すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:ハイブリッドクラウドモード

最終更新日:Nov 21, 2024

ハイブリッドクラウドモードは、Alibaba cloudの外部にデプロイされたwebサービスを保護するためにAlibaba Cloudが提供するwebアプリケーション保護および管理ソリューションです。 webサービスがサードパーティのクラウド、プライベートクラウド、またはデータセンターにデプロイされている場合は、ハイブリッドクラウドモードでwebサービスをWebアプリケーションファイアウォール (WAF) に追加できます。 これにより、webサービスを一元的に管理および保護できます。 このトピックでは、ハイブリッドクラウドモードと、このモードでwebサービスをWAFに追加する方法について説明します。

概要

ハイブリッドクラウドモードでは、Alibaba cloudの保護コンポーネントを使用して、サードパーティのクラウドおよびデータセンターにデプロイされているwebアプリケーションを保護します。

シナリオ

  • 保護するwebサービスには特別なセキュリティ要件があり、パブリッククラウドに移行することはできません。

  • webサービスは、Alibaba Cloud、サードパーティのクラウド、データセンター、および仮想プライベートクラウド (VPC) にデプロイされており、それらを一元的に保護する必要があります。

  • 保護するwebサービスは、レイテンシに敏感であり、高い信頼性、アクティブな地理的冗長性、および複数のネットワーク環境にわたる集中保護が必要です。

メリット

  • クラウドおよびデータセンターにデプロイされた資産と保護ポリシーは、集中管理されます。

  • Webサービスは、最も近い保護ノードを使用して保護できます。

  • クラウド内の保護ルールと脅威インテリジェンスは、リアルタイムで同期できます。

  • インターネットサービスおよび内部サービスを保護することができる。

  • サービストラフィックは、統合アクセス層でリダイレクトされ、バイパスモードで検出されます。 手動バイパスおよび自動バイパスは支えられます。 このようにして、ハイブリッドクラウドクラスタに障害が発生した場合でも、サービストラフィックを検出し、検出結果を返すことができます。

接続モード

モード

説明

シナリオ

逆プロキシモード

リバースプロキシモードでWebサイトをWAFに追加する場合は、Webサイトのドメイン名またはIPアドレスをWAFに追加し、ドメイン名システム (DNS) レコードを変更して、Webサイトのドメイン名またはIPアドレスをハイブリッドクラウドクラスターのアドレスに指定する必要があります。 ハイブリッドクラウドクラスターは、リバースプロキシモードでWAFに追加されたWebサイトに対するすべてのリクエストを検出します。

リバースプロキシモードは、ネットワークアーキテクチャを変更でき、トラフィックが高くないWebサイトを保護するように設計されています。 たとえば、リバースプロキシモードは、インターネット、小売、公共サービス部門、金融、およびメディア業界に適しています。

SDKの統合

SDK統合モードでは、SDKは統合アクセスゲートウェイにデプロイされ、WAFがトラフィックミラーリングを使用してサービストラフィックを検出できるようになります。 このように、ハイブリッドクラウドクラスタはトラフィックを転送せず、トラフィック転送はトラフィック検出から分離される。

SDK統合モードは、NGINXゲートウェイを使用し、高いサービストラフィックを持ち、低レイテンシと高い安定性を必要とし、専門のO&M担当者によって管理されるWebサイトを保護するように設計されています。 たとえば、SDK統合モードは、大規模なインターネット企業やトラフィック転送に特別な要件があるユーザーに適しています。

制限事項

webサイトの改ざん防止機能は、ハイブリッドクラウドモードでWAFに追加されるwebサービスではサポートされていません。

前提条件

  • ハイブリッドクラウドモードでwebサービスをWAFに追加する前に、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

  • EnterpriseまたはUltimateエディションを実行するサブスクリプションWAFインスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」をご参照ください。

    説明

    ハイブリッドクラウドモードをサポートしているのは、サブスクリプションWAF Enterprise EditionとUltimate Editionのみです。

  • 必要なリソースはすべて準備されています。 詳細については、「クラスターリソースの準備」をご参照ください。

    説明

    ハイブリッドクラウドクラスタは、管理、ストレージ、および保護コンポーネントで構成されています。 クラスターの安定性を確保するために、異なるタイプのコンポーネントを異なるノードにデプロイして分離することを推奨します。 コンポーネントが複数のノードにデプロイされている場合は、ノードにロードバランサーをデプロイすることを推奨します。

手順1: WAFエージェントのインストール

WAFエージェントの紹介

ハイブリッドクラウドクラスターをデプロイする場合は、オンプレミスサーバーを準備する必要があります。 ハイブリッドクラウドクラスターをデプロイする前に、保護ノードとして使用するオンプレミスサーバーにWAFエージェント (vagent) をインストールする必要があります。

vagentは次の機能を提供します。

  • Alibaba Cloud WAFと通信し、Hybrid Cloud WAFのインストールおよび更新イメージを取得します。

  • ハイブリッドクラウド保護コンポーネントのステータスを監視および報告して、WAFの可用性を確保します。

  • 転送設定、保護ルール、脅威インテリジェンスなど、WAFインスタンスの設定をリアルタイムで同期します。

Linuxサーバーにvagentをインストールするには、rpmコマンドを実行する必要があります。 64ビットAliOS 3.2104、64ビットTencentOS 3.1、64ビットCentOS 7、64ビットRed Hat 7、x86 Kylin 10のLinuxディストリビューションのみがサポートされています。 カーネルのバージョンが4.10以降であることを確認してください。

説明
  • CentOS 7は寿命に達しました。 Alibaba Cloudは、この配布のサポートを提供しなくなりました。 既存のCentOS 7ユーザーは影響を受けませんが、関連するイメージは更新されません。

  • サーバーのオペレーティングシステムバージョンがサポートされていない場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

手順

  1. オンプレミスサーバーにログオンします。

  2. vagentの最新バージョンを取得し、vagentをオンプレミスサーバーにダウンロードします。

    vagentの最新バージョンを取得するには、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

  3. vagentをインストールします。

    1. 次のコマンドを実行して、オンプレミスサーバーにvagentをインストールします。

      sudo rpm -ivh t-yundun-vagent-xxxxxxx.xxxxx.rpm
      説明

      コマンドを実行する前に、xxxxxxx.xxxxxをvagentのバージョン番号に置き換えます。

    2. インストールが完了したら、次のコマンドを実行してvagentのバージョン番号を表示します。 必ず最新バージョンのvagentを使用してください。

      rpm -qa|grep vagent
  4. vagent構成ファイルを変更します。

    vagentのインストール後、Hybrid Cloud WAFのアクセスモードに基づいてvagent設定ファイルを変更し、vagentとAlibaba Cloud WAF間の通信を有効にする必要があります。 vagent構成ファイルを変更するには、次の手順を実行します。

    1. 次のコマンドを実行してvagent構成ファイルを開きます。

      sudo vi /home/admin/vagent/conf/vagent.toml
    2. iキーを押して挿入モードに入り、次の設定を変更または追加します。

      domain="wafopenapi.cn-hangzhou.aliyuncs.com" // The endpoint of Hybrid Cloud WAF. For more information, see Table 1. 
      access_key_id="yourAccessKeyId" // The AccessKey ID of your Alibaba Cloud account. 
      access_key_secret="yourAccessKeySecret" // The AccessKey secret of your Alibaba Cloud account. 

      表 1. ドメインパラメーターの有効な値

      WAFリージョン

      クラスターアクセスモード

      ドメインパラメーターの有効値

      中国本土

      インターネットアクセス: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。

      wafopenapi.cn-hangzhou.aliyuncs.com

      Express Connect回線を使用した内部ネットワークアクセス: WAFコンソールでは、ハイブリッドクラウドクラスターからのアクセスはExpress Connect回線経由でのみ許可されますこのオプションは、Express Connectをデプロイした場合にのみ選択できます。

      説明

      中国 (杭州) 、中国 (上海) 、中国 (北京) の各リージョンに存在するVPCのみがサポートされます。 VPCが中国本土の別のリージョンにある場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

      wafopenapi.vpc-proxy.aliyuncs.com

      中国本土外

      インターネットアクセス: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます。

      wafopenapi.ap-southeast-1.aliyuncs.com

      Express Connect回線を使用した内部ネットワークアクセス: WAFコンソールでは、ハイブリッドクラウドクラスターからのアクセスはExpress Connect回線経由でのみ許可されますこのオプションは、Express Connectをデプロイした場合にのみ選択できます。

      説明

      VPCが中国本土の外にある場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

      wafopenapi-intl.vpc-proxy.aliyuncs.com

    3. を押してください。Escキーを押して挿入モードを終了します。

    4. 入力: wqを押して、入力キーを押して構成ファイルを保存し、終了します。

  5. vagentを起動します。

    1. 次のコマンドを実行してvagentを起動します。

      sudo systemctl start vagent
    2. 次のコマンドを実行して、vagentの自動起動を設定します。

      sudo systemctl enable vagent

      設定が成功すると、システムは次の情報を表示します。

      Created symlink from /etc/systemd/system/multi-user.target.wants/vagent.service 
      to /usr/lib/systemd/system/vagent.service.

    vagentの起動に失敗した場合は、次のいずれかの方法を使用して、トラブルシューティングのためにvagentのログを照会できます。

    • 次のコマンドを実行し、systemdツールを使用してvagentのログを照会します。

      sudo journalctl -u vagent
    • 次のコマンドを実行し、vagentログファイルを使用してvagentのログを照会します。

      tail /home/admin/vagent/logs/vagent.log

    vagentのステータスを表示するか、vagentを停止します。

    • 次のコマンドを実行してvagentを停止します。

      sudo systemctl stop vagent
    • 次のコマンドを実行してvagentのステータスを表示します。

      sudo systemctl status vagent
  6. vagentがインストールされているか確認します。

    Linuxオペレーティングシステムで、次のコマンドを実行してvagentがインストールされているかどうかを確認します。

    ps aux | grep AliYunDunWaf
    • コマンド出力にAliYunDunWafプロセスが表示された場合、vagentはオンプレミスサーバーにインストールされて実行され、Alibaba Cloud WAFと通信できます。 その後、クラスターを構成して、サーバーをオンプレミス保護ノードとしてクラスターに追加できます。

    • AliYunDunWafプロセスがコマンド出力に表示されない場合は、インストール手順を正しく実行したかどうかを確認してください。 次に、vagentを再インストールして再起動します。 再インストールが失敗した場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

ステップ2: ハイブリッドクラウドクラスターのデプロイ

  1. WAF購入ページで、マルチクラウドまたはハイブリッドクラウド保護を有効にし、[追加の保護ノード] パラメーターを設定します。

    説明
    • ハイブリッドクラウドモードをサポートしているのは、サブスクリプションWAF Enterprise EditionおよびUltimate Editionインスタンスのみです。 サブスクリプションWAF Basic EditionおよびPro Editionインスタンス、および従量課金WAFインスタンスは、ハイブリッドクラウドモードをサポートしていません。

    • 各保護クラスタは、少なくとも2つの保護ノードを有する。 各ノードは、HTTPリクエストの場合は1秒あたり最大5,000クエリ (QPS) 、HTTPSリクエストの場合は最大3,000 QPSを保護します。 保護機能を向上させるために、ハイブリッドクラウドクラスターによって保護されるwebサービスのQPSに基づいて保護ノードの数を指定することを推奨します。

  2. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  3. 左側のナビゲーションウィンドウで、ハイブリッドクラウド管理をクリックします。

  4. ハイブリッドクラウド管理ページでクラスターを追加をクリックします。

  5. 基本情報ステップ、パラメータを設定し、次へ. 下表に、各パラメーターを説明します。

    パラメーター

    説明

    クラスター名

    ハイブリッドクラウドクラスターの名前を指定します。

    クラスタータイプ

    作成するハイブリッドクラウドクラスターのタイプを選択します。 有効な値:

    • リバースプロキシモード: このタイプを選択すると、トラフィックを転送および保護するためのリバースプロキシクラスターとしてWAFが使用されます。

    • SDK統合モード: このタイプを選択した場合、統合アクセスゲートウェイにSDKをデプロイして、トラフィックミラーリングを使用してWAFがサービストラフィックを検出できるようにする必要があります。 この場合、ハイブリッドクラウドクラスタは、トラフィックを転送しない。

      ハイブリッドクラウドクラスターの状態が異常な場合は、バイパス状態をオンにします。 バイパス状態をオンにすると、WAFはバイパス状態になり、トラフィックは保護されなくなります。

    重要

    ハイブリッドクラウドクラスターを作成した後、クラスタータイプを変更することはできません。 このパラメーターを設定する前に、クラスタータイプがビジネス要件を満たしていることを確認することを推奨します。

    保護ノード

    ハイブリッドクラウドクラスターの保護ノードの数を指定します。

    説明

    このパラメーターの値は、Web Application Firewall (サブスクリプション) 購入ページで購入した追加の保護ノードの数より大きくすることはできません。

    サーバーポート

    ハイブリッドクラウドクラスターのサーバーポートを指定します。 サーバーポートに、保護するwebサービスで使用されるすべてのポートが含まれていることを確認します。 webサービスをハイブリッドクラウドクラスターに関連付ける場合、webサービスに選択できるポートは、クラスターに指定されているポートに制限されます。

    • デフォルトでは、80、8080、443、8443のポートが有効になっています。 特別な要件がない場合は、ポート設定を変更する必要はありません。

    • 他のポートを追加する場合は、ポートを指定します。 ポート番号を入力するたびにEnterキーを押します。

      重要
      • 22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、4987のポートは指定できません。 [サポートされていないポートの範囲を表示] をクリックすると、指定できないポートを表示できます。

      • セキュリティを確保するために、webサービスに必要なポートのみを指定することを推奨します。

    クラスターアクセスモード

    ハイブリッドクラウドクラスターのネットワークアクセスモードを選択します。 有効な値:

    • インターネット: WAFコンソールでは、インターネット経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます

    • 内部ネットワーク: WAFコンソールでは、Express Connect回線経由でのみハイブリッドクラウドクラスターからのアクセスが許可されます

      重要

      Express Connectを展開した場合にのみ、内部ネットワークを選択できます。 詳細については、「」をご参照ください。エクスプレスコネクトとは何ですか?

    補足

    ハイブリッドクラウドクラスターの説明を指定します。

  6. [ノードグループの設定] ステップで、[ノードグループの追加] をクリックします。 [ノードグループの追加] ダイアログボックスで、[次へ] をクリックします。

    説明

    ノードをノードグループに追加する前に、ハイブリッドクラウドクラスターに複数のノードグループを作成する必要があります。 不均衡なサービス負荷と単一障害点を防ぐには、各ノードグループにロードバランサーを設定する必要があります。 ロードバランサーがない場合は、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

    パラメーター

    説明

    ノードグループ名

    ノードグループ名を指定します。

    ロードバランシング用のサーバーIPアドレス

    ノードグループに関連付けられているロードバランサーのパブリックIPアドレスを指定します。

    ノードグループタイプ

    ノードグループのタイプを選択します。 有効な値:

    • 保護: 保護コンポーネントで構成されるノードグループ。 ディザスタリカバリのために、ハイブリッドクラウドクラスターに複数の保護ノードグループを追加できます。

    • 管理: 管理コンポーネントで構成されるノードグループ。 ディザスタリカバリのために、ハイブリッドクラウドクラスターに複数の管理ノードグループを追加できます。

    • ストレージ: ストレージコンポーネントで構成されるノードグループ。 ハイブリッドクラウドクラスタに追加できるストレージノードグループは1つだけです。

    • 管理とストレージ: 管理コンポーネントとストレージコンポーネントで構成されるノードグループ。 ハイブリッドクラウドクラスターに追加できる管理およびストレージノードグループは1つだけです。

    使用する方法に基づいて、ノードグループを順番に追加する必要があります。

    • 方法1: 少なくとも3つのノードグループを追加する

      1つのストレージノードグループ、少なくとも1つの管理ノードグループ、および少なくとも1つの保護ノードグループを追加します。

    • 方法2: 少なくとも2つのノードグループを追加する

      1つの管理およびストレージノードグループと少なくとも1つの保護ノードグループを追加します。

    リージョン

    [ノードグループタイプ] パラメーターを [保護] に設定した場合、ノードグループのリージョンを選択する必要があります。 ノードグループタイプパラメーターに別の値を指定した場合、このパラメーターを設定する必要はありません。

    補足

    ノードグループの説明を指定します。

  7. [初期ノード設定] ステップで、[ノードの追加] をクリックします。 パラメーターを設定し、[保存] をクリックします。 下表にパラメーターを示します。

    パラメーター

    説明

    サーバーIPアドレス

    オンプレミスサーバーのパブリックIPアドレスを指定します。

    ノード名

    ノードの名前を指定します。

    リージョン

    ノードのリージョンを選択します。

    サーバー構成

    オンプレミスサーバーの設定が自動的に表示されます。

    保護ノードグループ

    ノードを追加するノードグループを選択します。

    • ハイブリッドクラウドクラスターに追加できるノードの数は、クラスターに指定したノードの数を超えることはできません。

    • WAFがオンラインのアクティブ /アクティブディザスタリカバリを実行できるように、少なくとも2つのノードをProtectionノードグループに追加することを推奨します。

    ハイブリッドクラウドクラスターを作成したら、[クラスターの切り替え] をクリックして、クエリを実行するクラスターを選択し、次の操作を実行します。

    • [基本情報] セクションで、クラスターに関する基本情報を表示します。 [編集] をクリックして、クラスター名、保護ノード数、サービスポート数、または説明を変更します。

    • [ノードグループの設定] をクリックして、ノードグループを追加または変更します。 詳細については、「ステップ6」をご参照ください。

    • [ノードの追加] をクリックしてノードを追加します。 詳細については、「ステップ7」をご参照ください。

    • ハイブリッドクラウドクラスターのノードステータスを表示します。

      • ノードステータスは、サーバーが期待どおりに実行されるかどうかを示します。 値Normalは、サーバーが期待どおりに実行されていることを示します。 値Stoppedは、サーバーがシャットダウンしていることを示します。

        サーバーがシャットダウンされると、ノードは保護サービスを提供できません。 サーバーのシャットダウンの原因を確認し、できるだけ早い機会に問題を修正することをお勧めします。

      • アプリケーションステータスは、vagentがノードで期待どおりに実行されるかどうかを示します。 値Normalは、vagentが期待どおりに実行されていることを示します。 値Stoppedは、vagentの実行が停止したことを示します。

        vagentの実行が停止した場合、ノードは保護サービスを提供できない可能性があります。 オンプレミスサーバーにログインし、vagentのインストールステータスと実行ステータスを確認し、できるだけ早い機会に問題を修正することをお勧めします。 詳細については、「手順1: WAFエージェントのインストール」をご参照ください。

    重要

    RAM (Resource Access Management) ユーザーを削除したり、ハイブリッドクラウドクラスターのデプロイに使用したRAMユーザーの権限を取り消したりしないことをお勧めします。 そうしないと、ノードステータスチェックが失敗する可能性があります。 RAMユーザーを削除した場合、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

クラスターリソースの準備

ビジネス要件に基づいて展開方法を選択できます。 準備する必要があるサーバーとロードバランサーの数は、展開方法によって異なります。

保護シナリオ

デプロイ方法

必要なリソース

説明

高い安定性と強力な保護機能を必要とするサービス

保護および管理機能のためのディザスタリカバリの展開

  • デフォルトの保護容量: HTTPリクエストの場合はQPSを10,000し、HTTPSリクエストの場合はQPSを6,000します。 デフォルトの保護容量を提供するには、次のリソースが必要です。

    (推奨) 5台のサーバーと2台のロードバランサー。

  • デフォルトの保護容量を超えて:

    ビジネス要件に基づいて保護ノードを追加します。 各クラスターノードは、HTTPリクエストの5,000 QPSまたはHTTPSリクエストの3,000 QPSを処理できます。

  • ストレージコンポーネント: 1つのサーバー。

  • 管理コンポーネント: 2つ以上のサーバーと1つのロードバランサー。

  • 保護コンポーネント: 2つ以上のサーバーと1つのロードバランサー。

高い安定性を必要とするサービス

保護機能のためのディザスタリカバリの展開

  • デフォルトの保護容量: HTTPリクエストの場合はQPSを10,000し、HTTPSリクエストの場合はQPSを6,000します。 デフォルトの保護容量を提供するには、次のリソースが必要です。

    (推奨) 3台のサーバーと1台のロードバランサー。

  • デフォルトの保護容量を超えて:

    ビジネス要件に基づいて保護ノードを追加します。 各クラスターノードは、HTTPリクエストの5,000 QPSまたはHTTPSリクエストの3,000 QPSを処理できます。

  • 管理およびストレージコンポーネント: 1つのサーバー。

  • 保護コンポーネント: 2つ以上のサーバーと1つのロードバランサー。

基本的な保護機能の概念実証 (POC) テスト

クラスターの最小デプロイ

  • デフォルトの保護容量: HTTPリクエストの場合はQPSを10,000し、HTTPSリクエストの場合はQPSを6,000します。 デフォルトの保護容量を提供するには、次のリソースが必要です。

    2つ以上のサーバー。

  • デフォルトの保護容量を超えて:

    ビジネス要件に基づいて保護ノードを追加します。 各クラスターノードは、HTTPリクエストの5,000 QPSまたはHTTPSリクエストの3,000 QPSを処理できます。

  • 管理およびストレージコンポーネント: 1つのサーバー。

  • 保護コンポーネント: 1つ以上のサーバー。

ステップ3: WAFにWebサイトを追加する

WAFの統合には、リバースプロキシモードとSDK統合モードの2つの方法が用意されています。

逆プロキシモード

  1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

  3. ハイブリッドクラウドタブで逆プロキシをクリックし、追加をクリックします。

  4. リスナーの設定[ドメイン名の追加] ウィザードのステップで、パラメーターを設定し、次へ. 下表に、各パラメーターを説明します。

    パラメーター

    説明

    ドメイン名 /IP

    保護するドメイン名またはIPアドレスを指定します。 次の要件に基づいてパラメーターを設定します。

    • www.aliyundoc.comなどの完全一致ドメイン名、または * .aliyundoc.comなどのワイルドカードドメイン名を入力できます。

      説明
      • ワイルドカードドメイン名を入力した場合、WAFはワイルドカードドメイン名の親ドメイン名と一致しません。 たとえば、* .aliyundoc.comと入力した場合、WAFはaliyundoc.comと一致しません。

      • WAFは、ワイルドカードドメイン名のレベルとは異なるレベルのドメイン名と一致しません。 たとえば、* .aliyundoc.comと入力した場合、WAFはwww.example.aliyundoc.comと一致しません。

      • WAFは、ワイルドカードドメイン名と同じレベルのすべてのドメイン名を自動的に照合します。 たとえば、* .aliyundoc.comと入力した場合、WAFはwww.aliyundoc.comexample.aliyundoc.comなどのサブドメイン名と一致します。

      • 完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加する場合、完全一致ドメイン名用に構成されている保護ルールが優先されます。

    • IPアドレスを入力できます。 例: 192.168.XX.XX.

    プロトコルタイプ

    Webサイトで使用されるプロトコルタイプとポートを指定します。

    [HTTP] または [HTTPS] を選択し、トラフィックの転送に使用するポートを指定します。 ポート番号を入力するたびにEnterキーを押します。

    説明

    指定するポートは、ハイブリッドクラウドクラスターでサポートされているポート範囲内である必要があります。 指定するポートがサポートされているポート範囲外の場合は、ハイブリッドクラウドクラスターのポート範囲を変更します。 詳細については、「手順2: ハイブリッドクラウドクラスターのデプロイ」をご参照ください。

    • HTTPを選択した場合、Upload Typeパラメーターを設定する必要はありません。

    • HTTPSを選択した場合、WebサイトのHTTPSトラフィックを監視および保護するために、関連付けられたSSL証明書をWAFにアップロードする必要があります。

      • 手動アップロード

        手動アップロード をクリックし、証明書名証明書ファイルキーファイル パラメーターを設定します。 Certificate Fileパラメーターの値は、---- BEGIN形式CERTIFICATE-----...-----END CERTIFICATE ---- 形式である必要があります。 秘密鍵パラメータの値は、---- BEGIN RSA Private KEY-----...-----END RSA PRIVATE Key ---- 形式でなければならない。

        重要
        • 証明書ファイルがPEM、CER、またはCRT形式の場合は、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーできます。 証明書ファイルがPFXやP7Bなどの別の形式の場合、テキストエディターを使用して証明書ファイルを開いてテキストコンテンツをコピーする前に、証明書ファイルをPEM形式に変換する必要があります。 証明書管理サービスコンソールにログインし、提供されたツールを使用してファイル形式を変換できます。 詳細については、「証明書の形式の変換」をご参照ください。

        • ドメイン名が複数のSSL証明書に関連付けられている場合、または証明書チェーンがある場合は、証明書ファイルのテキストコンテンツを組み合わせて、組み合わせたテキストコンテンツをアップロードできます。

      • 既存ファイルを選択

        証明書が次のいずれかの条件を満たしている場合、既存ファイルを選択 をクリックし、証明書リストから証明書を選択します。

        • 証明書は、certificate Management Serviceを使用して発行されます。

        • 証明書は、certificate Management Serviceにアップロードされるサードパーティの証明書です。

          重要

          certificate Management Serviceにアップロードされたサードパーティの証明書を選択し、証明書チェーンの整合性を検証するには失敗しました証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります エラーメッセージが表示されたら、[Alibaba Cloud Security - Certificate Management Service] をクリックし、[certificate Management Service] コンソールで証明書を再アップロードします。 詳細については、「SSL証明書のアップロードと共有」をご参照ください。

      • 購入証明書

        [申請] をクリックして、証明書管理サービスコンソールの [証明書の購入] ページに移動し、証明書を申請します。

        有料ドメイン検証済み (DV) 証明書のみを申請できます。 証明書を申請すると、証明書は自動的にWAFにアップロードされます。

        説明

        この場合、有料ドメイン検証済み (DV) 証明書にのみ申請できます。 他の種類の証明書を申請する場合は、証明書管理サービスを使用して証明書を購入する必要があります。 詳細については、「SSL証明書の購入」をご参照ください。

    • HTTPSを選択して証明書をアップロードすると、ビジネス要件に基づいて次の操作を実行できます。

      • HTTP2

        WebサイトがHTTP/2をサポートしている場合、HTTP2を選択してHTTP/2リクエストを保護します。

        説明

        HTTP/2ポートはHTTPSポートと同じです。

      • 詳細設定

        • HTTPSルーティングの有効化

          デフォルトでは、この機能は無効化されています。 この機能を有効にすると、HTTPリクエストは自動的にポート443のHTTPSリクエストにリダイレクトされます。 この機能により、セキュリティが向上します。 この機能を有効にすると、HTTP Strict Transport Security (HSTS) がデフォルトで有効になり、Strict-Transport-Securityヘッダーがレスポンスに含まれ、HTTPSを使用してのみWebサイトにアクセスできるようになります。

          重要

          この機能は、HTTPを選択した場合にのみ有効にできます。

        • TLS バージョン

          HTTPS通信でサポートされているTransport Layer Security (TLS) プロトコルのバージョンを指定します。 クライアントがサポートされていないTLSバージョンを使用している場合、WAFはクライアントから送信されるリクエストをブロックします。 TLSプロトコルの新しいバージョンは、より高いセキュリティを提供しますが、互換性は低くなります。

          ウェブサイトのHTTPS設定に基づいてTLSバージョンを指定することを推奨します。 WebサイトのHTTPS設定を取得できない場合は、デフォルト値を使用することを推奨します。

          有効な値:

          • TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。 (デフォルト)

          • TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております

            この値を選択すると、TLS 1.0を使用するクライアントはWebサイトにアクセスできません。

          • TLS 1.2 以上をサポートします。互換性と安全性が優れています。

            この値を選択すると、TLS 1.0または1.1を使用するクライアントはWebサイトにアクセスできません。

          ウェブサイトがTLS 1.3をサポートしている場合は、TLS 1.3 以上対応 を選択します。 デフォルトでは、WAFはTLS 1.3を使用して送信されたリクエストをリッスンしません。

        • 暗号スイート

          HTTPS通信でサポートされている暗号スイートを指定します。 クライアントがサポートされていない暗号スイートを使用する場合、WAFはクライアントから送信されるリクエストをブロックします。

          デフォルト値はすべての暗号スイート (高い互換性と低いセキュリティ) です。 Webサイトが特定の暗号スイートをサポートしている場合にのみ、このパラメーターを別の値に設定することを推奨します。

          有効な値:

          • すべての暗号スイート (高い互換性、低い安全性)

          • カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください) 詳細については、「サポートされている暗号スイートの表示」をご参照ください。

            他の暗号スイートを使用するクライアントはWebサイトにアクセスできません。

    Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうか

    Anti-DDoSプロキシやAlibaba Cloud CDNなどのレイヤー7プロキシをWAFの前にデプロイするかどうかを指定します。 設定可能な値は、Yes または No です。

    • No: レイヤ7プロキシはWAFの前にデプロイされません。

      この値は、WAFがクライアントから直接リクエストを受信することを示します。 リクエストはプロキシによって転送されません。

      説明

      WAFは、WAFへの接続を確立するために使用されるIPアドレスをクライアントのIPアドレスとして使用します。 WAFは、リクエストのREMOTE_ADDRフィールドからIPアドレスを取得します。

    • はい: レイヤ7プロキシがWAFの前にデプロイされています

      この値は、WAFが別のレイヤー7プロキシからリクエストを受信することを示します。 WAFがセキュリティ分析のためにクライアントの送信元IPアドレスを取得できるようにするには、[クライアントの実際のIPアドレスの取得] パラメーターを設定する必要があります。 有効な値:

      • X-Forwarded-For の最初の IP アドレスをクライアント送信元 IP とする (デフォルト)

        デフォルトでは、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。

      • 【推奨】偽装 XFF を回避するために、指定したヘッダの最初の IP アドレスをクライアント送信元 IP アドレスとする

        X-Client-IPやX-Real-IPなど、カスタムヘッダーフィールドにクライアントの送信元IPアドレスを含むプロキシを使用する場合は、この値を選択します。 次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。

        説明

        カスタムヘッダーフィールドを使用してクライアントの送信元IPアドレスを格納し、WAFでヘッダーフィールドを指定することを推奨します。 このように、攻撃者はX-Forwarded-Forフィールドを偽造してWAF検査をバイパスすることはできません。 これにより、ビジネスのセキュリティが向上します。

        複数のヘッダーフィールドを入力できます。 ヘッダーフィールドを入力するたびにEnterキーを押します。 複数のヘッダーフィールドを入力すると、WAFはクライアントのIPアドレスを取得するまでヘッダーフィールドを順番に読み取ります。 WAFがヘッダーフィールドからクライアントのIPアドレスを取得できない場合、WAFはX-Forwarded-Forフィールドの最初のIPアドレスをクライアントのIPアドレスとして使用します。

    リソースグループ

    ドメイン名またはIPアドレスを追加するリソースグループを選択します。 リソースグループを選択しない場合、ドメイン名またはIPアドレスがデフォルトリソースグループに追加されます。

    説明

    リソース管理を使用して、リソースグループを作成し、Alibaba Cloudアカウント内のリソースを部門またはプロジェクトごとに管理できます。 詳細については、「リソースグループの作成」をご参照ください。

  5. [転送ルールの設定] ステップで、パラメーターを設定し、[送信] をクリックします。 下表にパラメーターを示します。

    パラメーター

    説明

    ノード設定

    [保護ノードグループ] ドロップダウンリストからノードグループを選択し、配信元サーバーアドレスをノードグループに追加します。 配信元サーバーアドレスは、Webサイトの配信元サーバーのIPアドレスです。 配信元サーバーアドレスは、WAFによって転送されるback-to-originリクエストを受信するために使用されます。 有効な値:

    • IP

      • 最大20のオリジンIPアドレスを入力できます。 IPアドレスを入力するたびにEnterキーを押します。

        説明

        複数の配信元IPアドレスを入力すると、WAFは配信元IPアドレス全体でワークロードを自動的に分散します。

      • IPv4アドレス、IPv6アドレス、またはIPv4アドレスとIPv6アドレスの両方を入力できます。

        • IPv4アドレスとIPv6アドレスの両方を入力すると、IPv6アドレスから送信されたリクエストがIPv6アドレスを使用するオリジンサーバーに転送され、IPv4アドレスから送信されたリクエストがIPv4アドレスを使用するオリジンサーバーに転送されます。

        • IPv4アドレスのみを入力すると、WAFはすべてのリクエストをIPv4経由で配信元サーバーに転送します。

        • IPv6アドレスのみを入力すると、WAFはIPv6経由ですべてのリクエストを配信元サーバーに転送します。

    • ドメイン名 (CNAMEなど)

      ドメイン名 (CNAMEなど) を選択した場合、ドメイン名はIPv4アドレスに対してのみ解決できます。 この場合、WAFはback-to-originリクエストをIPv4アドレスに転送します。

    Webサイトが複数の保護ノードにデプロイされている場合は、[+ 保護ノードの追加] をクリックして保護ノードをWAFに追加できます。

    パブリッククラウドのディザスタリカバリ

    この機能を有効にすると、障害復旧のためにサービストラフィックをパブリッククラウドクラスタにリダイレクトできます。 ハイブリッドクラウドクラスタに障害が発生すると、ドメイン名は、障害復旧のためにパブリッククラウドクラスタによって提供されるCNAMEに解決されます。 これにより、トラフィックはパブリッククラウドクラスターにリダイレクトされ、配信元サーバーに転送されます。 この機能を有効にする場合は、Origin Server Addressパラメーターを設定する必要があります。 配信元サーバーアドレスの設定要件は、[ノード設定] パラメーターの説明に記載されている要件と同じです。 詳細については、「配信元サーバーアドレス」をご参照ください。

    負荷分散アルゴリズム

    複数の配信元サーバーアドレスが指定されている場合、WAFが配信元back-to-originリクエストを配信元サーバーに転送するために使用する負荷分散アルゴリズムを選択します。 有効な値:

    • IPハッシュ (デフォルト)

      特定のIPアドレスから送信されたリクエストは、同じ配信元サーバーに転送されます。

    • ポーリング

      リクエストは、オリジンサーバーに順番に配信されます。

    高度なHTTPS設定

    • HTTP back-to-origin の有効化

      [HTTPルーティングの有効化] をオンにすると、WAFはHTTP経由でリクエストを転送します。 デフォルトのポートは80です。 [HTTPルーティングの有効化] をオンにすると、クライアントがポート80でWAFにアクセスするかポート443でアクセスするかに関係なく、WAFはポート80でオリジンサーバーにリクエストを転送します。 すべてのリクエストはHTTP経由でオリジンサーバーに転送でき、オリジンサーバーの設定を変更する必要はありません。 これにより、Webサイトのパフォーマンスに対するトラフィックの影響が軽減されます。

      重要

      WebサイトがHTTPSをサポートしていない場合は、[HTTPルーティングの有効化] をオンにします。

    • Back-to-origin SNI の有効化

      WAFがオリジンサーバーにリクエストを転送するときに、Transport Layer Security (TLS) ハンドシェイクプロセスの開始時にHTTPS接続を確立する必要があるドメイン名を指定します。 オリジンサーバーが複数のドメイン名をホストする場合は、オリジンSNIを選択する必要があります。

      Back-to-origin SNI の有効化 を選択した後、サーバー名表示 (SNI) フィールドを設定できます。 有効な値:

      • Host ヘッダのドメイン名 (デフォルト)

        WAF back-to-originリクエストのSNIフィールドの値は、Hostヘッダーフィールドの値と同じです。

        たとえば、設定するドメイン名が * .aliyundoc.comで、クライアントがHostヘッダーフィールドでwww.aliyundoc.comドメイン名を要求した場合、WAF back-to-originリクエストのSNIフィールドの値がwww.aliyundoc.comされます。

      • カスタム

        WAF back-to-originリクエストのSNIフィールドにカスタム値を入力できます。

        ほとんどの場合、SNIフィールドにカスタム値を指定する必要はありません。 ただし、back-to-originリクエストのHostヘッダーフィールドの値とは異なる値のSNIフィールドをWAFで使用する場合は、SNIフィールドにカスタム値を指定できます。

    その他の詳細設定

    • X-Forwarded-Protoヘッダーフィールドを使用したWAFのリスニングプロトコルの取得

      X-Forwarded-Protoヘッダーフィールドは、HTTPリクエストに自動的に追加されます。 X − Forwarded − Protoヘッダフィールドは、クライアントによって使用される元のプロトコルを識別するために使用される。 WebサイトがX-Forwarded-Protoヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。 このような問題を防ぐには、X-Forwarded-Protoヘッダーフィールドを使用してWAFのリスニングプロトコルの取得をクリアします。

    • トラフィックマークの有効化

      [トラフィックマークの有効化] を選択すると、WAFを通過するリクエストがマークされます。 これは、オリジンサーバーがクライアントの発信IPアドレスまたはポートを取得するのに役立ちます。

      ドメイン名をWAFに追加する前に攻撃者がオリジンサーバーに関する情報を取得し、別のWAFインスタンスを使用してリクエストをオリジンサーバーに転送する場合は、[トラフィックマークの有効化] を選択して悪意のあるトラフィックを傍受できます。 オリジンサーバーは、リクエストがWAFを通過したかどうかを確認します。 指定されたヘッダーフィールドがリクエストに存在する場合、リクエストはWAFを通過し、許可されます。 指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストはWAFを通過せず、ブロックされます。

      次のタイプのヘッダーフィールドを設定できます。

      • カスタムヘッダ

        カスタムヘッダーフィールドを追加する場合は、ヘッダ名 および ヘッダ値 パラメーターを設定する必要があります。 WAFは、back-to-originリクエストにヘッダーフィールドを追加します。 これにより、オリジンサーバーは、リクエストがWAFを通過したかどうかを確認し、統計を収集し、データを分析できます。

        たとえば、ALIWAF-TAG: はいのカスタムヘッダーフィールドを追加して、WAFを通過するリクエストをマークできます。 この例では、ヘッダーフィールドの名前はALIWAF-TAGで、ヘッダーフィールドの値はYesです。

      • リアル送信元 IP アドレス

        クライアントの送信元IPアドレスを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントの発信IPアドレスを取得できます。 WAFがクライアントの送信元IPアドレスを取得する方法の詳細については、このトピックのレイヤー7プロキシ (Anti-DDoS Pro、Anti-DDoS Premium、またはAlibaba Cloud CDNなど) がWAFの前にデプロイされているかどうかパラメーターの説明を参照してください。

      • ソースポート

        クライアントの発信ポートを記録するヘッダーフィールドを指定できます。 これにより、オリジンサーバーはクライアントのポートを取得できます。

      重要

      User-Agentなどの標準のHTTPヘッダーフィールドを設定しないことをお勧めします。 それ以外の場合、標準ヘッダーフィールドの元の値は、カスタムヘッダーフィールドの値で上書きされます。

      マークの追加 をクリックすると、ヘッダーフィールドを追加できます。 最大5つのヘッダーフィールドを指定できます。

    • back-to-originリクエストのタイムアウト期間の指定

      • 接続タイムアウト期間: WAFが配信元サーバーへの接続を待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 既定値:5

      • 読み取り接続タイムアウト期間: WAFが配信元サーバーから応答を受信するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120

      • 書き込み接続タイムアウト期間: WAFがリクエストを配信元サーバーに転送するまで待機できる最大時間。 有効な値: 1 ~ 3600 単位は秒です。 デフォルト値: 120

    • Back-to-origin の再試行

      Retry Back-to-originリクエストをオンにすると、WAFはオリジンサーバーへのリクエストの転送に失敗したときに、最大3回まで再試行します。 Retry Back-to-originリクエストをオンにしない場合、WAFは初めて失敗した場合、転送リクエストを再試行しません。

    • Back-to-origin の持続的接続

      Back-to-originキープアライブ要求をオンにする場合は、次のパラメーターを設定する必要があります。

      • 持続的接続の復元リクエスト数: 再利用されたキープアライブリクエストの数。 有効値: 60 ~ 1000 デフォルト値は 1000 です。

      • アイドル時の長時間の接続タイムアウト: アイドルキープアライブ要求のタイムアウト期間。 有効な値: 1 ~ 60。 単位は秒です。 デフォルト値:15。

      説明

      Back-to-originキープアライブ要求をオフにすると、back-to-originキープアライブ要求はWebSocketをサポートしません。

  6. ドメイン名のDNSレコードの変更

    重要
    • DNSレコードを変更する前に、Webサイトの転送設定が有効であることを確認してください。 Webサイトの転送設定が有効になる前にDNSレコードを変更すると、サービスの中断が発生する可能性があります。 詳細については、「ドメイン名設定の確認」をご参照ください。

    • リバースプロキシモードでドメイン名をWAFに追加する場合は、DNSレコードを変更する必要があります。 リバースプロキシモードでWAFにIPアドレスを追加する場合は、この手順をスキップしてください。

    1. ドメイン名のDNS Aレコードを変更して、ドメイン名をノードグループのIPアドレスに指定します。

    2. DNS CNAMEレコードを変更して、パブリッククラウドクラスターが提供するCNAMEにドメイン名を指定します。 手順5Public Cloud Disaster Recoveryを有効にした場合、この操作を実行する必要があります。

      説明

      Alibaba Cloud DNSを使用する場合は、Alibaba Cloud DNSコンソールにログインし、ドメイン名のDNS AレコードとDNS CNAMEレコードを変更します。 詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。

    ハイブリッドクラウドモードでドメイン名またはIPアドレスをWAFに追加すると、ドメイン名またはIPアドレスが保護オブジェクトとして自動的に追加されます。 デフォルトでは、保護対象オブジェクトに対して基本保護ルールモジュールの保護ルールが有効になっています。 WAFコンソールの左側のナビゲーションウィンドウで、[保護設定] > [保護されたオブジェクト] を選択すると、保護されたオブジェクトを表示できます。 保護対象オブジェクトの保護ルールを設定することもできます。 詳細については、「保護設定の概要」をご参照ください。防护对象

SDK統合モード

SDK統合モードでは、webサービスの統合アクセスゲートウェイにSDKがデプロイされ、WAFがトラフィックミラーリングを使用してサービストラフィックを検出できるようになります。 これは、トラフィック転送をトラフィック検出から分離する。 SDK統合モードでwebサービスをWAFに追加する場合は、DingTalkグループ34657699に参加して、テクニカルサポートを取得します。

SDKとハイブリッドクラウドクラスターをデプロイした後、次の操作を実行できます。

  • SDKがデプロイされている転送ノード、ハイブリッドクラウドクラスタ、および保護ノードグループのIPアドレス間のマッピングを表示します。 転送ノードのステータスを表示することもできます。

    1. WAF 3.0コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[Webサイトの設定] をクリックします。

    3. [ハイブリッドクラウド] タブで、[SDKの統合] をクリックします。

      SDKがデプロイされている転送ノード、ハイブリッドクラウドクラスター、および保護ノードグループのIPアドレス間のマッピングを表示できます。 転送ノードのステータスを表示することもできます。服务化模式

  • 保護されたオブジェクトを追加します。

    SDK統合モードでWebサイトをWAFに追加した後、WAFはWebサイトのドメイン名を保護オブジェクトとして自動的に追加しません。 Webサイトのドメイン名またはURLを保護されたオブジェクトとして手動で

    WAFコンソールの保護されたオブジェクトページ。 詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。

  • 保護対象オブジェクトの保護ルールを設定します。

    保護オブジェクトを追加した後、保護オブジェクトの保護ルールを設定する必要があります。 詳細については、「保護設定の概要」をご参照ください。