すべてのプロダクト
Search

このプロダクト

    CDN:トラフィック悪用の防止のベストプラクティス

    ドキュメントセンター

    CDN:トラフィック悪用の防止のベストプラクティス

    最終更新日:Jun 11, 2025

    ドメイン名がリソースの攻撃または悪用の対象となっている場合、帯域幅の使用量が高くなったり、トラフィックが急増したりすることがあります。 これにより、予期しない費用が発生する可能性があり、これは免除または払い戻しできませんが、トラフィックの悪用を防ぐことはできます。

    損失防止

    予想よりも高い請求書を受け取った場合は、帯域幅の上限を指定し、個々のリクエストのトラフィック調整を設定して、さらなる損失を減らします。

    帯域幅の使用量を制限する

    帯域幅の上限を設定することで、使用できる帯域幅の量を制限できます。 指定された高速化ドメイン名によって生成された平均帯域幅が、統計期間(1分)内にプリセットのしきい値を超えると、CDN はドメイン名への高速化の提供を停止して、さらなるコストの発生を防ぎます。

    上限に達すると、ドメイン名は無効なアドレス offline.***.com に解決され、アクセスできなくなります。 そのため、中断を防ぐために、毎日のピークを超えて追加の帯域幅を確保してください。

    image

    ダウンストリーム速度を制限する

    個々のリクエストのトラフィック調整は、プレゼンスポイント(POP)とクライアント間の各リクエストのダウンストリーム速度を制限します。 これにより、高速化ドメイン名の全体的なピーク帯域幅を制限できます。

    image

    原因を分析する

    ログを分析し、セキュリティ設定を構成して、トラフィック悪用の原因を特定します。

    請求書から異常トラフィックの期間を特定する

    [請求明細] タブで、クラウド サービスの請求明細を表示できます。 統計ディメンションと統計期間を選択して、さまざまなディメンションに基づいてレポートを表示します。 詳細については、「請求明細」をご参照ください。

    [統計期間][詳細] に、[製品][CDN] に設定します。 請求書を確認し、トラフィックと帯域幅の異常な増加と、異常なピークの期間に注意してください。

    ログ ファイルを確認して異常トラフィックを特定する

    基本:オフライン ログ

    オフライン ログをダウンロードして、選択した期間のアクセス ログを表示し、HTTP リクエストの詳細を分析し、疑わしい IP アドレスと User-Agent ヘッダーを特定できます。

    オフライン ログには、少数のフィールドが含まれています。 詳細を表示する場合は、リアルタイム ログ機能を使用してください。

    オフライン ログ ファイルを取得したら、コマンドライン ツールを使用してログ ファイルをすばやく解析し、アクセス量の上位 10 件の IP アドレスや User-Agent ヘッダーなどの情報を抽出できます。 詳細については、「Alibaba Cloud Content Delivery Network アクセス ログの分析方法」をご参照ください。

    詳細:運用レポートとリアルタイム ログ

    重要

    トラブルシューティングを行う前に、運用レポートとリアルタイム ログを設定します。

    • 運用レポートは、統計分析を実行する前にカスタマイズする必要があります。 以前にリアルタイム ログ配信を設定したり、レポートをサブスクライブしたりした場合は、履歴ログ データを表示できます。 運用レポート機能は無料です。

    • リアルタイム ログは、Simple Log Service(SLS)をアクティブ化し、ログを正常に配信した後にのみ生成されます。 リアルタイム ログは 有料 機能です。

    運用レポート

    運用レポートをカスタマイズしてサブスクライブすると、[PV/UV][地域と ISP][ドメイン名ランキング][人気のあるリファラー ヘッダー][人気のある URL][人気のあるバック To オリジン URL][上位クライアント IP] などのレポート コンテンツを表示できます。

    image

    リアルタイム ログ

    リファラーや URI などの詳細なログ情報をクエリする場合は、Simple Log Service をアクティブ化し、リアルタイム ログを Simple Log Service に配信します。 リアルタイム ログ配信を有効にすると、Simple Log Service に配信されるログ エントリに対して課金されます。

    1. ユーザー アクセス データを分析する CDN 高速化ドメイン名に対して リアルタイム ログ配信を設定する

    2. リアルタイム ログ ページで、ログを分析するプロジェクト名を見つけ、[ログ分析] をクリックします。

      image

    3. ログ分析ページで、右上隅の期間をフィルタリングし、左側の [未加工ログ] タブをクリックして、refer_domain フィールドを見つけます。 リファラー情報が降順にソートされて表示されます。

      image

    問題を解決する

    ログまたはレポートを使用して、リクエストの特性に基づいて攻撃タイプを分析できます。 ほとんどの場合、IP アドレス、User-Agent ヘッダー、リファラー ヘッダーなどの上位データを確認して、パターンを特定し、特徴を抽出できます。

    疑わしい IP アドレスからのアクセスを制限する

    IP アドレスのブラックリストまたはホワイトリストを設定することで、特定の IP アドレスからのアクセスを制限できます。 ログを分析して疑わしい攻撃 IP アドレスを特定したら、その IP アドレスをブラックリストに追加します。

    image

    疑わしい User-Agent ヘッダーをフィルタリングする

    攻撃者は、偽造された User-Agent ヘッダーを使用して多くのリクエストを送信することにより、セキュリティ チェックをバイパスしようとします。 偽造された User-Agent ヘッダーは、null 値、ランダムな文字列、または一般的なブラウザの偽造された文字列である可能性があります。

    User-Agent のブラックリストまたはホワイトリストを設定することで、異常な User-Agent ヘッダーを含むリクエストを拒否できます。 たとえば、空の User-Agent ヘッダーまたは非標準のランダム文字列を拒否するには、パラメータ this-is-empty-uaRandomString を使用して、それぞれ空の User-Agent ヘッダーとランダム文字列を表すことができます。

    image

    疑わしいリファラー ヘッダーをブラックリストに追加する

    攻撃者は、リクエスト内のリファラー ヘッダーを偽造して、正当な参照元になりすまし、悪意のあるリクエストを開始します。

    リファラーのブラックリストまたはホワイトリストを設定することで、正当なリファラー ヘッダーを含むリクエストを許可し、許可されていないサードパーティ Web サイトからのリソースへのリンクを防ぎ、悪意のあるリファラー ヘッダーを含むリクエストを拒否できます。 [ルール] フィールドに、ログで見つかった異常なリファラー ヘッダーを入力します。 [スキームを無視] を選択することをお勧めします。

    image

    ESAスペックアップし、WAF とボット管理を有効にする

    ドメイン名を ESA に移行することをお勧めします。 ESA は、データ セキュリティを保護するだけでなく、アクセス速度とユーザー エクスペリエンスも向上させる幅広い保護機能を提供します。 CDN または DCDN から ESA にスペックアップする の手順に従って、ドメイン名をすばやく移行できます。 次に、手順に従って ESA のセキュリティ保護機能を有効にします。

    WAF

    ESAWAF 機能は、IP アクセス ルール、ホワイトリスト ルール、カスタム ルールなど、さまざまなルール照合およびブロッキング機能を提供して、Web サイト サーバーへの悪意のある侵入を防ぎ、コア ビジネス データを保護します。

    IP アクセス ルールを作成する

    1. ESA コンソールで、[Web サイト] を選択し、管理する Web サイトの名前をクリックします。

    2. 左側のナビゲーション ウィンドウで、[セキュリティ] > [WAF] > [IP アクセス ルール] を選択します。

    3. [ホワイトリストルール] タブで、[ルールを作成] をクリックします。

      image

    4. [OK] をクリックします。

      image

    ホワイトリスト ルールを作成する

    1. ESA コンソールで、[Web サイト] を選択し、管理する Web サイトの名前をクリックします。

    2. Web サイトの詳細ページの左側のナビゲーション ウィンドウで、[セキュリティ] > [WAF] を選択します。 WAF ページで、[ホワイトリスト ルール] タブをクリックします。

    3. [ホワイトリスト ルール] タブで、[ルールを作成] をクリックします。

      • 表示されるページで、[ルール名] を指定します。

      • [リクエストが一致する場合...] セクションで、着信リクエストと一致させる条件を指定します。 詳細については、「ルールを操作する」をご参照ください。

      • [次にスキップ...] セクションで、スキップするルールを指定します。

        • [すべてのルール]:すべての Web アプリケーション ファイアウォール(WAF)とボット管理ルールがスキップされます。

        • [特定のルール]:スキップする特定のルールを選択できます。 ドロップダウン リストから [管理ルール] を選択すると、スキップするルールのタイプ(SQL インジェクションなど)または ID を指定できます。

    4. [OK] をクリックします。

    カスタム ルールを作成する

    1. ESA コンソールで、[Web サイト] を選択し、管理する Web サイトの名前をクリックします。

    2. 左側のナビゲーション ウィンドウで、[セキュリティ] > [WAF] を選択します。

    3. [カスタム ルール] タブで、[ルールを作成] をクリックします。

      • 表示されるページで、[ルール名] を指定します。

      • [リクエストが一致する場合...] セクションで、着信リクエストと一致させる条件を指定します。 カスタム ルールの詳細については、「ルールを操作する」をご参照ください。

      • [次に実行...] セクションで、実行する 操作 を指定します。

    4. [OK] をクリックします。

    ボット管理

    ESAボット管理 機能は、[スマート モード][プロフェッショナル モード] の構成をサポートしています。 スマート モードでは、Web サイトのクローラー管理を設定できます。 プロフェッショナル モードでは、Web サイトまたはアプリケーションに合わせて、より正確なクローラー ルールを設定できます。

    スマート モードとは

    エントリレベル ユーザー向けに設計されたスマート モードは、自動トラフィックとクローラーの迅速な管理に役立ちます。 エンタープライズ プランで利用できるプロフェッショナル モードとは対照的に、スマート モードでは、特定タイプのクローラーを処理する操作を簡単に選択できます。

    スマート モードを設定する

    1. ESA コンソールで、[Web サイト] を選択し、Add Website をクリックします。

    2. 左側のナビゲーション ウィンドウで、[セキュリティ] > [ボット] を選択します。

    3. [ボット] ページで、[スマート モード] タブをクリックします。 次に、[構成] または [有効化] をクリックして オプション を設定します。

    オプション

    ESA は、トラフィックとクローラーをその特性に基づいて分類します。

    • 確実なボット

      明確なボットのリクエストには、多数の悪意のあるクローラーリクエストが含まれています。リクエストをブロックするか、スライダーチャレンジを開始することをお勧めします。

    • 可能性のあるボット

      可能性のあるボット リクエストは比較的リスクが低く、悪意のあるクローラーやその他のトラフィックが含まれている可能性があります。リスクがある場合は、監視するか、スライダーチャレンジを行うことをお勧めします。

    • 検証済みボット

      確認済みボット は通常、検索エンジンのクローラーであり、Web サイトの SEO 最適化に役立ちます。検索エンジンのクローラーに Web サイトへのアクセスを許可したくない場合は、トラフィックをブロックすることをお勧めします。

    • 可能性のある人間(操作はサポートされていません)

      リクエストは実際のユーザーからのものである可能性が高いため、特別な操作を行わないことをお勧めします。リクエストは実際のユーザーからのものである可能性があります。 特別な操作は行わないことをお勧めします。

    • 静的リソース保護

      JavaScript から WordPress REST API を使用する /* some CSS styles */ JavaScript から WordPress REST API を使用する このガイドでは、JavaScript を使用して WordPress REST API と対話する方法について説明します。WordPress REST API を使用すると、WordPress のコンテンツにプログラムでアクセスできます。たとえば、投稿、ページ、ユーザー、メディアなどを取得できます。 始める前に、WordPress REST API の基本を理解していることを確認してください。詳細については、「WordPress REST API ハンドブック」をご参照ください。 ステップ 1: WordPress サイトに接続します。 ステップ 2: REST API エンドポイントを呼び出します。 たとえば、すべての投稿を取得するには、次のエンドポイントを使用します: /wp-json/wp/v2/posts ステップ 3: 返されたデータを使用します。 REST API は JSON 形式でデータを返します。JavaScript を使用してこのデータを解析し、Web ページに表示できます。 例: fetch('/wp-json/wp/v2/posts') .then(response => response.json()) .then(posts => { // 投稿データを使用します console.log(posts); }); これで、JavaScript を使用して WordPress REST API と対話する方法の基本を理解できました。詳細については、「JavaScript を使用した REST API の使用」をご参照ください。 注意: CORS の問題が発生する可能性があります。詳細については、「クロスオリジンリソースシェアリング(CORS)」をご参照ください。 ```デフォルトでは、確実なボット、可能性のあるボット、および検証済みボットは、動的リソース リクエストに対してのみ有効になります。 これらのリクエストは、オリジン サーバーにアクセスするために高速化されます。 静的リソース保護を有効にすると、構成は ESAキャッシュ。通常は、イメージや動画などの静的ファイルです。 キャッシュにヒットするリクエストに対して有効になります。これは通常、画像やビデオなどの静的ファイルです。

    • JavaScript 検出

      ESA は、軽量かつバックグラウンドの JavaScript 検出を使用して、ボット管理を向上させます。

      説明

      JavaScript 検知チャレンジを通過できるのは、ブラウザ トラフィックのみです。データセンターからのリクエストなど、ブラウザ以外のトラフィックがビジネスに含まれる場合は、誤検知を避けるためにこの機能を無効にしてください。

    プロフェッショナル モードとは

    プロフェッショナル モードでは、ブラウザまたは iOS や Android で開発されたアプリの Web ページにアンチクローラー機能を実装できます。 リクエストの特性に基づいて、カスタマイズされたアンチクローラー ルールを作成できます。 さらに、検索エンジン クローラー ライブラリ、AI 保護、ボット脅威インテリジェンス、データ センター ブラックリスト、偽クローラー リストなどの組み込みライブラリを利用できます。これにより、クローラーの特性を手動で更新および分析する必要がなくなります。

    プロフェッショナル モードにアクセスする

    1. ESA コンソールで、[Web サイト] を選択し、Add Website をクリックします。

    2. 左側のナビゲーション ウィンドウで、[セキュリティ] > [ボット] を選択します。

    3. [ボット] ページで、[プロフェッショナル モード] を選択し、[ルールセットを作成] をクリックします。

    4. [サービス タイプ] を設定します。 設定は、ブラウザ または アプリ によって異なります。

    ブラウザのアンチクローラー ルール設定

    Web ページ、HTML5 ページ、または HTML5 アプリにブラウザからアクセスできる場合は、Web サイトにアンチクローラー ルールを設定して、悪意のあるクローラーからサービスを保護できます。

    グローバル設定

    • [ルールセット名]:ルールセットの名前。 名前に使用できるのは、英字、数字、およびアンダースコア(_)です。

    • [サービス タイプ][ブラウザ] を選択します。 これにより、ルールセットは Web ページ、HTML5 ページ、および HTML5 アプリに適用されます。

    • [SDK 統合]

      • 自動統合(推奨)

        WAF は Web サイトの HTML ページで SDK を自動的に参照し、JavaScript コードを埋め込みます。 次に、SDK はブラウザ情報、プローブ署名、悪意のある動作などの情報を収集します。 機密情報は収集されません。 WAF は、収集された情報に基づいて悪意のあるクローラーを検出してブロックします。

      • 手動統合

        自動統合がサポートされていない場合は、手動統合を使用できます。 Web ページに表示されている JavaScript コードを HTML コードにコピーします。

    • [クロスオリジン リクエスト][自動統合(推奨)] を選択した場合、複数の Web サイトがあり、これらの Web サイトが相互にアクセスできる場合は、JavaScript コードの重複を防ぐために、このパラメータに異なるドメインを選択する必要があります。 たとえば、Web サイト B から Web サイト A にログインする場合は、このパラメータに Web サイト B のドメイン名を指定する必要があります。

    リクエストが一致する場合...

    着信リクエストと一致させる条件を指定します。 詳細については、「WAF」をご参照ください。

    次に実行...

    [正当なボット管理]

    検索エンジン クローラー ホワイトリストには、Google、Baidu、Sogou、360、Bing、Yandex などの主要な検索エンジンのクローラー IP アドレスが含まれています。 ホワイトリストは動的に更新されます。

    検索エンジン スパイダー ホワイトリストを選択すると、検索エンジンのクローラー IP アドレスから送信されたリクエストが許可されます。 ボット管理モジュールはリクエストのチェックを停止します。

    [ボット特性検出]

    • [スクリプトベースのボット ブロック(JavaScript)]:これを有効にすると、WAF はクライアントで JavaScript 検証を実行します。 簡単なスクリプトベースの攻撃を防ぐために、JavaScript を実行できないブラウザ以外のツールからのトラフィックはブロックされます。

    • [高度なボット防御(動的トークンベースの認証)]:これを有効にすると、各リクエストの署名が検証されます。 検証に失敗したリクエストはブロックされます。 SDK 署名検証はデフォルトで選択されており、クリアできません。 署名を含まないリクエスト、または無効な署名を含むリクエストが検出されます。 署名のタイムスタンプ例外と WebDriver 攻撃を選択することもできます。

    [ボット動作検出]

    AI 保護を有効にすると、インテリジェント保護エンジンがアクセストラフィックを分析し、機械学習を実行します。 次に、分析結果と学習したパターンに基づいて、ブラックリストまたは保護ルールが生成されます。

    • 監視:アンチクローラー ルールは、ルールに一致するトラフィックを許可し、セキュリティ レポートにトラフィックを記録します。

    • スライダー CAPTCHA:クライアントは、Web サイトにアクセスする前に、スライダー CAPTCHA 検証に合格する必要があります。

    [カスタム調整]

    • [IP アドレス調整(デフォルト)]:IP アドレスの調整条件を設定できます。 統計間隔(秒) で指定された値内の同じ IP アドレスからのリクエスト数が しきい値(回数) の値を超えると、システムは後続のリクエストに対して指定された操作を実行します。 操作は、[操作] ドロップダウン リストから スライダー CAPTCHAブロック、または 監視 を選択することで指定できます。 最大 3 つの条件を追加できます。 条件は OR 関係にあります。

    • [カスタム セッション調整]:セッションの調整条件を設定できます。 セッション タイプ パラメータを設定して、セッション タイプを指定できます。 統計間隔(秒) で指定された値内の同じ IP アドレスからのリクエスト数が しきい値(回数) の値を超えると、WAF は後続のリクエストに対して指定された操作を実行します。 操作は、[操作] ドロップダウン リストから スライダー CAPTCHAブロック、または 監視 を選択することで指定できます。 最大 3 つの条件を追加できます。 条件は OR 関係にあります。

    [ボット脅威インテリジェンス ライブラリ]

    ライブラリには、特定の期間にわたって Alibaba Cloud ユーザーからコンテンツをクロールするために複数のリクエストを送信した攻撃者の IP アドレスが含まれています。

    [操作] を 監視 または スライダー CAPTCHA に設定できます。

    [データ センター ブラックリスト]

    この機能を有効にすると、選択したデータ センターの IP アドレス ライブラリにある IP アドレスがブロックされます。 パブリック クラウドまたはデータ センターのソース IP アドレスを使用して保護する Web サイトにアクセスする場合は、その IP アドレスをホワイトリストに追加する必要があります。 たとえば、Alipay または WeChat のコールバック IP アドレスと監視アプリケーションの IP アドレスをホワイトリストに追加する必要があります。

    データ センター ブラックリストは、次の IP アドレス ライブラリ をサポートしています。データ センターの IP アドレス ライブラリ - Alibaba Cloud、データ センターの IP アドレス ライブラリ - 21Vianet、データ センターの IP アドレス ライブラリ - Meituan Open Services、データ センターの IP アドレス ライブラリ - Tencent Cloud、およびデータ センターの IP アドレス ライブラリ - その他。

    [操作] パラメータを 監視スライダー CAPTCHA、または ブロック に設定できます。

    [偽スパイダー ブロッキング]

    この機能を有効にすると、WAF は、正当なボット管理セクションで指定されたすべての検索エンジンで使用される User-Agent ヘッダーをブロックします。 検索エンジンにアクセスするクライアントの IP アドレスが有効であることが証明された場合、WAF は検索エンジンからのリクエストを許可します。

    有効時間

    デフォルトでは、ルールは作成されるとすぐに永続的に有効になります。 ルールが有効になる時間範囲またはサイクルを指定できます。

    アプリのアンチクローラー ルール設定

    ネイティブ iOS または Android アプリ(HTML5 アプリを除く)にアンチクローラー ルールを設定して、クローラーからサービスを保護できます。

    グローバル設定

    • [ルールセット名]:ルールセットの名前。 名前に使用できるのは、英字、数字、およびアンダースコア(_)です。

    • [サービス タイプ][アプリ] を選択して、ネイティブ iOS および Android アプリのアンチクローラー ルールを設定します。

    • [SDK 統合]:SDK パッケージを取得するには、[AppKey を取得してコピー] をクリックし、チケットを送信する をクリックします。 詳細については、「Android アプリにアンチボット SDK を統合する」および「iOS アプリにアンチボット SDK を統合する」をご参照ください。 アンチボット SDK が統合されると、アンチボット SDK はクライアントのリスク特性を収集し、リクエストでセキュリティ署名を生成します。 WAF は、署名に基づいて安全でないと識別されたリクエストを識別してブロックします。

    リクエストが一致する場合...

    着信リクエストと一致させる条件を指定します。 詳細については、「WAF」をご参照ください。

    次に実行...

    [ボット特性検出]

    • [異常なデバイスの動作]:この機能を有効にすると、アンチクローラー ルールは、異常な特性を持つデバイスからのリクエストを検出して制御します。 次の動作は異常と見なされます。

      • [期限切れの署名]:署名が期限切れです。 この動作はデフォルトで選択されています。

      • [シミュレータの使用]:シミュレータが使用されています。

      • [プロキシの使用]:プロキシが使用されています。

      • [ルート化されたデバイス]:ルート化されたデバイスが使用されています。

      • [デバッグ モード]:デバッグ モードが使用されています。

      • [フッキング]:フッキング技術が使用されています。

      • [マルチボクシング]:デバイス上で複数の保護されたアプリ プロセスが同時に実行されています。

      • [シミュレートされた実行]:ユーザー動作シミュレーション技術が使用されています。

      • [スクリプト ツールの使用]:自動スクリプトが使用されています。

    • [カスタム署名フィールド]:このスイッチをオンにし、フィールド名 ドロップダウン リストから [ヘッダー][パラメータ]、または [Cookie] を選択します。

      カスタム署名が空であるか、特殊文字が含まれているか、長さが制限を超えている場合は、署名をハッシュするか、他の方法で署名を処理して、処理結果を [値] フィールドに入力できます。

    • [操作]:このパラメータは、監視 または ブロック注: に設定できます。

      • 監視:アラートをトリガーし、リクエストをブロックしません。

      • ブロック:攻撃リクエストをブロックします。

    • [二次パッケージ検出]:パッケージ名または署名がホワイトリストにないアプリから送信されたリクエストは、二次パッケージ リクエストと見なされます。 有効なアプリケーション パッケージを指定できます。

      • 有効なパッケージ名:有効なアプリケーション パッケージ名を入力します。 例:example.aliyundoc.com。

      • 署名: パッケージ署名を取得するには、Alibaba Cloudテクニカルサポートにお問い合わせください。 パッケージ署名の検証が不要な場合は、このパラメーターは省略可能です。 この場合、システムはパッケージ名のみを検証します。

        説明

        Signature の値は、アプリケーション証明書の署名ではありません。

    [ボット調整]

    • [IP アドレス調整(デフォルト)]:IP アドレスの調整条件を設定できます。 統計間隔(秒) で指定された値内の同じ IP アドレスからのリクエスト数が しきい値(回数) の値を超えると、システムは後続のリクエストに対して指定された操作を実行します。 操作は、[操作] ドロップダウン リストから ブロック または 監視 を選択することで指定できます。

    • [デバイス調整]:デバイスの調整条件を設定できます。 統計間隔(秒) で指定された値内の同じデバイスからのリクエスト数が しきい値(回数) の値を超えると、システムは後続のリクエストに対して指定された操作を実行します。 操作は、[操作] ドロップダウン リストから ブロック または 監視 を選択することで指定できます。

    • [カスタム セッション調整]:セッションの調整条件を設定できます。 セッション タイプ パラメータを設定して、セッション タイプを指定できます。 統計間隔(秒) で指定された値内の同じセッションからのリクエスト数が しきい値(回数) の値を超えると、システムは後続のリクエストに対して指定された操作を実行します。 操作は、[操作] ドロップダウン リストから ブロック または 監視 を選択することで指定できます。 また、[調整間隔(秒)] パラメータを設定することもできます。これは、指定された操作が実行される期間を指定します。

    [ボット脅威インテリジェンス ライブラリ]

    ライブラリには、特定の期間にわたって Alibaba Cloud ユーザーからコンテンツをクロールするために複数のリクエストを送信した攻撃者の IP アドレスが含まれています。

    [データ センター ブラックリスト]

    この機能を有効にすると、選択したデータ センターの IP アドレス ライブラリにある IP アドレスがブロックされます。 パブリック クラウドまたはデータ センターのソース IP アドレスを使用して保護する Web サイトにアクセスする場合は、その IP アドレスをホワイトリストに追加する必要があります。 たとえば、Alipay または WeChat のコールバック IP アドレスと監視アプリケーションの IP アドレスをホワイトリストに追加する必要があります。 データ センター ブラックリストは、次の IP アドレス ライブラリ をサポートしています。データ センターの IP アドレス ライブラリ - Alibaba Cloud、データ センターの IP アドレス ライブラリ - 21Vianet、データ センターの IP アドレス ライブラリ - Meituan Open Services、データ センターの IP アドレス ライブラリ - Tencent Cloud、およびデータ センターの IP アドレス ライブラリ - その他。

    [有効時間]

    デフォルトでは、ルールは作成されるとすぐに永続的に有効になります。 ルールが有効になる時間範囲またはサイクルを指定できます。

    セキュリティ分析

    セキュリティ分析 は、WAF とボット管理の遮断、監視、合計アクセス量などのデータを表示するため、データに基づいて保護ルールを動的に調整できます。

    セキュリティ分析パネル

    上位データ パネルと概要パネルが表示されます。

    上位データ パネル

    利用可能なディメンションで上位 5 件またはすべての結果を表示するためにデータをフィルタリングできます。データをフィルタリングして、上位 5 つの結果または利用可能なディメンションのすべての結果を表示できます。

    image

    使用可能なディメンションは次のとおりです。

    • リファラー

    • ホスト

    • 国/地域

    • 中国本土の州

    • パス

    • エッジ ステータス コード

    • オリジン ステータス コード

    • ブラウザ タイプ

    • OS タイプ

    • デバイス タイプ

    • クライアント IP

    • クライアント ISP

    • クライアント ASN

    • HTTP バージョン

    • HTTP メソッド

    • コンテンツ タイプ

    • キャッシュ ステータス

    概要パネル

    [概要] パネル:

    [リクエスト分析] タブは、上位データ パネルと同じディメンションを表示するインタラクティブなチャートです。

    image

    [ボット分析] タブは、着信リクエストを [可能性のある人間][確実なボット][可能性のあるボット]、または [検証済みボット] に分類して表示するインタラクティブなチャートです。

    image

    どちらのチャートでも、ディメンション名にマウス ポインタを移動し、[フィルタ] または [除外] をクリックして、分析レポートからデータをフィルタリングまたは除外できます。

    より多くの保護機能

    リアルタイムモニタリングの設定

    CDN プロダクトで指定されたドメイン名に帯域幅ピークモニタリングを設定します。設定された帯域幅ピークに達すると、管理者にアラートが送信されます(ショートメッセージ、メール、DingTalk 経由)。これにより、潜在的な脅威をよりタイムリーに検出できます。詳細については、「アラートを設定する」をご参照ください。

    コストアラートの設定

    以下の機能を使用して、費用を監視および制限できます。これらの機能を設定するには、[コンソール] の上部ナビゲーションバーにある [費用] にポインターを移動し、[費用とコスト] を選択します。

    • 残高不足アラート: この機能を有効にすると、残高が指定したしきい値を下回ったときに、システムからショートメッセージでアラートが送信されます。

    • サービス停止保護: この機能を無効にすると、支払い遅延が発生した後、サービスはすぐに実行を停止し、多額の支払い遅延を防ぎます。

    • 高額請求アラート: この機能を有効にすると、日次請求額が指定した金額に達した場合、ショートメッセージで通知が送信されます。

    説明

    統計の整合性と請求の正確性を確保するために、Alibaba Cloud CDN は、請求サイクルの終了後約 3 時間後に請求書を発行します。アカウント残高から関連費用が差し引かれる時点は、請求サイクル内でリソースが消費された時点よりも後になる場合があります。Alibaba Cloud CDN は分散サービスです。そのため、Alibaba Cloud は請求書にリソースの消費の詳細を提供していません。他の CDN プロバイダーも同様のアプローチを採用しています。