すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:専用クラスターの構成

    ドキュメントセンター

    Web Application Firewall:専用クラスターの構成

    最終更新日:Nov 16, 2025

    Web Application Firewall (WAF) は、仮想専用クラスターを使用して、サービスの特性に基づいてカスタムアクセスと保護を提供する Exclusive Edition を提供します。

    背景情報

    Web サイトが特定のビジネスニーズに合わせて非標準のデザインを使用している場合、WAF に追加して保護できます。専用クラスターは、アプリケーションレイヤーの攻撃に対する包括的な保護を提供します。

    WAF Exclusive Edition インスタンスを購入すると、専用クラスターの次の構成をカスタマイズできます:

    • クラスターリージョン: クラスターのリージョンを選択します。

    • クラスターポート設定: アクセス保護のために、より広範囲の非標準ポートを構成します。HTTP、HTTPS、および HTTP 2.0 プロトコルのカスタム back-to-origin ポートを構成することもできます。

      説明

      次のシステムポートのみがサポートされていません: 22、53、9100、4431、4646、8301、6060、8600、56688、15001、4985、4986、または 4987。

    • SNI 認証: 標準のサーバ名表示 (SNI) プロトコルをサポートしていないクライアントデバイスが Web サイトにアクセスできるように、デフォルトの証明書をアップロードします。

    • 保護応答ページ: Alibaba Cloud Content Delivery Network (CDN) にアップロードされた静的ページの URL を構成します。WAF は、このページを保護応答ページとして使用して、ユーザーエクスペリエンスを向上させます。

    • TLS セキュリティポリシー: サポートされている TLS バージョンと暗号スイートを選択します。

    • 長寿命接続タイムアウト構成: 接続確立、リクエスト、および応答のタイムアウト期間をカスタマイズします。

    専用クラスターの作成

    WAF Exclusive Edition インスタンスを購入またはスペックアップした後、仮想専用クラスターまたは共有クラスターを使用して Web サイトを保護できます。専用クラスターを使用する前に、サービスの特性に基づいてクラスターを作成する必要があります。

    1. WAF コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスがデプロイされているリソースグループとリージョンを選択します。リージョンは [中国本土] または [中国本土以外] のいずれかです。

    2. 左側のナビゲーションウィンドウで、[システム] > [専用設定] を選択します。

    3. 専用の設定項目 ページで、サービスの特性に基づいてクラスターを構成します。

      • リージョン を選択します。

        説明

        専用クラスターが作成された後、リージョン は変更できません。

      • [サーバーポート] の範囲を設定します: プロトコルタイプを選択し、サーバーポートの範囲を入力して、保存 をクリックします。これにより、専用クラスターにドメイン名を追加するときに、この範囲からポートをすばやく選択できます。

      • ブロッキング応答ページ URL を設定します: Alibaba Cloud CDN にアップロードされた静的ページの URL を入力します。このページは、専用クラスターに追加されたすべての Web サイトの WAF 保護応答ページとして使用されます。

      • [証明書ファイル][秘密キーファイル] フィールドに内容を入力して、デフォルトの SNI 証明書をアップロードします。

      • HTTPS プロトコルの暗号化設定を構成します。

        • TLS バージョン: デフォルトのオプションは TLS 1.0 以上のバージョン対応 (高互換性・低安全性) です。セキュリティ要件に基づいて、TLS 1.1 または TLS 1.2 以降のみをサポートするオプションを選択できます。

        • 暗号スイート:

          • プロトコルのバージョンに基づいて暗号スイートを選択します。 操作は慎重に行ってください。 を選択します。このオプションを使用すると、各ドメイン名の TLS バージョンと暗号スイートをカスタマイズできます。TLS バージョンは個別にカスタマイズできます。暗号スイートについては、強力な暗号化アルゴリズム、脆弱な暗号化アルゴリズム、または個々のアルゴリズムの組み合わせを選択できます。

          • 強力な暗号スイート (低互換性・高安全性) を選択します。次の強力な暗号スイートのみがサポートされています:

            • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

            • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

            • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

            • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

            • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

            • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

            • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

            • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

            • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

            • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

          • すべての暗号スイート (高互換性・低安全性) を選択します。上記の強力な暗号スイートに加えて、次の脆弱な暗号スイートもサポートされています:

            • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

            • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

            • TLS_RSA_WITH_AES_128_GCM_SHA256

            • TLS_RSA_WITH_AES_256_GCM_SHA384

            • TLS_RSA_WITH_AES_128_CBC_SHA256

            • TLS_RSA_WITH_AES_256_CBC_SHA256

            • TLS_RSA_WITH_AES_128_CBC_SHA

            • TLS_RSA_WITH_AES_256_CBC_SHA

            • SSL_RSA_WITH_3DES_EDE_CBC_SHA

    4. 作成 をクリックします。

      システムは構成に基づいて専用クラスターを作成します。このプロセスには約 20 分かかります。クラスターが作成された後、専用の設定項目 ページでその設定を表示および変更できます。

    次のステップ

    専用クラスターを作成した後、サービスを追加して保護できます。次のシナリオがサポートされています:

    • ドメイン名を追加するときに、保護のために専用クラスターに追加できます。詳細については、「ドメイン名を追加する」をご参照ください。

      重要

      専用クラスター用に生成された IP アドレスは、クラスターに追加されたサービスへのリクエストをリッスンするためにのみ使用されます。この IP アドレスは固定されていません。サービスの安定性を確保するには、「ドメイン名を追加する」に記載の手順に従って、ドメイン名の DNS 解決設定を変更する必要があります。

    • すでに WAF によって保護されているドメイン名については、Web サイトアクセス ページに移動し、保護リソース専用クラスター に変更できます。これにより、ドメイン名が保護のために専用クラスターに移動されます。

      このメソッドを使用して、ドメイン名を専用クラスターから共有クラスターに切り替えることもできます。

      重要

      専用クラスターと共有クラスターのカスタムポート範囲は異なります。クラスターを切り替えるときは、ドメイン名のカスタムポート構成が新しいクラスターと互換性があることを確認してください。