノードとして使用するオンプレミスサーバーにWAFエージェント (vagent) をインストールする必要があります。
vagentは次の機能を提供します。
Alibaba Cloud WAFと通信し、Hybrid Cloud WAFのインストールおよび更新イメージを取得します。
ハイブリッドクラウド保護コンポーネントのステータスを監視および報告して、WAFの可用性を確保します。
転送設定、保護ルール、脅威インテリジェンスなど、WAFインスタンスの設定をリアルタイムで同期します。
Linuxサーバーにvagentをインストールするには、rpmコマンドを実行する必要があります。 64ビットAliOS 3.2104、64ビットTencentOS 3.1、64ビットCentOS 7、64ビットRed Hat 7、x86 Kylin 10のLinuxディストリビューションのみがサポートされています。 カーネルのバージョンが4.10以降であることを確認してください。
CentOS 7は寿命に達しました。 Alibaba Cloudは、この配布のサポートを提供しなくなりました。 既存のCentOS 7ユーザーは影響を受けませんが、関連するイメージは更新されません。
サーバーのオペレーティングシステムバージョンがサポートされていない場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
手順
オンプレミスサーバーにログオンします。
vagentの最新バージョンを取得し、vagentをオンプレミスサーバーにダウンロードします。
vagentの最新バージョンを取得するには、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
vagentをインストールします。
次のコマンドを実行して、オンプレミスサーバーにvagentをインストールします。
sudo rpm -ivh t-yundun-vagent-xxxxxxx.xxxxx.rpm
説明コマンドを実行する前に、
xxxxxxx.xxxxx
をvagentのバージョン番号に置き換えます。インストールが完了したら、次のコマンドを実行してvagentのバージョン番号を表示します。 必ず最新バージョンのvagentを使用してください。
rpm -qa|grep vagent
vagent構成ファイルを変更します。
vagentのインストール後、Hybrid Cloud WAFのアクセスモードに基づいてvagent設定ファイルを変更し、vagentとAlibaba Cloud WAF間の通信を有効にする必要があります。 vagent構成ファイルを変更するには、次の手順を実行します。
次のコマンドを実行してvagent構成ファイルを開きます。
sudo vi /home/admin/vagent/conf/vagent.toml
iキーを押して挿入モードに入り、次の設定を変更または追加します。
domain="wafopenapi.cn-hangzhou.aliyuncs.com" // The endpoint of Hybrid Cloud WAF. For more information, see Table 1. access_key_id="yourAccessKeyId" // The AccessKey ID of your Alibaba Cloud account. access_key_secret="yourAccessKeySecret" // The AccessKey secret of your Alibaba Cloud account.
表 1. ドメインパラメーターの有効な値
WAFリージョン
クラスターアクセスモード
ドメインパラメーターの有効値
中国本土
インターネットアクセス: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。
wafopenapi.cn-hangzhou.aliyuncs.com
Express Connect回線を使用した内部ネットワークアクセス: WAFコンソールでは、ハイブリッドクラウドクラスターからのアクセスはExpress Connect回線経由でのみ許可されます。 このオプションは、Express Connectをデプロイした場合にのみ選択できます。
説明中国 (杭州) 、中国 (上海) 、中国 (北京) の各リージョンに存在するVPCのみがサポートされます。 VPCが中国本土の別のリージョンにある場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
wafopenapi.vpc-proxy.aliyuncs.com
中国本土外
インターネットアクセス: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。
wafopenapi.ap-southeast-1.aliyuncs.com
Express Connect回線を使用した内部ネットワークアクセス: WAFコンソールでは、ハイブリッドクラウドクラスターからのアクセスはExpress Connect回線経由でのみ許可されます。 このオプションは、Express Connectをデプロイした場合にのみ選択できます。
説明VPCが中国本土の外にある場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
wafopenapi-intl.vpc-proxy.aliyuncs.com
を押してください。Escキーを押して挿入モードを終了します。
入力: wqを押して、入力キーを押して構成ファイルを保存し、終了します。
vagentを起動します。
次のコマンドを実行してvagentを起動します。
sudo systemctl start vagent
次のコマンドを実行して、vagentの自動起動を設定します。
sudo systemctl enable vagent
設定が成功すると、システムは次の情報を表示します。
Created symlink from /etc/systemd/system/multi-user.target.wants/vagent.service to /usr/lib/systemd/system/vagent.service.
vagentの起動に失敗した場合は、次のいずれかの方法を使用して、トラブルシューティングのためにvagentのログを照会できます。
次のコマンドを実行し、systemdツールを使用してvagentのログを照会します。
sudo journalctl -u vagent
次のコマンドを実行し、vagentログファイルを使用してvagentのログを照会します。
tail /home/admin/vagent/logs/vagent.log
vagentのステータスを表示するか、vagentを停止します。
vagentがインストールされているか確認します。
Linuxオペレーティングシステムで、次のコマンドを実行してvagentがインストールされているかどうかを確認します。
ps aux | grep AliYunDunWaf
コマンド出力に
AliYunDunWaf
プロセスが表示された場合、vagentはオンプレミスサーバーにインストールされて実行され、Alibaba Cloud WAFと通信できます。 その後、クラスターを構成して、サーバーをオンプレミス保護ノードとしてクラスターに追加できます。AliYunDunWaf
プロセスがコマンド出力に表示されない場合は、インストール手順を正しく実行したかどうかを確認してください。 次に、vagentを再インストールして再起動します。 再インストールが失敗した場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
ステップ2: ハイブリッドクラウドクラスターのデプロイ
WAF購入ページで、マルチクラウドまたはハイブリッドクラウド保護を有効にし、[追加の保護ノード] パラメーターを設定します。
説明ハイブリッドクラウドモードをサポートしているのは、サブスクリプションWAF Enterprise EditionおよびUltimate Editionインスタンスのみです。 サブスクリプションWAF Basic EditionおよびPro Editionインスタンス、および従量課金WAFインスタンスは、ハイブリッドクラウドモードをサポートしていません。
各保護クラスタは、少なくとも2つの保護ノードを有する。 各ノードは、HTTPリクエストの場合は1秒あたり最大5,000クエリ (QPS) 、HTTPSリクエストの場合は最大3,000 QPSを保護します。 保護機能を向上させるために、ハイブリッドクラウドクラスターによって保護されるwebサービスのQPSに基づいて保護ノードの数を指定することを推奨します。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、ハイブリッドクラウド管理をクリックします。
ハイブリッドクラウド管理ページでクラスターを追加をクリックします。
基本情報ステップ、パラメータを設定し、次へ. 下表に、各パラメーターを説明します。
パラメーター
説明
クラスター名
ハイブリッドクラウドクラスターの名前を指定します。
クラスタータイプ
作成するハイブリッドクラウドクラスターのタイプを選択します。 有効な値:
リバースプロキシモード: このタイプを選択すると、トラフィックを転送および保護するためのリバースプロキシクラスターとしてWAFが使用されます。
SDK統合モード: このタイプを選択した場合、統合アクセスゲートウェイにSDKをデプロイして、トラフィックミラーリングを使用してWAFがサービストラフィックを検出できるようにする必要があります。 この場合、ハイブリッドクラウドクラスタは、トラフィックを転送しない。
ハイブリッドクラウドクラスターの状態が異常な場合は、バイパス状態をオンにします。 バイパス状態をオンにすると、WAFはバイパス状態になり、トラフィックは保護されなくなります。
重要ハイブリッドクラウドクラスターを作成した後、クラスタータイプを変更することはできません。 このパラメーターを設定する前に、クラスタータイプがビジネス要件を満たしていることを確認することを推奨します。
保護ノード
ハイブリッドクラウドクラスターの保護ノードの数を指定します。
説明このパラメーターの値は、Web Application Firewall (サブスクリプション) 購入ページで購入した追加の保護ノードの数より大きくすることはできません。
サーバーポート
ハイブリッドクラウドクラスターのサーバーポートを指定します。 サーバーポートに、保護するwebサービスで使用されるすべてのポートが含まれていることを確認します。 webサービスをハイブリッドクラウドクラスターに関連付ける場合、webサービスに選択できるポートは、クラスターに指定されているポートに制限されます。
デフォルトでは、80、8080、443、8443のポートが有効になっています。 特別な要件がない場合は、ポート設定を変更する必要はありません。
他のポートを追加する場合は、ポートを指定します。 ポート番号を入力するたびにEnterキーを押します。
重要22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987のポートは指定できません。 [サポートされていないポートの範囲を表示] をクリックすると、指定できないポートを表示できます。
セキュリティを確保するために、webサービスに必要なポートのみを指定することを推奨します。
クラスターアクセスモード
ハイブリッドクラウドクラスターのネットワークアクセスモードを選択します。 有効な値:
インターネット: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。
内部ネットワーク: WAFコンソールでは、Express Connect回線経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。
重要Express Connectを展開した場合にのみ、内部ネットワークを選択できます。 詳細については、「」をご参照ください。エクスプレスコネクトとは何ですか?
補足
ハイブリッドクラウドクラスターの説明を指定します。
[ノードグループの設定] ステップで、[ノードグループの追加] をクリックします。 [ノードグループの追加] ダイアログボックスで、[次へ] をクリックします。
説明ノードをノードグループに追加する前に、ハイブリッドクラウドクラスターに複数のノードグループを作成する必要があります。 不均衡なサービス負荷と単一障害点を防ぐには、各ノードグループにロードバランサーを設定する必要があります。 ロードバランサーがない場合は、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
パラメーター
説明
ノードグループ名
ノードグループ名を指定します。
ロードバランシング用のサーバーIPアドレス
ノードグループに関連付けられているロードバランサーのパブリックIPアドレスを指定します。
ノードグループタイプ
ノードグループのタイプを選択します。 有効な値:
保護: 保護コンポーネントで構成されるノードグループ。 ディザスタリカバリのために、ハイブリッドクラウドクラスターに複数の保護ノードグループを追加できます。
管理: 管理コンポーネントで構成されるノードグループ。 ディザスタリカバリのために、ハイブリッドクラウドクラスターに複数の管理ノードグループを追加できます。
ストレージ: ストレージコンポーネントで構成されるノードグループ。 ハイブリッドクラウドクラスタに追加できるストレージノードグループは1つだけです。
管理とストレージ: 管理コンポーネントとストレージコンポーネントで構成されるノードグループ。 ハイブリッドクラウドクラスターに追加できる管理およびストレージノードグループは1つだけです。
使用する方法に基づいて、ノードグループを順番に追加する必要があります。
方法1: 少なくとも3つのノードグループを追加する
1つのストレージノードグループ、少なくとも1つの管理ノードグループ、および少なくとも1つの保護ノードグループを追加します。
方法2: 少なくとも2つのノードグループを追加する
1つの管理およびストレージノードグループと少なくとも1つの保護ノードグループを追加します。
リージョン
[ノードグループタイプ] パラメーターを [保護] に設定した場合、ノードグループのリージョンを選択する必要があります。 ノードグループタイプパラメーターに別の値を指定した場合、このパラメーターを設定する必要はありません。
補足
ノードグループの説明を指定します。
[初期ノード設定] ステップで、[ノードの追加] をクリックします。 パラメーターを設定し、[保存] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
サーバーIPアドレス
オンプレミスサーバーのパブリックIPアドレスを指定します。
ノード名
ノードの名前を指定します。
リージョン
ノードのリージョンを選択します。
サーバー構成
オンプレミスサーバーの設定が自動的に表示されます。
保護ノードグループ
ノードを追加するノードグループを選択します。
ハイブリッドクラウドクラスターに追加できるノードの数は、クラスターに指定したノードの数を超えることはできません。
WAFがオンラインのアクティブ /アクティブディザスタリカバリを実行できるように、少なくとも2つのノードをProtectionノードグループに追加することを推奨します。
ハイブリッドクラウドクラスターを作成したら、[クラスターの切り替え] をクリックして、クエリを実行するクラスターを選択し、次の操作を実行します。
[基本情報] セクションで、クラスターに関する基本情報を表示します。 [編集] をクリックして、クラスター名、保護ノード数、サービスポート数、または説明を変更します。
[ノードグループの設定] をクリックして、ノードグループを追加または変更します。 詳細については、「ステップ6」をご参照ください。
ハイブリッドクラウドクラスターのノードステータスを表示します。
ノードステータスは、サーバーが期待どおりに実行されるかどうかを示します。 値Normalは、サーバーが期待どおりに実行されていることを示します。 値Stoppedは、サーバーがシャットダウンしていることを示します。
サーバーがシャットダウンされると、ノードは保護サービスを提供できません。 サーバーのシャットダウンの原因を確認し、できるだけ早い機会に問題を修正することをお勧めします。
アプリケーションステータスは、vagentがノードで期待どおりに実行されるかどうかを示します。 値Normalは、vagentが期待どおりに実行されていることを示します。 値Stoppedは、vagentの実行が停止したことを示します。
vagentの実行が停止した場合、ノードは保護サービスを提供できない可能性があります。 オンプレミスサーバーにログインし、vagentのインストールステータスと実行ステータスを確認し、できるだけ早い機会に問題を修正することをお勧めします。 詳細については、「手順1: WAFエージェントのインストール」をご参照ください。
重要RAM (Resource Access Management) ユーザーを削除したり、ハイブリッドクラウドクラスターのデプロイに使用したRAMユーザーの権限を取り消したりしないことをお勧めします。 そうしないと、ノードステータスチェックが失敗する可能性があります。 RAMユーザーを削除した場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
クラスターリソースの準備
ビジネス要件に基づいて展開方法を選択できます。 準備する必要があるサーバーとロードバランサーの数は、展開方法によって異なります。
保護シナリオ | デプロイ方法 | 必要なリソース | 説明 |
高い安定性と強力な保護機能を必要とするサービス | 保護および管理機能のためのディザスタリカバリの展開 |
|
|
高い安定性を必要とするサービス | 保護機能のためのディザスタリカバリの展開 |
|
|
基本的な保護機能の概念実証 (POC) テスト | クラスターの最小デプロイ |
|
|
ステップ3: WAFにWebサイトを追加する
WAFの統合には、リバースプロキシモードとSDK統合モードの2つの方法が用意されています。
逆プロキシモード
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
ハイブリッドクラウドタブで逆プロキシをクリックし、追加をクリックします。
リスナーの設定[ドメイン名の追加] ウィザードのステップで、パラメーターを設定し、次へ. 下表に、各パラメーターを説明します。
パラメーター
説明
ドメイン名 /IP
保護するドメイン名またはIPアドレスを指定します。 次の要件に基づいてパラメーターを設定します。
www.aliyundoc.com
などの完全一致ドメイン名、または* .aliyundoc.com
などのワイルドカードドメイン名を入力できます。説明ワイルドカードドメイン名を入力した場合、WAFはワイルドカードドメイン名の親ドメイン名と一致しません。 たとえば、
* .aliyundoc.com
と入力した場合、WAFはaliyundoc.com
と一致しません。WAFは、ワイルドカードドメイン名のレベルとは異なるレベルのドメイン名と一致しません。 たとえば、
* .aliyundoc.com
と入力した場合、WAFはwww.example.aliyundoc.com
と一致しません。WAFは、ワイルドカードドメイン名と同じレベルのすべてのドメイン名を自動的に照合します。 たとえば、
* .aliyundoc.com
と入力した場合、WAFはwww.aliyundoc.com
やexample.aliyundoc.com
などのサブドメイン名と一致します。完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加する場合、完全一致ドメイン名用に構成されている保護ルールが優先されます。
IPアドレスを入力できます。 例: 192.168.XX.XX.
プロトコルタイプ
Webサイトで使用されるプロトコルタイプとポートを指定します。
[HTTP] または [HTTPS] を選択し、トラフィックの転送に使用するポートを指定します。 ポート番号を入力するたびにEnterキーを押します。
説明指定するポートは、ハイブリッドクラウドクラスターでサポートされているポート範囲内である必要があります。 指定するポートがサポートされているポート範囲外の場合は、ハイブリッドクラウドクラスターのポート範囲を変更します。 詳細については、「手順2: ハイブリッドクラウドクラスターのデプロイ」をご参照ください。
HTTPを選択した場合、Upload Typeパラメーターを設定する必要はありません。
HTTPSを選択した場合、WebサイトのHTTPSトラフィックを監視および保護するために、関連付けられたSSL証明書をWAFにアップロードする必要があります。
購入証明書
[申請] をクリックして、証明書管理サービスコンソールの [証明書の購入] ページに移動し、証明書を申請します。
有料ドメイン検証済み (DV) 証明書のみを申請できます。 証明書を申請すると、証明書は自動的にWAFにアップロードされます。
説明この場合、有料ドメイン検証済み (DV) 証明書にのみ申請できます。 他の種類の証明書を申請する場合は、証明書管理サービスを使用して証明書を購入する必要があります。 詳細については、「SSL証明書の購入」をご参照ください。
HTTPSを選択して証明書をアップロードすると、ビジネス要件に基づいて次の操作を実行できます。
HTTP2
WebサイトがHTTP/2をサポートしている場合、HTTP2を選択してHTTP/2リクエストを保護します。
説明HTTP/2ポートはHTTPSポートと同じです。
詳細設定
Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか
Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 設定可能な値は、Yes または No です。
リソースグループ
ドメイン名またはIPアドレスを追加するリソースグループを選択します。 リソースグループを選択しない場合、ドメイン名またはIPアドレスがデフォルトリソースグループに追加されます。
説明リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。
[転送ルールの設定] ステップで、パラメーターを設定し、[送信] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ノード設定
[保護ノードグループ] ドロップダウンリストからノードグループを選択し、配信元サーバーアドレスをノードグループに追加します。 配信元サーバーアドレスは、Webサイトの配信元サーバーのIPアドレスです。 配信元サーバーアドレスは、WAFによって転送されるback-to-originリクエストを受信するために使用されます。 有効な値:
IP
最大20のオリジンIPアドレスを入力できます。 IPアドレスを入力するたびにEnterキーを押します。
説明複数の配信元IPアドレスを入力すると、WAFは配信元IPアドレス全体でワークロードを自動的に分散します。
IPv4アドレス、IPv6アドレス、またはIPv4アドレスとIPv6アドレスの両方を入力できます。
IPv4アドレスとIPv6アドレスの両方を入力すると、IPv6アドレスから送信されたリクエストがIPv6アドレスを使用するオリジンサーバーに転送され、IPv4アドレスから送信されたリクエストがIPv4アドレスを使用するオリジンサーバーに転送されます。
IPv4アドレスのみを入力すると、WAFはすべてのリクエストをIPv4経由で配信元サーバーに転送します。
IPv6アドレスのみを入力すると、WAFはIPv6経由ですべてのリクエストを配信元サーバーに転送します。
ドメイン名 (CNAMEなど)
ドメイン名 (CNAMEなど) を選択した場合、ドメイン名はIPv4アドレスに対してのみ解決できます。 この場合、WAFはback-to-originリクエストをIPv4アドレスに転送します。
Webサイトが複数の保護ノードにデプロイされている場合は、[+ 保護ノードの追加] をクリックして保護ノードをWAFに追加できます。
パブリッククラウドのディザスタリカバリ
この機能を有効にすると、障害復旧のためにサービストラフィックをパブリッククラウドクラスタにリダイレクトできます。 ハイブリッドクラウドクラスタに障害が発生すると、ドメイン名は、障害復旧のためにパブリッククラウドクラスタによって提供されるCNAMEに解決されます。 これにより、トラフィックはパブリッククラウドクラスターにリダイレクトされ、配信元サーバーに転送されます。 この機能を有効にする場合は、Origin Server Addressパラメーターを設定する必要があります。 配信元サーバーアドレスの設定要件は、[ノード設定] パラメーターの説明に記載されている要件と同じです。 詳細については、「配信元サーバーアドレス」をご参照ください。
負荷分散アルゴリズム
複数の配信元サーバーアドレスが指定されている場合、WAFが配信元back-to-originリクエストを配信元サーバーに転送するために使用する負荷分散アルゴリズムを選択します。 有効な値:
高度なHTTPS設定
その他の詳細設定
ドメイン名のDNSレコードの変更
重要DNSレコードを変更する前に、Webサイトの転送設定が有効であることを確認してください。 Webサイトの転送設定が有効になる前にDNSレコードを変更すると、サービスの中断が発生する可能性があります。 詳細については、「ドメイン名設定の確認」をご参照ください。
リバースプロキシモードでドメイン名をWAFに追加する場合は、DNSレコードを変更する必要があります。 リバースプロキシモードでWAFにIPアドレスを追加する場合は、この手順をスキップしてください。
ドメイン名のDNS Aレコードを変更して、ドメイン名をノードグループのIPアドレスに指定します。
DNS CNAMEレコードを変更して、パブリッククラウドクラスターが提供するCNAMEにドメイン名を指定します。 手順5でPublic Cloud Disaster Recoveryを有効にした場合、この操作を実行する必要があります。
説明Alibaba Cloud DNSを使用する場合は、Alibaba Cloud DNSコンソールにログインし、ドメイン名のDNS AレコードとDNS CNAMEレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。
ハイブリッドクラウドモードでドメイン名またはIPアドレスをWAFに追加すると、ドメイン名またはIPアドレスが保護オブジェクトとして自動的に追加されます。 デフォルトでは、保護対象オブジェクトに対して基本保護ルールモジュールの保護ルールが有効になっています。 WAFコンソールの左側のナビゲーションウィンドウで、保護設定の概要」をご参照ください。
を選択すると、保護されたオブジェクトを表示できます。 保護対象オブジェクトの保護ルールを設定することもできます。 詳細については、「
SDK統合モード
SDK統合モードでは、webサービスの統合アクセスゲートウェイにSDKがデプロイされ、WAFがトラフィックミラーリングを使用してサービストラフィックを検出できるようになります。 これは、トラフィック転送をトラフィック検出から分離する。 SDK統合モードでwebサービスをWAFに追加する場合は、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。
SDKとハイブリッドクラウドクラスターをデプロイした後、次の操作を実行できます。
SDKがデプロイされている転送ノード、ハイブリッドクラウドクラスタ、および保護ノードグループのIPアドレス間のマッピングを表示します。 転送ノードのステータスを表示することもできます。
WAF 3.0コンソールにログインします。
左側のナビゲーションウィンドウで、[Webサイトの設定] をクリックします。
[ハイブリッドクラウド] タブで、[SDKの統合] をクリックします。
SDKがデプロイされている転送ノード、ハイブリッドクラウドクラスター、および保護ノードグループのIPアドレス間のマッピングを表示できます。 転送ノードのステータスを表示することもできます。
保護されたオブジェクトを追加します。
SDK統合モードでWebサイトをWAFに追加した後、WAFはWebサイトのドメイン名を保護オブジェクトとして自動的に追加しません。 Webサイトのドメイン名またはURLを保護されたオブジェクトとして手動で
WAFコンソールの保護されたオブジェクトページ。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
保護対象オブジェクトの保護ルールを設定します。
保護オブジェクトを追加した後、保護オブジェクトの保護ルールを設定する必要があります。 詳細については、「保護設定の概要」をご参照ください。