オリジンサーバーのファイアウォールルールに ESA ノード IP アドレスのリストを追加します。これにより、ホワイトリストに登録された IP アドレスからのアクセスのみが許可されるようになり、オリジンサーバーが保護されます。
機能概要
悪意のある攻撃や不正アクセスからオリジンサーバーを保護するには、ファイアウォールルールで IP アドレスのホワイトリストを設定します。これにより、オリジンフェッチ用の ESA POP (Point of Presence) の IP アドレスなど、指定された IP アドレスへのアクセスが制限されます。
オリジン保護を有効にすると、ESA は IPv4 と IPv6 の両方のアドレスを含む POP IP アドレスの統合リストを提供します。この IP アドレスのリストをオリジンサーバーのアクセスホワイトリストに追加してください。
開始する前に
オリジン保護によって提供される IP リストは、POP IP の統合リストです。ただし、Functions と Pages からの
fetch()呼び出しは、実際の POP IP を使用します。fetchによって呼び出されたウェブサイトでオリジン保護が有効になっていない場合、fetch 呼び出しの実際のオリジンフェッチ IP は統合 IP リストに含まれません。ESA は Cloud Firewall と統合されています。すべてのオリジンサーバーが Alibaba Cloud 上にあり、Cloud Firewall を使用している場合は、オリジン保護を有効にしてください。その後、[オリジンフェッチ IP リストの自動適用] を有効にして、Cloud Firewall がオリジンフェッチ IP 情報を自動的に更新するようにします。
オリジン保護を有効にする
ESA コンソールで サイト管理 を選択し、サイト カラムで対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、を選択します。
オリジンサーバーの保護 ページで、設定 をクリックします。
ステータス スイッチをオンにします。表示されるダイアログボックスで、リスクを理解しました を選択し、OK をクリックします。
[有効化] をクリックします。システムは、ESA POP の統合 IP アドレスをリスト表示します。
をクリックして IP アドレスをコピーします。
IP リストのすべての IP 範囲をオリジンサーバーのホワイトリストに手動で追加します。オリジンサーバーが Alibaba Cloud Elastic Compute Service (ECS) インスタンスでホストされている場合、詳細については、「ECS で IP リストを追加する方法」をご参照ください。セキュリティグループのインバウンドルールを変更して、ホワイトリストに登録された IP アドレスからのリクエストのみがオリジンサーバーにアクセスできるようにします。
重要ESA サービスの使用を停止する場合は、アクセス障害を避けるために、オリジンサーバーのファイアウォールルールを手動で変更してください。
オリジン保護 IP リストの更新
ESA POP の IP アドレスが変更された場合、内部メッセージまたはメールで通知が届きます。オリジンサーバーのファイアウォールとセキュリティグループのルールを更新してください。これにより、POP がオリジンサーバーにアクセスできるようになります。
ESA コンソールで サイト管理 を選択し、サイト カラムで対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、を選択します。
オリジンサーバーの保護 セクションで、IP リスト のすべての IP アドレス範囲をオリジンサーバーのホワイトリストに追加し、確認へ をクリックします。
最新の IP リストの確認 パネルで、最新 IP を確定 をクリックします。表示されるダイアログボックスで、OK をクリックします。
説明新しい IP リストは、確認後にのみ有効になります。それまでは、サービスは以前に確認された IP リストを引き続き使用します。最適なサービスパフォーマンスと品質を確保するために、オリジンサーバーのホワイトリストを最新の ESA IP リストで更新してください。
オリジン保護を無効にする
サービスの中断を防ぐため、まずオリジンサーバーのファイアウォールから IP ホワイトリストを削除します。その後、オリジン保護を無効にします。
ESA コンソールで サイト管理 を選択し、サイト カラムで対象のウェブサイトをクリックします。
左側のナビゲーションウィンドウで、を選択します。
設定 をクリックします。ステータス スイッチをオフにします。表示されるダイアログボックスで、[リスクを承知しました] を選択し、OK をクリックします。
オリジンサーバーの保護 セクションで、OK をクリックします。オリジン保護のステータスが 無効 に変わります。
サポートされているプラン
Entrance | Pro | プレミアム | Enterprise |
よくある質問
オリジン保護を有効にできないのはなぜですか?
効果的な保護のため、オリジン保護はキャッシュアーキテクチャが 2 層以上の場合にのみ有効にできます。さらに、多階層キャッシュ ポリシーが エッジ階層キャッシュ に設定されている場合、オリジン保護は使用できません。この設定を変更するには、設定 にカーソルを合わせ、ツールチップの [変更] をクリックして 多階層キャッシュ 設定に移動します。
多階層キャッシュ 設定ページで、設定 をクリックし、適切な階層化キャッシュアーキテクチャを選択します。その後、オリジン保護を有効にできます。
ECS で IP リストを追加するにはどうすればよいですか?
ECS のセキュリティグループ機能は、ECS インスタンスのインバウンドおよびアウトバウンドトラフィックを制御する仮想ファイアウォールです。ESA によって提供される IP リストをセキュリティグループのインバウンドルールに追加します。
ECS コンソール - プレフィックスリスト ページに移動します。または、ECS コンソール に移動し、ナビゲーションバーの [ネットワークとセキュリティ] にカーソルを合わせ、[プレフィックスリストとポートリスト] をクリックします。
コンソールで、リージョンをオリジンサーバーのインスタンスがあるリージョンに切り替えます。
[プレフィックスリストの作成] をクリックして、IPv4 アドレスのプレフィックスリストを作成します:
プレフィックスリスト名: IP リストの名前を入力します (例:
list-esa-ipv4)。アドレスファミリー: [IPv4] を選択します。
最大エントリ数: 200 と入力します。
プレフィックスリストのエントリ: [エントリの追加] をクリックします。[CIDR ブロック] カラムに、「オリジン保護を有効にする」セクションでコピーした IPv4 リストを貼り付け、[確認] をクリックします。
再度 [プレフィックスリストの作成] をクリックして、IPv6 アドレスのプレフィックスリストを作成します:
プレフィックスリスト名: IP リストの名前を入力します (例:
list-esa-ipv6)。アドレスファミリー: [IPv6] を選択します。
最大エントリ数: 200 と入力します。
プレフィックスリストのエントリ: [エントリの追加] をクリックします。[CIDR ブロック] カラムに、「オリジン保護を有効にする」セクションでコピーした IPv6 リストを貼り付け、[確認] をクリックします。
ECS コンソール - セキュリティグループ ページに移動し、[セキュリティグループの作成] をクリックします。
インスタンスが配置されている VPC ネットワークを選択します。[アクセスルール] のデフォルトルールを削除します。[クイック追加] をクリックします。[認可オブジェクト] には、作成した IPv4 および IPv6 プレフィックスリストを選択します。サービスが使用するポートを選択し、[セキュリティグループの作成] をクリックします。
ECS コンソール - インスタンス に移動します。
インスタンスリストで、オリジン保護を有効にしたいインスタンスの ID をクリックします。[セキュリティグループ] タブを選択し、[セキュリティグループの変更] をクリックします。
[セキュリティグループの変更] ページで、作成した新しいセキュリティグループのみを選択し、[OK] をクリックします。
