この機能は、IPv6ソースから発生する攻撃からWebサイトを保護します。 このトピックでは、IPv6トラフィック保護を有効にする方法について説明します。
このタスクについて
IPv6トラフィック保護を有効にすると、WAFによって自動的に生成されるCanonical Name (CNAME) は、次のルールに基づいて2つのチャネルに解決されます。
- IPv4クライアントからの解決要求は、IPv4アドレスの保護クラスターに解決されます。
- IPv6クライアントからの解決要求は、IPv6アドレスの保護クラスターに解決されます。
2チャネル解決により、WAFはIPv4およびIPv6ソースから発生する脅威を検出およびブロックできます。 セキュアなトラフィックのみがオリジンサーバーに転送されます。
さらに、IPv6経由で配信元サーバーへのリクエスト転送を有効にできます。 この機能を有効にするには、back-To-origin IPv4およびIPv6アドレスを設定し、[Use the Same Protocol] を選択する必要があります。 このようにして、WAFはリクエストで指定されたプロトコルに基づいてオリジンサーバーにリクエストを転送します。 詳細については、「Web サイトの設定」をご参照ください。
前提条件
- サブスクリプションWAFインスタンスが購入されました。 WAFインスタンスは、Business、Enterprise、またはExclusiveエディションを実行します。 詳細については、「Purchase a WAF instance」をご参照ください。
- WAFインスタンスのリージョンがです。
注 中国本土以外のWAFインスタンスでは、IPv6トラフィック保護はサポートされていません。
- 保護するWebサイトは、CNAMEレコードモードでWAFに追加されます。 詳細については、「Web サイトの設定」をご参照ください。
注 透過プロキシモードでWAFに追加されたWebサイトでは、IPv6トラフィック保護はサポートされていません。
手順
次のタスク
配信元サーバーがWAFによって転送されたリクエストを確実に受信できるようにするには、特に配信元サーバーのアクセス制御を構成した場合に、WAFの新しいback-To-origin CIDRブロックからのリクエストを許可するように配信元サーバーを構成する必要があります。 そうしないと、IPv6クライアントからのアクセスにエラーや障害が発生する可能性があります。 詳細については、「WAF back-to-origin CIDR ブロックの更新」および「配信元サーバーの保護」をご参照ください。