Web Application Firewall (WAF) は、HTTP/HTTPS トラフィックを検査し、悪意のあるリクエストがサーバーに到達する前にブロックして、正当なトラフィックのみを転送することで、Web サイトとアプリケーションを保護します。ハードウェア、ソフトウェア、ルーティングの変更は不要で、5 分以内に WAF をデプロイできます。
WAF の仕組み
WAF は、ユーザーとオリジンサーバーの間に配置されます。WAF は、受信リクエストごとに次の操作を実行できます:
許可: リクエストを許可し、サーバーに転送します。
ブロック: リクエストをブロックし、クライアントにエラーレスポンスを返します。
監視: リクエストを監視し、ブロックせずにログに記録してアラートをトリガーします。
この決定は、設定した保護ルール、脅威インテリジェンスのシグナル、および WAF の検出エンジンに基づいています。トラフィックの種類ごとに適用する動作を制御できます。
ユースケース
WAF は、Alibaba Cloud またはその他の環境にデプロイされている Web サーバーの HTTP/HTTPS トラフィックを保護します。金融サービス、E コマース、O2O、インターネット+、ゲーム、政府、保険などの業界で広く採用されています。
主要なセキュリティ機能
Web アプリケーション攻撃からの保護
OWASP Top 10 対策: SQL インジェクション、クロスサイトスクリプティング (XSS) 、Web シェルのアップロード、バックドア、コマンドインジェクション、不正な HTTP リクエスト、コアファイルへの不正アクセス、パストラバーサルをブロックします。
Web サイトの秘匿化: オリジンサーバーの IP アドレスを攻撃者から隠し、攻撃者が WAF をバイパスしてオリジンを直接攻撃するのを防ぎます。
仮想パッチとゼロデイ脆弱性対策: 公式のセキュリティパッチが利用可能になる前に保護ルールを迅速に更新することで、高リスクおよびゼロデイ脆弱性に対して仮想パッチを適用します。
監視モード: 新しいアプリケーションでは、監視モードを有効にすることで、疑わしいトラフィックをブロックせずにアラートをログに記録できます。これを使用して、適用モードに切り替える前に誤検知を特定して調整します。
ディープインスペクション技術: ヘッダーフィールド、フォームデータ、マルチパート、JSON、XML などの一般的な HTTP データ形式を完全に解析し、URL、JavaScript Unicode、HEX、HTML エンティティ、Java シリアライゼーション、PHP シリアライゼーション、Base64、UTF-7、UTF-8、およびネストされた混合エンコーディングをデコードします。空白文字の正規化、コメントの除去、特殊文字の処理により、誤検知をさらに削減します。
HTTP フラッド攻撃対策
多次元レート制御: 送信元 IP ごとのアクセスレートを制御し、リダイレクトによるチャレンジや人間/ボットの判別を通じて訪問者の身元を確認し、レスポンスコードの統計、URL リクエストの分布、異常な Referer および User-Agent ヘッダーを関連付けることで攻撃パターンを特定します。
脅威インテリジェンス: Alibaba Cloud のビッグデータセキュリティ機能を活用して脅威インテリジェンスと信頼できるアクセスモデルを構築し、悪意のあるトラフィックと正当なユーザーを迅速に区別します。
きめ細かなアクセス制御
カスタム保護ポリシー: IP アドレス、URL、Referer、User-Agent などの一般的な HTTP フィールドを使用して、正確なアクセス制御ルールを設定します。
シナリオベースの保護: ホットリンク防止や Web サイトのバックエンド保護シナリオを標準でサポートします。
多層防御: Web 攻撃対策モジュールと HTTP フラッド攻撃対策モジュールと統合して、正当なトラフィックと悪意のあるトラフィックを区別する多層防御を構築します。
ボット管理
トラフィック分類レポート: ボットトラフィックを悪意のある、疑わしい、または正当なものとして分類し、トラフィックの傾向とリスクのあるクライアントの詳細をレポートに表示します。
クロスプラットフォーム対応: Web ページ、H5、ネイティブアプリ (iOS、Android、HarmonyOS) 、およびミニプログラム (WeChat、Alipay) を保護します。
エンドツーエンドの検出: 100 以上のブラウザープローブ機能、7,000 以上のクライアントフィンガープリントタイプ、100 万以上の悪意のあるボット脅威インテリジェンスシグネチャ、および 6 つの高度なボット検出アルゴリズムを使用して、リクエストライフサイクル全体にわたってボット検出を適用します。
API セキュリティ
パッシブなトラフィック分析: ワンクリックで検出を有効にできます。フルライフサイクルの API 管理をサポートし、サービスを中断することなく機密データのフローを監視します。
リスクの発見: API の脆弱性を検出し、不正な機密データの漏えいや内部 API の漏えいを特定し、修正の提案を提供します。
脅威の検出: クロスセッションの双方向トラフィック分析を通じて、データスクレイピングやブルートフォース攻撃などの API 乱用行為を特定します。WAF から直接レスポンスアクションを実行できます。
AI アプリケーションの保護
プロンプトインジェクションの検出: ジェイルブレイク、ロールプレイング誘導、システムプロンプト操作など、生成 AI システムを標的とした敵対的行為を特定します。
コンテンツコンプライアンスの検出: リクエストとレスポンスの両方のコンテンツが、セキュリティおよび規制要件に準拠しているかを確認します。
リアルタイムの応答: ブロック、コンテンツ置換、取り消しを組み合わせて異常な動作を停止し、レスポンスコンテンツを自動的に変更します。
デプロイとアーキテクチャ
シンプルなデプロイと O&M
迅速なアクティベーション: ハードウェア、ソフトウェア、ルーティング設定の変更は不要で、5 分以内に WAF をデプロイできます。
イベントの一元管理: セキュリティレポートとログを使用して、攻撃イベント、トラフィックパターン、攻撃規模を 1 か所で分析します。
信頼性と拡張性に優れたアーキテクチャ
クラスターデプロイ: クラスターアーキテクチャにより単一障害点が排除され、単一サーバーの障害やメンテナンスイベントが全体の可用性に影響を与えることはありません。
負荷分散: 複数の組み込み負荷分散戦略により、高性能、高可用性のトラフィック処理が保証されます。
オートスケーリング: 実際のトラフィック量に基づいて、クラスター内のサーバー数をスケールアップまたはスケールダウンします。
実績豊富な専門知識とインテリジェントな防御
10 年以上のセキュリティ経験: Alibaba Group 内での 10 年以上にわたるサイバーセキュリティの実践に基づいて構築されており、Taobao、Tmall、Alipay などの高同時実行、高セキュリティのシナリオをサポートする実績のある機能を有しています。専門のセキュリティチームが OWASP Top 10 を含む既知の脆弱性から防御し、新たに公開されたセキュリティ脆弱性に継続的に対応しています。
ビッグデータ駆動のインテリジェンス: 毎日数億件の攻撃から防御します。WAF は、世界をリードする IP 脅威インテリジェンスライブラリと、複数の業界やシナリオにわたる攻撃シグネチャの広範なリポジトリを活用し、主流の攻撃パターン、行動、ペイロードを深く認識できます。攻撃検出モデルは、ビッグデータ分析と機械学習を使用して継続的に改善されます。
詳細については、「Web Application Firewall 製品ページ」をご参照ください。
WAF の使用方法
詳細については、「WAF を使用して ECS インスタンスを HTTP フラッド攻撃から保護する」をご参照ください。
WAF、Cloud Firewall、Anti-DDoS の違い
Web Application Firewall (WAF): HTTP/HTTPS アプリケーション層専用のセキュリティ製品です。WAF は Web リクエストのディープインスペクションを実行し、アプリケーション層の攻撃から防御します。
Cloud Firewall (CFW): クラウド環境向けの統合ネットワーク境界アクセス制御製品です。CFW はトラフィックを管理し、インターネット、VPC、NAT の各境界で侵入防止機能を提供して、ネットワーク層の侵入とラテラルムーブメントを防ぎます。
Anti-DDoS: 大規模な分散型サービス妨害 (DDoS) 攻撃から保護するために、グローバルに分散されたスクラビングセンターにトラフィックをリダイレクトします。Anti-DDoS は悪意のあるトラフィックをフィルタリングして、攻撃中のサービスの安定性と可用性を維持します。
クラウド製品 | Web Application Firewall (WAF) | Cloud Firewall (CFW) | Anti-DDoS |
保護レベル | アプリケーション層 (L7) | ネットワーク/トランスポート層 (L3-L4) | ネットワーク/トランスポート層 (L3-L4) およびアプリケーション層 (L7) |
コアメカニズム | セマンティック分析、ルールマッチング、および行動モデリング | アクセス制御ポリシー、ステートフルインスペクション、および侵入防止システム (IPS) | トラフィックのスクラビング、シグネチャベースのフィルタリング、および帯域幅のスケーリング |
防御可能な攻撃 | SQL インジェクション、XSS、Web シェルのアップロード、HTTP フラッド攻撃、悪意のあるボット、API 乱用 | ポートスキャン、ブルートフォース攻撃、不正アクセス、暗号資産マイニングワーム、東西トラフィックの脅威 | SYN フラッドや UDP フラッドなどの L3/L4 ボリューム攻撃、および高頻度の HTTP フラッドなどの L7 アプリケーション層攻撃 |
ユースケース | Web サイトやアプリを改ざん、悪意のあるアクセス、ボットによるスクレイピング、API 乱用から防御します。 | パブリックネットワークの出入り口でクラウドアセットに対する統一されたアクセスポリシーを適用します。サーバーへのブルートフォース攻撃や内部ネットワーク内でのラテラルムーブメントを防ぎます。 | 大規模な攻撃中にパケットロスなしでサービスの継続性とネットワークの可用性を確保します。 |
多層防御を実現するために、Anti-DDoS、Cloud Firewall、WAF を階層的なアーキテクチャで一緒にデプロイします。
RASP と WAF の関係
ランタイムアプリケーション自己保護 (RASP) は、アプリケーションに組み込まれたセキュリティメカニズムであり、アプリケーションの実行中にリアルタイムで攻撃を検出してブロックします。詳細については、「アプリケーション保護への接続」をご参照ください。
RASP と WAF は、さまざまなセキュリティシナリオに適した補完的なテクノロジーです:
RASP は、ゼロデイエクスプロイトや暗号化トラフィック内の攻撃など、アプリケーション層の脅威に対してより効果的です。
WAF は、ネットワーク層のアクセス制御、地域ベースのブロック、HTTP フラッド攻撃対策、ボット攻撃に優れています。
包括的な保護を実現するために、RASP と WAF の両方をデプロイして、アプリ内防御と境界防御を組み合わせた二層のセキュリティシステムを構築します。
コンプライアンス認証
WAF は、ISO 9001、ISO 20000、ISO 22301、ISO 27001、ISO 27017、ISO 27018、ISO 27701、ISO 29151、BS 10012、CSA STAR、MLPS Level 3、SOC 1/2/3、C5、HK Financial、OSPAR、PCI DSS など、複数の国際規格および認証に準拠しています。