Anti-DDoS Proxyは、ポート転送ルールの設定をサポートしています。これにより、Anti-DDoS Proxyインスタンスの排他的IPアドレスをサービスIPアドレスとして使用できます。 設定後、Anti-DDoS Proxyインスタンスは、SYN FloodやUDP Flood攻撃などのトランスポート層攻撃、およびHTTPまたはHTTPSプロトコルを使用しないアプリケーション層攻撃に対して防御できます。 このトピックでは、Webサイト以外のサービスにAnti-DDoSプロキシを設定する手順について説明します。
前提条件
Anti-DDoSプロキシ (中国本土) またはAnti-DDoSプロキシ (中国本土以外) インスタンスが購入されました。 詳細については、「Anti-DDoS Proxyインスタンスの購入」をご参照ください。
ステップ1: 1つ以上のポート転送ルールを作成する
Anti-DDoS Proxyインスタンスにサービスを追加する前に、ポート転送ルールを作成して、それに応じてサービストラフィックを転送します。
Anti-DDoS Proxyコンソールにログインします。
上部のナビゲーションバーで、インスタンスのリージョンを選択します。
Anti-DDoS Proxy (中国本土): インスタンスがAnti-DDoS Proxy (中国本土) インスタンスの場合、[中国本土] を選択します。
Anti-DDoS Proxy (Outside Chinese Mainland): インスタンスがAnti-DDoS Proxy (Outside Chinese Mainland) インスタンスの場合、[Outside Chinese Mainland] を選択します。
左側のナビゲーションウィンドウで、 を選択します。
ポート接続 ページで、インスタンスを選択し、ポート転送ルールを作成します。
説明ポート転送ルールの
[転送プロトコル] 列のプロトコルの横にアイコンが表示されている場合、Webサイトを追加したときにルールが自動的に生成されます。 このポート転送ルールは、Webサイトサービスのトラフィックを転送するために使用されます。 自動的に生成されるルールを変更または削除することはできません。 これらのポート転送ルールを使用するWebサイトがインスタンスから削除された場合、ポート転送ルールは自動的に削除されます。 Webサイトサービスの設定方法の詳細については、「1つ以上のWebサイトの追加」をご参照ください。 インスタンスにドメイン名を追加するときにオリジンサーバーにポート80を指定すると、Anti-DDoS Proxyは自動的にポート転送ルールを生成します。 このポート転送ルールは、TCPトラフィックをポート80を介してオリジンサーバーに転送するために使用されます。
インスタンスにドメイン名を追加するときにオリジンサーバーのポート443を指定すると、Anti-DDoS Proxyは自動的にポート転送ルールを生成します。 このポート転送ルールは、TCPトラフィックをポート443経由でオリジンサーバーに転送するために使用されます。
パラメーター
説明
アプリケーション層の保護
このパラメーターは、HTTPまたはHTTPSプロトコルを使用しないアプリケーション層攻撃から保護するために、TCPベースのWebサイト以外のサービスでのみ使用できます。
攻撃の種類の詳細については、「シナリオ固有のanti-DDoSソリューション」をご参照ください。
転送プロトコル
トラフィックの転送に使用するプロトコル。 有効な値: TCPおよびUDP。
リダイレクトポート
トラフィックの転送に使用するポート。
説明[リダイレクトポート] と [オリジンサーバーポート] の両方に同じ値を指定することを推奨します。
ドメイン所有者が独自のDNSサーバーを作成できないようにするため、Anti-DDoS Proxyはポート53を使用するサービスを保護しません。
インスタンスの場合、同じプロトコルを使用する転送ルールは、異なる転送ポートを使用する必要があります。 別のルール用に構成されているプロトコルと転送ポートを使用してルールを作成しようとすると、これらのルールが重複していることを示すエラーメッセージが表示されます。
作成するルールが、Webサイトをインスタンスに追加するときに自動的に生成されるルールと競合しないようにしてください。
配信元サーバーポート
オリジンサーバーのポート。
Back-to-originスケジューリングアルゴリズム
ポーリングモードはデフォルトで使用され、変更できません。
オリジンIPアドレス
配信元サーバーのIPアドレス。
説明負荷分散を実装するために、最大20のオリジンIPアドレスを指定できます。 複数の IP アドレスはカンマ (,) で区切ります。
ステップ2: Anti-DDoS Proxyインスタンスにサービスを追加する
ポート転送ルールを作成した後、サービストラフィックをインスタンスにリダイレクトするには、サービスのIPアドレスをインスタンスの専用IPアドレスに変更する必要があります。 IPアドレスを変更すると、インスタンスはインバウンドトラフィックをスクラブし、サービストラフィックをオリジンサーバーに転送します。
オリジンサーバー上のインスタンスのback-to-origin IPアドレスを許可します。 これにより、インスタンスからのトラフィックは、オリジンサーバー上のセキュリティソフトウェアによって許可されます。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。
コンピューターでポート転送ルールが有効であることを確認して、無効な転送ルール設定によるサービス例外を防止します。 詳細については、「ローカルマシンでのトラフィック転送設定の確認」をご参照ください。
警告ポート転送ルールが有効になる前にサービストラフィックをインスタンスに切り替えると、サービスが中断される可能性があります。
Webサイト以外のサービスのトラフィックをインスタンスに切り替えます
ほとんどの場合、サービスIPアドレスをインスタンスの排他的IPアドレスに置き換えて、Webサイト以外のサービスのトラフィックをインスタンスに切り替えることができます。 IPアドレスを置き換える方法は、プラットフォームによって異なります。
説明サーバーアドレスとして機能するドメイン名からもサービスにアクセスできる場合は、インスタンスにドメイン名を追加する必要はありません。 例えば、ドメイン名e example.comは、ゲームのサーバアドレスとして使用されるか、またはクライアントプログラムにおいてハードコードされる。 この場合、トラフィックをインスタンスの専用IPアドレスにリダイレクトするには、ドメイン名のDNSプロバイダーのAレコードを変更する必要があります。 詳細については、「DNSレコードの変更」をご参照ください。
一部のシナリオでは、ドメイン名を使用してレイヤー4サービスを複数のAnti-DDoS Proxyインスタンスに追加し、これらのインスタンス間でトラフィックを切り替える自動メカニズムを設定する必要がある場合があります。 サービスのドメイン名をAnti-DDoS Proxyに追加し、ドメイン名のCNAMEを変更することを推奨します。 詳細については、「CNAMEレコードを変更してトランスポート層サービスを保護する」をご参照ください。
ステップ3: ポート転送とDDoS軽減ポリシーの設定
サービスのIPアドレスをインスタンスの専用IPアドレスに変更すると、インスタンスはデフォルトの軽減ポリシーを使用してトラフィックをスクラブして転送します。 カスタムDDoS軽減ポリシーを作成し、ビジネス要件に基づいてセッション維持機能とヘルスチェック機能を有効にして、ポート転送を最適化できます。
ポート接続 ページで、インスタンスを選択し、管理するポート転送ルールを見つけて、ビジネス要件に基づいて次のパラメーターを設定します。
パラメーター | 説明 |
セッション持続性 | Webサイト以外のサービスをAnti-DDoS Proxyに追加すると、ログオンのタイムアウトや切断などの問題が発生する可能性があります。 この場合、セッション維持機能を有効にできます。 この機能は、指定された期間内に同じクライアントからのリクエストを同じバックエンドサーバーに転送します。
|
ヘルスチェック | サービスに複数のオリジンサーバーがある場合は、ヘルスチェック機能を使用して各オリジンサーバーの可用性を確認できます。 これにより、クライアントからのリクエストが異常なオリジンサーバーに転送されなくなります。
|
Anti-DDoS 保護ポリシー | DDoS軽減ポリシーを設定して、Anti-DDoS Proxyによって保護されているWebサイト以外のサービスの接続速度とパケット長を制限できます。 これにより、低帯域幅を消費する接続指向のDDoS攻撃からWebサイト以外のサービスが保護されます。
|
ステップ4: ポートの保護データを表示する
Webサイト以外のサービスをAnti-DDoS Proxyインスタンスに追加した後、Anti-DDoS Proxyコンソールの [セキュリティの概要] ページで、ポート経由でリダイレクトされたトラフィックを表示できます。
左側のナビゲーションウィンドウで、セキュリティ概要 をクリックします。
インスタンス タブをクリックしてインスタンスを選択し、保護データを表示する時間範囲を指定します。
セクション
説明
帯域幅 (前の図で1とマーク)
Anti-DDoS Proxy (中国本土) は、トラフィック情報をbpsまたはppsで表示する帯域幅トレンドチャートを提供します。 特定の時間範囲内のインスタンスのインバウンド、アウトバウンド、攻撃、およびレート制限トラフィックの傾向を表示できます。
Anti-DDoS Proxy (Outside Chinese Mainland) には、帯域幅の傾向を表示する 概要 タブ、インバウンドトラフィックの分布を表示する インバウンド配信 タブ、アウトバウンドトラフィックの分布を表示する アウトバウンド配信 タブがあります。
接続 (前の図で2とマークされています)
同時接続: クライアントとインスタンスの間で確立された同時TCP接続の総数。
アクティブ: [確立済み] 状態のTCP接続の数。
Inactive: [確立済み] 状態を除くすべての状態のTCP接続の数。
新しい接続: クライアントとインスタンスの間に確立される新しいTCP接続の1秒あたりの数。
攻撃イベント、仕様超過アラート、および目的速度制限イベント (前の図で3とマーク)
攻撃イベント
IPアドレスまたはポートの上にポインターを移動して、攻撃対象、攻撃タイプ、ピーク攻撃トラフィック、保護効果など、攻撃の詳細を表示できます。
仕様超過アラート
次のイベントタイプのアラートがサポートされています: クリーン帯域幅、新しい接続、および同時接続。 イベントタイプに対応する購入済み仕様を超えると、このイベントタイプのアラートが生成されます。 この場合、ビジネスは影響を受けません。仕様のアップグレードをお勧めします。 詳細については、「インスタンスのアップグレード」をご参照ください。
アラートの ステータス 列の 詳細 をクリックすると、システムログ ページに移動してアラートの詳細を表示できます。
説明上限を超えた場合のアラートは、毎週月曜日の10:00 (UTC + 8) に更新されます。 更新後、前日に生成されたアラートが表示されます。 内部メッセージ、テキストメッセージ、電子メールなどの通知方法を設定する場合、毎週月曜日の10:00 (UTC + 8) に通知を受け取ります。 通知には、前日に生成されたアラートが含まれます。
目的速度制限イベント
新しい接続の数、同時接続の数、またはサービス帯域幅がインスタンスの仕様を超える場合、レート制限がトリガーされ、宛先レート制限イベントが生成されます。 この場合、あなたのビジネスは影響を受けます。
レート制限がサービストラフィックによってトリガーされる場合は、できるだけ早い機会にインスタンスの仕様をアップグレードすることを推奨します。 詳細については、「インスタンスのアップグレード」をご参照ください。
DDoS攻撃によってレート制限がトリガーされる場合は、できるだけ早い機会に軽減ポリシーを調整することを推奨します。 詳細については、「ブラックリストとホワイトリスト (IPアドレスベース) 機能の設定」をご参照ください。
イベントの ステータス 列の 詳細 をクリックすると、システムログ ページに移動してイベントの詳細を表示できます。
ソースリージョン および ソースサービスプロバイダー (前の図で4とマーク)
ソースリージョン: サービストラフィックが送信されるソースロケーションの配布。
ソースサービスプロバイダー: サービストラフィックが送信されるインターネットサービスプロバイダ (ISP) の配信。