クラウドネイティブモードとCNAMEレコードモード - Web Application Firewall

Webアプリケーションファイアウォール (WAF) を使用してwebサービスを保護する場合は、webサービスをWAFに追加する必要があります。クラウドネイティブモードまたはCNAMEレコードモードでwebサービスをWAF 3.0に追加できます。 webサービスの展開モデルに基づいてモードを選択できます。このトピックでは、クラウドネイティブモードとCNAMEレコードモードの実装、推奨シナリオ、保護されたオブジェクト、およびアクセス方法について説明します。

比較

項目	クラウドネイティブモード		CNAMEレコードモード
項目	SDK統合モード	逆プロキシモード	CNAMEレコードモード
実装	WAFはSDKモジュールとしてクラウドサービスのゲートウェイに統合され、トラフィックを検出して保護します。互換性と安定性の問題を防ぐため、WAFはトラフィックを転送しません。	クラウドサービスのトラフィックリダイレクションポートをWAFに追加する必要があります。これにより、クラウドサービスのゲートウェイは自動的にwebサービスのトラフィックをWAFにリダイレクトします。次に、WAFは悪意のあるリクエストを除外し、正当なリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。	ドメイン名をWAFが提供するCNAMEにマップするには、ドメインネームシステム (DNS) プロバイダーでCNAMEレコードを更新する必要があります。これにより、ドメイン名宛てのリクエストがWAFにリダイレクトされます。次に、WAFは悪意のあるリクエストを除外し、正当なリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。
推奨シナリオ	webサービスに次のAlibaba Cloudサービスを使用する場合は、次のモードでwebサービスをWAFに追加することを推奨します。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute.	webサービスにAlibaba Cloud Classic Load Balancer (CLB) またはElastic Compute Service (ECS) を使用している場合は、このモードでwebサービスをWAFに追加することを推奨します。	webサービスにALB、MSE、Function Compute、CLB、またはECSを使用しない場合は、CNAMEレコードモードでwebサービスをWAFに追加できます。
保護されたオブジェクト	ALBまたはMSEインスタンス。インスタンスにホストされているすべてのドメイン名を含みます。 Function Computeのカスタムドメイン名.	CLBまたはECSインスタンス。インスタンスにホストされているすべてのドメイン名を含みます。	ドメイン名。
アクセス方法	ALBまたはMSEコンソールで、インスタンスまたはドメイン名のWAF保護を有効にします。詳細については、「ALBインスタンスのWAF保護の有効化」および「MSEインスタンスのWAF保護の有効化」をご参照ください。 Function Computeコンソールで、カスタムドメイン名のWAF保護を有効にします。詳細については、「Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護の有効化」をご参照ください。	WAFコンソールで、CLBインスタンスまたはECSインスタンスのトラフィックリダイレクションポートをWAFに追加します。詳細については、「レイヤー7 CLBインスタンスのWAFへの追加」、「レイヤー4 CLBインスタンスのWAFへの追加」、および「ECSインスタンスのWAFへの追加」をご参照ください。	WAFにドメイン名を追加し、リスナーと転送ルールを設定します。詳細については、「WAFへのドメイン名の追加」をご参照ください。ドメイン名のDNSレコードを変更します。詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。 WAFのback-to-origin CIDRブロックからのアクセスを許可します。詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。