悪意のある攻撃者がご利用のオリジンサーバーを侵害してページコンテンツを改変した場合、ユーザーは有害または誤解を招く情報を受信する可能性があります。Web サイト改ざん防止機能は、ライブのオリジンコンテンツの代わりに保護対象ページのキャッシュコピーを配信することで、このようなリスクを防ぎます。WAF が保護対象 URL へのリクエストを受信すると、キャッシュされたバージョンを返却し、ユーザーに注入されたコンテンツが届くことをブロックします。
仕組み
URL に対して改ざん防止ルールを作成すると、WAF はそのパス(HTML、TXT、および画像ファイル)にあるすべてのリソースを直ちにフェッチしてキャッシュします。その後、その URL へのリクエストはすべてキャッシュから配信されます。
URL パラメーターを含むリクエストは、改ざん防止ルールによるマッチングの対象外となります。例:ルールで /abc をカバーしている場合、/abc?xxx=yyy へのリクエストはルールをバイパスし、直接オリジンサーバーに到達します。
オリジンサーバーでアクセスの制御に許可リスト(allowlist)を使用している場合は、WAF がキャッシュコンテンツをプルおよびリフレッシュできるように、以下の WAF の IP アドレスを追加してください。
| リージョン | IP アドレス |
|---|---|
| 中国本土 | 121.196.106.101, 121.196.100.214, 121.196.110.192, 121.196.107.0 |
| 中国本土以外 | 8.219.104.2, 8.219.41.212 |
前提条件
作業を開始する前に、以下の要件を満たしていることを確認してください。
Enterprise、Ultimate、または Exclusive エディションの WAF インスタンスを使用していること。
Web サイトが WAF に追加されています。 詳細については、「クイックスタート: 最初の Web サイトを追加する」をご参照ください。
Web サイト改ざん防止の有効化
WAF コンソール にログインします。上部のナビゲーションバーで、ご利用の WAF インスタンスがデプロイされているリソースグループとリージョンを選択します。リージョンは 中国本土 または 中国本土以外 のいずれかです。
Web サイト保護 ページで、ドメイン名の切り替え ドロップダウンリストからご利用のドメイン名を選択します。
Web セキュリティ タブをクリックし、Web サイト改ざん防止 セクションで ステータス スイッチをオンにしてから、今すぐ設定 をクリックします。
重要Web サイト改ざん防止を有効化すると、WAF はデフォルトですべてのリクエストを改ざん防止ルールに対してチェックします。特定のリクエストをこのチェックから除外するには、データセキュリティホワイトリストを設定してください。詳細については、「データセキュリティホワイトリストの設定」をご参照ください。
Web サイト改ざん防止 ページで、ルールの作成 をクリックします。
ルールの作成 ダイアログボックスで、以下のフィールドに入力し、OK をクリックします。ルール作成後、デフォルトで無効になります。ルール一覧に表示され、保護ステータス スイッチがオフの状態になります。
フィールド 説明 名前 Web ページに対応するサービスの名前を指定します。 URL 保護する正確なパスを指定します。パスは http://またはhttps://で始まる必要があります。ワイルドカード(例:/*)や URL パラメーター(例:/abc?xxx=yyy)はサポートされていません。WAF はこのパスにある TXT、HTML、および画像ファイルを保護します。保護対象ファイルの最大サイズは 1 MB です。ルール一覧で新規ルールを見つけ、保護ステータス スイッチをオンにします。これにより、WAF は保護対象 URL へのすべてのリクエストに対して直ちにキャッシュページを配信し始めます。
(任意)保護対象ページのコンテンツを更新した場合は、保護ステータス 列の キャッシュの更新 をクリックしてキャッシュコピーをリフレッシュしてください。この手順をスキップすると、WAF は引き続き古いキャッシュバージョンを配信し、改ざん防止が無効になります。
モジュールスイッチまたはルールの 保護ステータス スイッチを再度有効化すると、キャッシュの更新 をクリックした場合と同じ効果があります。つまり、WAF はリソースを再フェッチしてキャッシュをリフレッシュします。
次のステップ
特定のリクエストを改ざん防止検出から除外するには、「データセキュリティホワイトリストの設定」をご参照ください。