Cloud-native API Gateway は Web Application Firewall 3.0 と統合されています。 WAF 3.0 を Cloud-native API Gateway インスタンスまたはルートに使用して、Web サイトまたはアプリケーションにエンドツーエンドのセキュリティ保護を提供できます。
背景情報
WAF は、悪意のあるトラフィックの特徴を効率的に識別し、トラフィックのスクラビングとフィルタリングの後、ビジネストラフィックのみをバックエンドサーバーに配信できます。 これにより、侵入によるサーバーのパフォーマンスの問題を防ぎ、Web サイトとデータのセキュリティを確保します。 従来の Web アプリケーションファイアウォールとは異なり、ユーザートラフィックは Web アプリケーションファイアウォールを通過することなく、Cloud-native API Gateway インスタンスに直接到達します。 これにより、セキュリティを損なうことなく、システム全体のパフォーマンスが向上します。 次の図は、その違いを示しています。
課金
Cloud-native API Gateway では、WAF 3.0 の使用に対して料金は発生しません。 ただし、WAF 3.0 は実際の使用量に基づいて課金されます。
WAF 3.0 を有効にする方法
Cloud-native API Gateway コンソール: この方法を使用することをお勧めします。 詳細については、「インスタンスで WAF 3.0 を有効にする」および「ルートで WAF 3.0 を有効にする」をご参照ください。
インスタンスで WAF 3.0 を有効にする
この操作により、インスタンスが再起動する場合があります。
Cloud-native API Gateway コンソール にログインします。 左側のナビゲーションウィンドウで、[インスタンス] をクリックします。 上部のナビゲーションバーで、リージョンを選択します。
説明WAF 3.0 統合機能は、中国東部 2 金融では使用できません。
[インスタンス] ページで、管理する Cloud-native API Gateway インスタンスの ID をクリックします。
[インスタンスレベルの WAF 保護を有効にする] ダイアログボックスで、[インスタンスレベルの WAF 保護を有効にする(推奨)] をクリックします。
ルートで WAF 3.0 を有効にする
この操作により、インスタンスが再起動する場合があります。
Cloud-native API Gateway コンソール にログインします。
左側のナビゲーションウィンドウで、[API] をクリックします。 上部のナビゲーションバーで、リージョンを選択します。
作成した HTTP または WebSocket API をクリックします。 API 詳細ページで、管理するルートの名前をクリックします。 [ポリシーの設定] タブで、[WAF] をクリックし、右側の [ルートレベルの WAF 保護を有効にする(推奨)] をクリックします。
[ルートレベルの WAF 保護を有効にする] ダイアログボックスで、[OK] をクリックします。
次の手順
WAF 3.0 が有効になると、Web サイトのトラフィックは組み込みの WAF 保護機能によって検査されます。 WAF は、ルールベースの保護と HTTP フラッド攻撃保護を自動的に有効にします。 ルールベースの保護は、SQL インジェクション、クロスサイトスクリプティング(XSS)攻撃、悪意のある Web シェルのアップロードなどの一般的な Web 攻撃から Web サイトを保護できます。 HTTP フラッド攻撃保護は、HTTP フラッドから Web サイトを保護できます。 追加の保護が必要な場合は、他のモジュールを手動でアクティブ化し、保護ルールを設定できます。 詳細については、「概要」をご参照ください。
FAQ
Cloud-native API Gateway は WAF 2.0 をサポートしていますか?
はい。 Cloud-native API Gateway を WAF 2.0 と統合するには、Cloud-native API Gateway インスタンスに関連付けられている Server Load Balancer (SLB) インスタンスの IP アドレスを WAF のバックツーオリジン IP アドレスとして追加する必要があります。 詳細については、「チュートリアル」をご参照ください。