すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:サンドボックスの概要

    ドキュメントセンター

    Web Application Firewall:サンドボックスの概要

    最終更新日:Aug 22, 2024

    サブスクリプションWeb Application Firewall (WAF) インスタンスの実際のピーククエリ /秒 (QPS) が合計QPSクォータを超える場合、または従量課金WAFインスタンスの実際のピークQPSがトラフィック課金保護のために指定されたしきい値を超える場合、WAFインスタンスがサンドボックスに追加される可能性があります。 WAFインスタンスがサンドボックスに追加された場合、サービスレベル契約 (SLA) は保証されなくなります。 このトピックでは、サンドボックス機能の概要と、サンドボックスからWAFインスタンスを削除する方法について説明します。

    概要

    サンドボックスは、WAFインスタンスの実際のピークQPSが合計QPSクォータを超えたときにWAFインスタンスが入る可能性のある異常状態です。

    サブスクリプションWAFインスタンスのサンドボックス機能の仕組み

    サブスクリプションWAFインスタンスは、次のQPS仕様をサポートしています。WAF、拡張QPS、およびバースト可能QPS (従量課金) でサポートされているQPS仕様。

    image

    • 拡張QPSが購入されておらず、バースト可能なQPS (従量課金) 機能が無効になっている場合、合計QPSクォータはWAFでサポートされているQPS仕様と同等になります。

    • 拡張QPSを購入し、バースト可能なQPS (従量課金制) 機能が無効になっている場合、合計QPSクォータは、WAFおよび拡張QPSでサポートされているQPS仕様に相当します。

    • 拡張QPSが購入されておらず、バースト可能QPS (従量課金) 機能が有効になっている場合、合計QPSクォータは、WAFでサポートされているQPS仕様とバースト可能QPS (従量課金) に相当します。

    • 拡張QPSを購入し、バースト可能QPS (従量課金) 機能が有効になっている場合、合計QPSクォータは、WAFでサポートされているQPS仕様と拡張QPSとバースト可能QPS (従量課金) に相当します。

    WAFインスタンスがサンドボックスに入るための条件

    WAFインスタンスが次のいずれかの条件を満たす場合、WAFインスタンスはサンドボックスに追加されます。

    • QPS超過イベントの数

      システムは、各時点で前の1時間のWAFインスタンスのピークQPSを測定します。 WAFインスタンスのピークQPSが、連続した5分間のWAFインスタンスの合計QPSクォータよりも高い場合、システムはQPS超過イベントが発生したと見なします。 同じ日に複数のQPS超過イベントが発生した場合、システムは1つのQPS超過イベントのみをカウントします。 イベントが4回目にカウントされると、WAFインスタンスがサンドボックスに追加されます。

      説明

      • トラフィックの急増により、WAFインスタンスのピークQPSが合計QPSクォータを5分未満超えた場合、システムはこれをQPS超過イベントとしてカウントしません。

      • QPS超過イベントの開始時刻と終了時刻が同じ日でない場合 (23:55から00:10など) 、システムはこれをQPS超過イベントとしてカウントします。

    • QPS使用率

      WAFインスタンスのピークQPSが次の表に示す条件のいずれかを満たす場合、WAFインスタンスはすぐにサンドボックスに追加されます。

      インスタンス

      合計QPSクォータ

      説明

      中国本土のWAFインスタンス

      20,000以下

      WAFインスタンスのピークQPSが100,000を超えると、WAFインスタンスがサンドボックスに追加されます。

      20,000より大きい

      WAFインスタンスのピークQPSがWAFインスタンスの合計QPSクォータを5倍超えた場合、WAFインスタンスはサンドボックスに追加されます。

      中国本土外のWAFインスタンス

      2,000以下

      WAFインスタンスのピークQPSが10,000を超えると、WAFインスタンスがサンドボックスに追加されます。

      2,000より大きい

      WAFインスタンスのピークQPSがWAFインスタンスの合計QPSクォータを5倍超えた場合、WAFインスタンスはサンドボックスに追加されます。

    インスタンスへの影響

    警告

    WAFインスタンスがサンドボックスに追加された場合、SLAは保証されなくなります。 この場合、WAFインスタンスの保護されたオブジェクトには、パケット損失、レート制限、接続制限、保護失敗、ログデータ例外、レポートデータ例外、アクセスタイムアウト、DDoS攻撃によるトラフィックスクラビング、ブラックホールフィルタリングなどのサービスアクセス例外が発生する可能性があります。

    • WAFインスタンスがサンドボックスに追加された後、バースト可能なQPS (従量課金) 機能を有効にできます。 この機能の請求書は、WAFインスタンスがサンドボックスから削除されるまで生成されません。

    • WAFインスタンスがサンドボックスに追加された場合、システムは電子メール、テキストメッセージ、または内部メッセージで通知を送信します。 WAFコンソールの上部のバナーセクションで、QPS超過イベントの詳細を表示できます。

    説明

    バースト可能なQPS (従量課金) 機能を有効にして、WAFインスタンスがサンドボックスに追加されないようにすることができます。 詳細については、「バースト可能なQPS (従量課金) 」をご参照ください。

    QPS超過イベントの詳細を表示

    QPS超過イベントの通知は、WAF 3.0コンソールの上部バナーセクションに表示できます。

    • 過去30日間のQPS超過イベントの詳細を表示するには、[詳細の表示] をクリックします。

    • [概要] ページで、[トラフィック] タブをクリックします。 QPSセクション (次の図では2と表示されています) で、QPS使用量のピーク値チャートと平均値チャートを表示します。

    説明

    • 1時間に複数のQPS超過イベントが発生した場合、[超過詳細] ダイアログボックスに表示されるピークQPSは、その時間の最大QPS値です。

    • ピークQPSが連続5分間の合計QPSクォータを超える場合、システムはこれを1つのQPS超過イベントとしてカウントします。

    • WAFインスタンスのステータスが [超過] または [サンドボックス] の場合、WAFインスタンスのQPSクォータを増やすことができます。 QPSクォータを増やすと、WAFインスタンスのステータスがサンドボックス削除済みまたは超過削除済みに変わります。

    サンドボックスからのWAFインスタンスの削除

    WAFインスタンスの実際のピークQPSが合計QPSクォータを下回った場合でも、サンドボックスに追加されたサブスクリプションWAFインスタンスをサンドボックスから自動的に削除することはできません。 サンドボックスからWAFインスタンスを削除するには、QPSクォータを増やす必要があります。 QPSクォータを増やした後にWAFインスタンスがサンドボックスに再追加された場合は、QPSクォータを再度増やす必要があります。

    1. WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスがデプロイされているリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択します。

    2. 上部のバナーセクションで、[今すぐアップグレード] をクリックします。 右上隅の [アップグレード] をクリックすることもできます。

    3. [アップグレード] [今すぐ] パネルで、WAFインスタンスのエディションをアップグレードするか、追加のQPSクォータを購入するか、バースト可能なQPS (従量課金) 機能を有効にしてQPSクォータを増やします。

      説明

      WAF購入ページに移動して、WAFインスタンスのエディションをアップグレードしたり、追加のQPSクォータを購入したり、バースト可能なQPS (従量課金) 機能を有効にしたりすることもできます。

      QPSクォータを増やすと、WAFインスタンスのステータスがサンドボックス削除済みまたは超過削除済みに変わります。 QPS超過イベントの数は0にリセットされます。

    従量課金WAFインスタンスのサンドボックス機能の仕組み

    システムは、[トラフィック課金保護しきい値] パラメーターに基づいて、従量課金WAFインスタンスをサンドボックスに追加するかどうかを決定します。 WAFインスタンスのピークQPSが1時間以内にしきい値より高い場合、WAFインスタンスはサンドボックスに追加されます。

    従量課金WAFインスタンスを購入したときに [トラフィック課金保護しきい値] パラメーターの値を指定していて、しきい値を調整する場合は、WAFコンソールに移動し、[トラフィック保護しきい値の変更] をクリックして、実際のQPSに基づいてパラメーターを変更します。

    以下のセクションでは、従量課金 WAF インスタンスでサポートされている、トラフィック課金保護の最大しきい値について説明します。 デフォルトでは、従量課金 WAF インスタンスのトラフィック課金保護のしきい値は最大値に設定されています。

    • 中国本土のWAFインスタンスの場合、パラメーターに許可される最大値は100000です。

    • 中国本土以外のWAFインスタンスの場合、パラメーターに許可される最大値は10000です。

    WAFインスタンスがサンドボックスに入るための条件

    ピークQPSが1時間以内にトラフィック課金保護しきい値パラメーターの値より大きい場合、WAF 3.0コンソールの上部のバナーセクションに通知が表示されます (次の図では1と表示されています) 。

    [トラフィック課金保護の詳細] をクリックすると、過去30日間のトラフィック課金保護の詳細が表示されます。

    インスタンスへの影響

    警告

    WAFインスタンスがサンドボックスに追加された場合、SLAは保証されなくなります。 この場合、WAFインスタンスの保護されたオブジェクトには、パケット損失、レート制限、接続制限、保護失敗、ログデータ例外、レポートデータ例外、アクセスタイムアウト、DDoS攻撃によるトラフィックスクラビング、ブラックホールフィルタリングなどのサービスアクセス例外が発生する可能性があります。

    • 従量課金WAFインスタンスがサンドボックスに追加された後、WAFインスタンスがサンドボックスから削除されるまで、WAFインスタンスの1時間ごとの請求書は生成されません。

    • WAFインスタンスがサンドボックスに追加された場合、システムは電子メール、テキストメッセージ、または内部メッセージで通知を送信します。 トラフィック課金保護に関する情報は、WAFコンソールの上部のバナーセクションで確認できます。

    サンドボックスからのWAFインスタンスの削除

    従量課金WAFインスタンスのピークQPSが [トラフィック課金保護しきい値] パラメーターの値を下回ると、WAFインスタンスは自動的にサンドボックスから削除されます。

    サンドボックスから従量課金WAFインスタンスを手動で削除するには、次の操作を実行します。

    • 上部のバナーセクション (前の図では1とラベル) で、[しきい値の変更] をクリックして、[トラフィック課金保護しきい値] パラメーターの値を変更します。

    •   [概要] ページで、[トラフィック保護しきい値の変更] をクリックして、[トラフィック課金保護しきい値] パラメーターの値を変更します。 詳細については、「トラフィック課金保護のしきい値の指定」をご参照ください。

    関連ドキュメント

    • WAFインスタンスのエディションでサポートされているQPS仕様の詳細については、「エディション」をご参照ください。

    • サービスセキュリティデータとサービストラフィックデータを表示する方法の詳細については、「概要」をご参照ください。

    • バースト可能QPS (従量課金) 機能の課金方法とシナリオの詳細については、「バースト可能QPS (従量課金) 」をご参照ください。

    • トラフィック課金保護機能の詳細とトラフィック課金保護のしきい値の調整方法については、「トラフィック課金保護」をご参照ください。