このトピックでは、Web Application Firewall (WAF) の保護構成の用語、プロセス、保護モジュール、および例について説明します。
保護設定プロセス
webサービスをWAFに追加した後、次の手順を実行して設定できます。 webサービスの保護ルール . 保護設定プロセスは、webサービスをWAFに追加するモードによって異なります。
ステップ | クラウドネイティブモード | CNAMEレコードモード |
1. を追加する 保護されたオブジェクト . | WAFに追加されたクラウドサービスインスタンスは、保護されたオブジェクトとしてWAFに自動的に追加されます。 同じクラウドサービスインスタンスを指す異なるドメイン名に対して異なる保護ルールを設定する場合は、WAFでドメイン名を保護オブジェクトとして手動で追加する必要があります。 詳細については、「保護されたオブジェクトと保護されたオブジェクトグループ」をご参照ください。 | この手順を実行する必要はありません。 CNAMEレコードモードでWAFに追加されたドメイン名は、WAFで保護オブジェクトとして自動的に追加されます。 |
2. (オプション) 保護されたオブジェクトを 保護されたオブジェクトグループ . | 複数の保護オブジェクトに対して同じ保護ルールを設定する場合は、保護オブジェクトを保護オブジェクトグループに追加してから、保護オブジェクトグループの保護ルールを設定できます。 保護オブジェクトグループに設定されている保護ルールは、グループ内のすべての保護オブジェクトに対して有効になります。 保護オブジェクトグループを使用する前に、保護オブジェクトグループを作成し、保護オブジェクトをグループに追加する必要があります。 詳細については、「保護対象オブジェクトグループの作成」をご参照ください。 | |
3. 保護テンプレートを作成します。 | を有効にする前に、 保護モジュール 、保護モジュールの保護テンプレートを作成する必要があります。 次に、保護テンプレートを特定の保護オブジェクトまたは保護オブジェクトグループに適用できます。 基本保護ルールとホワイトリストモジュールは、組み込みのデフォルト保護テンプレートを提供します。 これらのモジュールを使用するために保護テンプレートを作成する必要はありません。 他の保護モジュールを有効にする場合は、保護モジュール用の保護テンプレートを作成する必要があります。 詳細については、「保護モジュールの概要」をご参照ください。 複数の保護テンプレートを作成し、その保護テンプレートを使用して、異なる保護オブジェクトに対して異なる保護ルールを設定できます。 詳細については、「例: 保護モジュールの複数の保護テンプレートの設定」をご参照ください。 | |
4. 保護ルールを管理します。 | さまざまな保護モジュールの保護テンプレートで保護ルールを管理できます。 たとえば、ルールを追加、有効化、または無効化できます。 保護テンプレートのルールの変更は、保護テンプレートが適用されているオブジェクトに対して有効になります。 保護ルールに対して実行できる操作は、保護テンプレートによって異なります。 詳細については、「保護モジュールの概要」をご参照ください。 | |
保護モジュールの概要
次の表に、WAFでサポートされている保護モジュールと各保護モジュールのデフォルト設定を示します。
保護モジュール | 説明 | デフォルトの保護テンプレート | 設定の推奨事項 |
組み込みに基づく一般的なwebアプリケーション攻撃からの防御 保護ルールセット 一般的なwebアプリケーション攻撃には、SQLインジェクション、クロスサイトスクリプティング (XSS) 、コード実行、webshellアップロード、およびコマンドインジェクションが含まれます。 | 組み込みのデフォルトの保護テンプレートが提供され、テンプレートにはWAFによって提供される保護ルールセットが含まれています。 デフォルトでは、デフォルトの保護テンプレートが有効になっており、ブロックアクションが指定されています。 重要 基本保護ルールモジュールは、WAFに新しく追加されたすべての保護オブジェクトを保護します。 モジュールは攻撃要求を自動的にブロックします。 | デフォルトの設定を保持することを推奨します。 基本保護ルールセットが通常のリクエストをブロックする場合、基本保護ルールとともに使用するホワイトリストルールを設定できます。 詳細については、「特定のリクエストを許可するホワイトリストルールの設定」をご参照ください。 | |
保護ルールのグループに基づいて攻撃を防御します。 カスタムルールグループを設定するか、デフォルトルールグループを使用できます。 一般的なwebアプリケーション攻撃からwebサイトを保護するために、ビジネス要件に基づいてルールグループを基本的な保護テンプレートに関連付けることができます。 | 組み込みのデフォルトルールグループはWAFによって提供されます。 | カスタムルールグループを有効にするには、ルールグループテンプレートを作成し、そのテンプレートのルールを設定する必要があります。 | |
特定の特性を持つ要求が、すべてまたは指定された保護モジュールのチェックをバイパスできるようにします。 ビジネス要件に基づいてリクエストの特性を設定できます。 | 組み込みの既定の保護テンプレートが提供されますが、既定の保護テンプレートには保護ルールが事前に定義されていません。 デフォルトでは、保護テンプレートは有効になっています。 | WAFが特定の特性を持つリクエストを許可する場合は、デフォルトの保護テンプレートでホワイトリストルールを作成する必要があります。 | |
組み込みの一般的なHTTPフラッド保護アルゴリズムに基づいて、HTTPフラッド攻撃を軽減します。 カスタムルールモジュールでHTTPフラッド保護のスロットリングを設定することもできます。 | 組み込みの既定の保護テンプレートが提供されますが、既定の保護テンプレートには保護ルールが事前に定義されていません。 デフォルトでは、保護テンプレートは有効になっています。 説明 デフォルトの保護テンプレートは、サブスクリプションWAF Pro Edition、Enterprise Edition、およびUltimate Editionインスタンスに対してのみ有効です。 | カスタムルールを有効にするには、保護テンプレートを作成し、テンプレートのルールを設定する必要があります。 | |
スキャナーのスキャン動作と特性を識別し、攻撃者やスキャナーがWebサイトをスキャンできないようにします。 これにより、webサービスへの侵入のリスクを軽減し、不要なスキャントラフィックをブロックします。 | 組み込みの既定の保護テンプレートが提供されますが、既定の保護テンプレートには保護ルールが事前に定義されていません。 デフォルトでは、保護テンプレートは有効になっています。 説明 デフォルトの保護テンプレートは、サブスクリプションWAF Pro Edition、Enterprise Edition、およびUltimate Editionインスタンスに対してのみ有効です。 | カスタムルールを有効にするには、保護テンプレートを作成し、テンプレートのルールを設定する必要があります。 | |
指定されたIPv4アドレス、IPv6アドレス、またはCIDRブロックからのリクエストをブロックします。 ビジネス要件に基づいて、IPアドレスまたはCIDRブロックを指定できます。 | デフォルトの保護テンプレートは提供されません。 デフォルトでは、この保護モジュールは無効になっています。 | この保護モジュールを有効にするには、保護テンプレートを作成し、テンプレートのルールを構成する必要があります。 | |
HTTPリクエストの特性または指定した一連のカスタム特性に基づいて、リクエストのブロック、リクエストの検証、またはログの記録を行います。 カスタムルールを設定するときに、レート制限をオンにできます。 レート制限がオンになった後、統計オブジェクトのリクエストレートがしきい値を超えると、IPアドレスやセッションなどの統計オブジェクトがブラックリストに追加されます。 統計オブジェクトがブラックリストに追加されると、WAFは指定された期間中に統計オブジェクトからのリクエストに対して指定されたアクションを実行します。 | |||
クライアント要求がWAFによってブロックされたときにWAFがクライアントに返すブロックページを設定できます。 ブロックページのステータスコード、レスポンスヘッダー、およびレスポンス本文を指定できます。 | |||
数回クリックするだけで、特定のリージョンのクライアントIPアドレスをブロックできます。 | |||
特定のwebページをロックして、コンテンツの改ざんを防ぎます。 ロックされたwebページがリクエストを受信すると、事前に設定されたキャッシュページが返されます。 | |||
異常な返されたコンテンツをフィルタリングし、IDカード番号、電話番号、銀行カード番号、機密単語などの機密情報をマスクします。 | |||
フィンガープリント技術を使用して、レイヤー4およびレイヤー7ボットトラフィックを検出します。 | |||
クライアントの特性、トラフィック、動作、インテリジェンスに基づいてボットトラフィックを識別し、悪意のあるトラフィックをブロックして、不要な帯域幅の消費、データのクロール、スパムユーザー登録、悪意のある注文、悪意のある投票、APIの悪用を防ぎます。 | |||
特定の時間範囲内の主要なイベントのセキュリティを確保し、サービスを正確に保護します。 | デフォルトの保護テンプレートは提供されません。 デフォルトでは、この保護モジュールは無効になっています。 | この保護モジュールを有効にするには、保護テンプレートを作成し、テンプレートのルールを構成する必要があります。 | |
WAFによって保護されているサービスのAPIを自動的にソートし、APIへの不正アクセス、機密データの公開、内部APIの公開などのAPIの脆弱性を検出します。 このモジュールでは、レポートを使用してAPI例外イベントを追跡し、検出された脆弱性を修正する方法に関する提案を提供し、APIライフサイクル管理のためのデータを提供します。 これにより、包括的なAPIセキュリティ保護を設定できます。 | N/A | ||
WAF保護の無効化
WAF保護を無効にする場合は、WAF 3.0コンソールの [保護されたオブジェクト] ページに移動し、WAFをオフにします。
WAF保護を無効にすると、WAFによって保護されていたWebサイトへのトラフィックはWAFの保護エンジンをバイパスし、WAFは監視およびブロックされたリクエストのログ記録を停止します。 WAF保護を一時的に無効にする必要がある緊急テストなどの操作を実行する場合は、WAF 3.0コンソールの [保護されたオブジェクト] ページに移動し、操作の完了後にWAF保護を再度有効にして、監視およびブロックされたリクエストのログを再開することを推奨します。 これにより、資産の潜在的なエクスポージャーを減らすことができます。 WAF保護または特定の機能を無効にしてAPIセキュリティモジュールを設定しても、関連する検出プロセスは停止しません。
従量課金WAFインスタンスを使用し、WAF保護を短期間無効にした場合でも、その期間中は引き続き機能料金と基本リクエスト料金が請求されます。 APIセキュリティモジュールを有効にすると、APIセキュリティモジュールのトラフィック料金も請求されます。 ボット管理、リスク識別、およびカスタムルールの課金は一時停止されます。
WAFに追加されたMicroservices Engine (MSE) およびFunction ComputeのWAF保護の無効化はサポートされていません。 ハイブリッドクラウドにデプロイされているWebサイトのWAF保護を無効にする場合、設定はハイブリッドクラウドのバージョンが特定の条件を満たしている場合にのみ適用されます。 詳細については、ビジネスマネージャーに連絡するか、チケット相談のためにチケットを提出する。 Alibaba Cloudテクニカルサポートにより、特定のバージョン情報が提供されます。
例: 保護モジュールの複数の保護テンプレートの設定
保護モジュールに複数の保護テンプレートを設定できます。 保護テンプレートを使用して、さまざまな保護オブジェクトの保護ルールを設定し、ビジネス要件を満たすことができます。
この例では、基本保護ルールモジュールを使用しています。 デフォルトの保護テンプレートが提供されています。 デフォルトでは、テンプレートは有効になっており、ブロック操作がテンプレートで指定されています。 デフォルトの保護テンプレートは、WAFに新しく追加されたすべての保護オブジェクトに適用されます。 WAFが保護オブジェクトに送信された攻撃リクエストを検出すると、WAFは攻撃リクエストをブロックします。
WAFが新しく追加された保護オブジェクトに送信される攻撃要求を監視し、WAFが既存の保護オブジェクトに送信される攻撃要求をブロックする場合は、次の設定を使用できます。 WAFが攻撃リクエストを監視する場合、WAFは攻撃リクエストをブロックせず、攻撃リクエストと一致する保護ルールの記録を保持します。
デフォルトの保護テンプレートで、Actionパラメーターの値をMonitorに変更します。
GA インスタンス 保護テンプレート。 [Action] パラメーターを [Block] に設定し、[Apply to] パラメーターをWAFのすべての既存の保護オブジェクトに設定します。
上記の設定を完了すると、WAFは新しく追加された保護オブジェクトに送信される攻撃リクエストを監視します。 WAFが不要なリクエストのみをブロックすることを確認したら、作成した保護テンプレートを保護されたオブジェクトに適用できます。