Global Accelerator の WAF 保護の有効化 - Global Accelerator - Alibaba Cloud ドキュメントセンター

Global Accelerator (GA) インスタンスの WAF 保護を有効にすると、SQL インジェクションやクロスサイトスクリプティング (XSS) などの Web アプリケーションレイヤーの攻撃から保護できます。Web Application Firewall (WAF) はバイパスモードで統合されており、セキュリティチェックとトラフィック転送を分離して、ネットワーク遅延への影響を最小限に抑えます。「Web Application Firewall とは」をご参照ください。

仕組み

GA は、バイパスモードで WAF を統合します。この機能を有効にすると、サービスベースの WAF が GA のアクセラレーションリージョンにデプロイされます。WAF は、トラフィック転送のための独立したネットワークノードとして機能するのではなく、トラフィックを抽出、検査、保護するだけで、アプリケーションのセキュリティを強化します。

リクエストの受信：クライアントリクエストが GA のアクセラレーションノードに到着します。
バイパス検査：GA は、セキュリティチェックのために内部チャネルを介して WAF 3.0 インスタンスにトラフィックを送信します。
セキュリティ分析：WAF は、設定された保護ルールに基づいてリクエストをリアルタイムで分析し、検査結果 (許可またはブロック) を GA に返します。
決定の適用：GA は検査結果に基づいて決定を適用します。
- 許可：リクエストはオリジンサーバーに転送されます。
- ブロック：リクエストはブロックされ、ブロックページがクライアントに返されます。リクエストはオリジンサーバーには到達しません。

使用上の注意

GA のサービスベースの WAF 統合は、段階的にリリースされています。この機能を使用するには、アカウントマネージャーにお問い合わせください。
従量課金の GA インスタンスのみが WAF 保護をサポートします。
アカウントに WAF 2.0 インスタンスがある場合は、まずそれらを解放するか、WAF 3.0 に移行する必要があります。

WAF 保護の有効化

この機能を有効にすると、GA インスタンスは WAF 3.0 サービスに自動的に接続されます。アカウントで WAF が有効化されていない場合、従量課金の WAF 3.0 インスタンスが自動的に作成されます。
サポートされるアクセラレーションリージョン：
- インスタンスの [高速化 IP アドレスのタイプ] が [Elastic IP アドレス] の場合、中国本土のアクセラレーションリージョンと中国本土以外のリージョンで、個別に WAF 保護を有効にできます。
- インスタンスの [高速化 IP アドレスのタイプ] が [Anycast EIP] の場合、WAF 保護は中国本土以外のリージョンでのみ有効にできます。WAF 保護は現在、英国 (ロンドン) リージョンではサポートされていません。
WAF 保護を有効にした後、インスタンスが次の条件を満たしている場合にのみ有効になります。
- HTTP または HTTPS リスナーが設定されていること。
- WAF 保護をサポートするアクセラレーションリージョンが設定されていること。

GA インスタンス作成時の WAF の有効化

ページで、インスタンスの基本設定 セクションの Web Application Firewall エリアを展開し、保護リージョンで 有効化する を選択します。[標準の従量課金インスタンスの作成]
インスタンスの作成を完了します。詳細については、「標準の従量課金 GA インスタンスの作成」をご参照ください。

既存の GA インスタンスでの WAF の有効化

にログインし、対象の従量課金インスタンスを見つけます。Global Accelerator コンソール
対象インスタンス ID の横にあるアイコンにカーソルを合わせ、Web Application Firewall エリアで設定をクリックします。
WAF を設定 ダイアログボックスで、保護リージョンで 有効化する を選択し、OK をクリックします。

保護ログの表示

WAF 保護を有効にすると、WAF は自動的に保護対象を作成し、デフォルトでコア Web 保護ルールを有効にします。必要に応じて、追加の保護ルールを設定できます。

保護対象オブジェクトの命名規則

アクセラレーションリージョン	名前のサフィックス
中国本土	`-cn`
中国本土以外のリージョン	`-intl`

で、対象のインスタンスを見つけます。Global Accelerator コンソール
対象インスタンス ID の横にあるアイコンにカーソルを合わせ、Web Application Firewall エリアで、対応する保護リージョンの WAF レポートを照会 をクリックします。

WAF 保護の無効化

WAF 保護を無効にすると、GA インスタンスへのトラフィックは WAF による検査を受けなくなります。セキュリティレポートにはこのトラフィックのデータが含まれなくなり、WAF はリクエスト処理料金の課金を停止します。

WAF インスタンス自体と設定済みの保護ルールには引き続き課金されます。すべての WAF 課金を停止するには、WAF を無効にする必要があります。

で、対象のインスタンスを見つけます。Global Accelerator コンソール
インスタンス ID の横にあるアイコンにカーソルを合わせ、Web Application Firewall エリアで設定をクリックします。
WAF を設定 ダイアログボックスで、対応する保護リージョンで 無効化する を選択し、OK をクリックします。

課金

GA の料金：WAF 保護を有効にしても、GA インスタンスの課金には影響しません。GA は、元の課金ルールに従って引き続き課金されます。
WAF 3.0 の料金：
- WAF を有効化していない場合、GA の WAF 保護を有効にすると、WAF 3.0 の従量課金インスタンスが自動的に作成されます。
- すでに WAF 3.0 のサブスクリプションインスタンスをお持ちの場合、GA の WAF 保護を有効にしても、追加の WAF 料金は発生しません。

よくある質問

WAF 保護によってレイテンシーは増加しますか？

データは、同一リージョン内の専用の内部チャネルを介して GA インスタンスと WAF インスタンス間で転送されます。レイテンシーの主な原因は WAF のセキュリティチェックであり、通常 1～2 ms 追加されます。

一部のリージョンで WAF が利用できないのはなぜですか？

サポートされているリージョン：

エリア	リージョン
中国本土	中国 (青島)、中国 (北京)、中国 (ウランチャブ)、中国 (深圳)、中国 (広州)、中国 (杭州)、中国 (上海)、中国 (成都)
アジア太平洋	中国 (香港)、シンガポール、マレーシア (クアラルンプール)、日本 (東京)、インドネシア (ジャカルタ)、フィリピン (マニラ)、タイ (バンコク)
ヨーロッパ & アメリカ	米国 (シリコンバレー)、米国 (バージニア)、ドイツ (フランクフルト)