Alibaba Cloud CDNは、Web Application Firewall (WAF) と統合して、エッジノードでセキュリティサービスを提供できます。 WAFは、悪意のあるリクエストを特定して除外できます。 信頼できるリクエストのみを配信元サーバーにリダイレクトできます。 WAFは、webサーバーを侵入から保護し、ビジネスクリティカルなデータを保護し、攻撃によるサーバーの異常を防ぐことができます。
前提条件
- WAF Pro EditionまたはWAF Business Editionが有効化されています。 WAF Pro EditionまたはWAF Business Editionを有効化するには、チケットを起票
- 高速化ドメイン名のWAFを有効にする前に、ドメイン名の高速化リージョンがGlobalまたはGlobal (中国本土を除く) に設定されていることを確認してください。 高速化ドメイン名の高速化リージョンを変更する方法の詳細については、「高速化リージョンの変更」をご参照ください。
説明
Alibaba Cloud CDNはWAFと統合して、CDNエッジノード上のリソースを保護できます。 WAFの機能の詳細については、「WAFの概要」をご参照ください。
機能 | ビジネス版 |
スキャン保護 | サポート対象 |
アカウントセキュリティ | サポート対象 |
HTTP フラッド保護 | サポート対象 |
IPアドレスブラックリスト | サポート対象 |
レート制限 | サポート対象 |
ボット脅威インテリジェンスルール | サポート対象 |
JavaScriptの検証 | サポート対象 |
Crawlerホワイトリスト | サポート対象 |
Web アプリケーション保護 | サポート対象 |
ゼロデイ攻撃保護 | サポート対象 |
ブロックと警告モード | サポート対象 |
指定された形式のリクエストデータのデコードと分析 | サポート対象 |
カスタマイズルールグループ | サポート対象 |
HTTPフィールドに基づくアクセス制御 | サポート対象 |
Log Service | 最大3テラバイトのストレージ容量でサポートされています |
シナリオ
WAFは、金融、eコマース、オンラインからオフライン (O2O) 、インターネットプラス、ゲーム、公共サービス、保険などのセクターや業界に適用されます。 WAFは、Alibaba Cloud CDNによって加速されたWebサイトを攻撃による予期しない損失から防ぎます。
- SQLインジェクションによるWebサイトのデータリークを防ぎます。
- Webサイトの一般の信頼を侵害する可能性のあるトロイの木馬からWebサイトを保護します。
- 新しく発見された脆弱性をすばやく修正する仮想パッチを提供します。
課金
ドメイン名に対してWAFを有効にすると、WAFはドメイン名に送信されたすべてのリクエストをスキャンし、アカウントごとにリクエスト数をカウントしてから、課金ルールに基づいて料金を請求します。 WAFの料金の詳細については、「付加価値サービス-WAF」をご参照ください。
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
- ドメイン名の左側のナビゲーションウィンドウで、セキュリティ設定 をクリックします。
- [WAF] タブで、CDN WAFをオンにします。
- [変更] をクリックします。
- 画面の指示に従って、[Webセキュリティ] 、[ボットトラフィック管理] 、または [アクセス制御 /スロットリング] タブでセキュリティ機能を設定します。
項目 パラメーター 説明 Webセキュリティ ステータス Web侵入防止をオンまたはオフにできます。 モード Web侵入防止は、次の保護モードをサポートしています。 - Block: 攻撃が検出された直後にブロックします。
- Warn: 攻撃が検出されたときにアラートを送信しますが、攻撃はブロックしません。
保護ルールグループ Web侵入防御は、次の保護ルールグループをサポートしています。 - Loose rule group: 中ルールグループの設定で誤検出率が高い場合は、Loose rule groupを選択することを推奨します。 緩いルールグループは、最も低い偽陽性率を有するが、最も高い偽陰性率を有する。
- 中ルールグループ: デフォルトの保護ルールグループ。
- 厳密なルールグループ: パストラバーサル、SQLインジェクション、およびコマンドインジェクションに対してより強力な保護が必要な場合は、[厳密なルールグループ] を選択することを推奨します。
デコード設定 RegEx保護エンジンによってデコードおよび分析する必要があるデータ形式を指定できます。 - をクリックします。
- ビジネス要件に基づいてデータ形式を選択または選択解除します。
- URLデコード、JavaScript Unicodeデコード、Hexデコード、コメント処理、スペース圧縮の形式を選択解除することはできません。
- マルチパートデータパーシング、JSONデータパーシング、XMLデータパーシング、シリアル化PHPデータデコード、HTMLエンティティデコード、UTF-7デコード、Base64デコード、フォームデータパーシングの形式を選択解除できます。
- [OK] をクリックします。
説明 保護を強化するために、RegEx保護エンジンはすべての形式のリクエストコンテンツをデコードして分析します。 RegEx保護エンジンが、ブロックしたくないフォーマットのコンテンツを含むリクエストをブロックする場合、フォーマットの選択を解除して、誤検出率を下げることができます。ボットトラフィック管理 (ビジネス版のみ) 許可されたクローラー ステータス 許可されたクローラーをオンまたはオフにできます。 説明 この機能は、検索エンジンのホワイトリストを維持します。 これらの検索エンジンのクローラーは、すべての高速化ドメイン名にアクセスできます。 [設定] をクリックすると、ビジネス要件に基づいて許可されたクローラーを有効または無効にできます。典型的なボット動作の識別 ステータス 通常のボット動作識別をオンまたはオフにできます。 説明 この機能は、一般的なクローラ動作を識別する共通アルゴリズムを提供します。 関連するパラメーターとしきい値を設定して、高度なクローラーを識別できます。 [設定] をクリックすると、ビジネス要件に基づいてアルゴリズムルールを追加できます。ボット脅威インテリジェンス ステータス ボット脅威インテリジェンスをオンまたはオフにできます。 説明 この機能は、Alibaba Cloudのコンピューティング機能を活用して、ダイヤラー、データセンター、および悪意のあるスキャナーの疑わしいIPアドレスに関する情報を提供します。 この機能は、悪意のあるクローラーの動的IPライブラリも維持し、クローラーが特定のドメイン名またはパスにアクセスするのを防ぎます。 [設定] をクリックすると、ビジネス要件に基づいてこの機能を設定できます。アクセス制御 /スロットリング ブラックリスト ステータス ブラックリストをオンまたはオフにできます。 説明 この機能により、指定したIPアドレスまたはCIDRブロックからのリクエストをブロックしたり、指定したリージョンのIPアドレスからのリクエストを制限したりできます。 [設定] をクリックすると、IPアドレスまたはリージョンをブラックリストに追加できます。カスタム保護ポリシー ステータス カスタム保護ポリシーをオンまたはオフにできます。 説明 この機能を使用すると、アクセス制御ルールを作成し、そのアクセス制御ルールを特定のオブジェクトに適用できます。 [設定] をクリックして、アクセス制御ルールを追加できます。
サービスにリンクされたロールの割り当て
Alibaba Cloud CDNコンソールで初めてWAFを有効にするときは、Alibaba Cloud CDNにWAFへのアクセスを許可する必要があります。 Alibaba Cloud CDNは、サービスにリンクされたロールAliyunServiceRoleForCDNAccessingWAFを自動的に作成します。 このロールをAlibaba Cloud CDNに割り当てると、Alibaba Cloud CDNはこのロールを引き受けてWAFにアクセスできます。
AliyunServiceRoleForCDNAccessingWAFロールには、次の権限があります。
- DescribePayInfo
- CreatePostpaidInstance
- CreateOutputDomainConfig
- DeleteOutputDomainConfig
- DescribeDomainWebAttackTypePv
- ModifyLogServiceStatus
- DescribeProtectionModuleMode
- DescribeDomainRuleGroup
- DescribeRegions
- ModifyProtectionRuleStatus
- ModifyProtectionRuleCacheStatus
- DescribePeakValueStatisticsInfo
- DescribeDomainAccessStatus
- DescribeFlowStatisticsInfo
- DescribeDomainTotalCount
- DescribeResponseCodeStatisticsInfo
- DescribeDDosCreditThreshold
- ModifyDomainClusterType
- DescribeInstanceInfo
- DescribeOutputDomains
- CreateOutputDomain
- DeleteOutputDomain
- DeleteInstance
- DescribeInstanceSpecInfo
- DescribeDomainBasicConfigs
AliyunServiceRoleForCDNAccessingWAFロールを削除する場合は、 チケットを起票してWAFインスタンスを削除し、すべての高速化ドメイン名のWAF機能を無効にします。 次に、Resource Access Management (RAM) コンソールでこのロールを削除します。