すべてのプロダクト
Search

このプロダクト

    Anti-DDoS:オリジンサーバーのACLの構成

    ドキュメントセンター

    Anti-DDoS:オリジンサーバーのACLの構成

    最終更新日:May 22, 2024

    WebサイトをAnti-DDoSプロキシに追加した後、配信元サーバーのIPアドレスが公開されないようにする必要があります。 このように、攻撃者はAnti-DDoSプロキシをバイパスしてオリジンサーバーに直接アクセスすることはできません。 オリジンサーバーのIPアドレスが公開されやすい場合は、オリジンサーバーのアクセス制御リスト (ACL) を構成することをお勧めします。 たとえば、Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスからのインバウンドトラフィックのみを許可するようにACLを設定して、サービスの可用性を向上させることができます。 このトピックでは、異なるネットワークアーキテクチャに基づいてオリジンサーバーのACLを設定する方法について説明します。

    オリジンサーバー用に設定したACLは、攻撃がオリジンサーバーが存在するAlibaba Cloudネットワークのエッジに到達した場合にのみ有効になります。 ACLは、少量のHTTPフラッド攻撃とweb攻撃を軽減するのに役立ちますが、ボリュームのあるDDoS攻撃を軽減するのには役立ちません。 ボリュームDDoS攻撃がオリジンサーバーが存在するAlibaba Cloudネットワークのエッジに到達すると、攻撃の量はオリジンサーバーの軽減機能をはるかに超えます。 DDoS攻撃は、オリジンサーバーのブラックホールフィルタリングをトリガーする可能性があります。 この場合、オリジンサーバーのIPアドレスが公開されている場合は、できるだけ早い機会にオリジンサーバーのIPアドレスを変更することを推奨します。 詳細については、「配信元IPアドレスの公開処理」をご参照ください。

    Webサイトのネットワークアーキテクチャ

    ACL設定の説明

    Anti-DDoS Proxy + Elastic Compute Service (ECS) インスタンス

    配信元サーバーはECSインスタンスです。 Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストのソースIPアドレスです。

    ECSインスタンスのセキュリティグループルールを設定して、オリジンサーバーのACLを設定することを推奨します。 オリジンサーバーを保護するために、back-to-origin IPアドレスからのトラフィックのみを許可し、他のIPアドレスからのすべてのトラフィックを拒否するようにセキュリティグループルールを設定できます。 Anti-DDoS Proxyコンソールで、Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスを取得できます。 詳細については、「back-to-origin IPアドレスによるオリジンサーバーへのアクセスの許可」をご参照ください。

    Alibaba CloudにデプロイされていないAnti-DDoSプロキシ + オリジンサーバー

    配信元サーバーはECSインスタンスです。 Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストのソースIPアドレスです。

    オリジンサーバーにインストールされているセキュリティソフトウェア (iptablesやファイアウォールなど) でオリジンサーバーのACLを構成して、back-to-origin IPアドレスからのトラフィックのみを許可し、他のIPアドレスからのすべてのトラフィックを拒否してオリジンサーバーを保護することをお勧めします。

    Anti-DDoS Proxy + Layer 4 Server Load Balancer (SLB) インスタンス + ECSインスタンス

    配信元サーバーはECSインスタンスです。 Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストのソースIPアドレスです。

    Anti-DDoS Proxyのback-to-origin IPアドレスをSLBインスタンスのホワイトリストに追加することを推奨します。 次に、アクセス制御を有効にして、back-to-origin IPアドレスからのトラフィックのみを許可し、オリジンサーバーを保護します。 詳細については、「アクセス制御の有効化」をご参照ください。

    Anti-DDoS Proxy + Layer 7 Application Load Balancer (ALB) インスタンス + ECSインスタンス

    配信元サーバーはECSインスタンスです。 ALBインスタンスのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストのソースIPアドレスです。

    Anti-DDoS Proxyインスタンスのback-to-origin IPアドレスをALBインスタンスのホワイトリストに追加することを推奨します。 次に、アクセス制御を有効にして、back-to-origin IPアドレスからのトラフィックのみを許可し、オリジンサーバーを保護します。 詳細は、「アクセス制御」をご参照ください。

    Anti-DDoSプロキシ + Webアプリケーションファイアウォール (WAF) 、Alibaba Cloud CDN (CDN) 、またはDynamic Content Delivery Network (DCDN) + ECSインスタンス

    • (推奨) 解決策1: DCDNでDDoS軽減機能とWAF機能を有効にする

      • DDoS攻撃が発生した場合、サービストラフィックはAnti-DDoS Proxyに転送され、DCDNに転送され、最後にECSインスタンスに転送されます。

      • DDoS攻撃が発生しない場合、サービストラフィックはDCDNに転送され、次にECSインスタンスに転送されます。

        説明

        • このソリューションはDCDNでのみ使用できます。 CDNをデプロイする場合は、ソリューション2を使用するか、WebサイトをDCDNに移行します。

        • WAFの保護機能は、DCDNポイントオブプレゼンスに統合されています。 サービストラフィックをWAFに転送する必要はありません。

    • 解決策2: CDNまたはDCDNインタラクション機能を使用して、サービストラフィックをWAFに転送し、ECSインスタンスに転送できるようにします

      • DDoS攻撃が発生した場合、サービストラフィックはAnti-DDoS Proxyに転送され、次にWAFに転送され、最後にECSインスタンスに転送されます。

      • DDoS攻撃が発生しない場合、サービストラフィックはCDNに転送され、次にWAFに転送され、最後にECSインスタンスに転送されます。

    説明

    オリジンサーバーがECSインスタンスでない場合、ネットワークアーキテクチャは同じです。

    解決策1: オリジンサーバーはECSインスタンスです。 DCDNのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストのソースIPアドレスです。 DCDNを使用すると、ECSインスタンスのIPアドレスは非表示になります。 ほとんどの場合、ACLを設定する必要はありません。 ACLを設定する場合は、Alibaba Cloudテクニカルサポートにお問い合わせください。

    解決策2: オリジンサーバーはECSインスタンスです。 WAFのback-to-origin IPアドレスは、オリジンサーバーに転送されるリクエストの送信元IPアドレスです。

    ECSインスタンスのACLを設定することを推奨します。 詳細については、「オリジンサーバーの保護の設定」をご参照ください。