すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:概要

最終更新日:Jul 04, 2026

Web Application Firewall (WAF) は、受信した HTTP および HTTPS トラフィックを検査し、保護ルールを適用することで、悪意のあるリクエストがオリジンサーバーに到達する前にブロックします。

保護機能

デフォルトでオン と表示されている機能は、ドメイン名を追加するとすぐに有効になります。それ以外の機能はすべて手動で有効にする必要があります。

Web セキュリティ
機能 機能概要 デフォルト状態
[保護ルールエンジン] 組み込みルールに基づいて、SQL インジェクション、クロスサイトスクリプティング (XSS)、Web シェル、コマンドインジェクション、バックドアの分離、不正なファイルリクエスト、パストラバーサル、一般的な脆弱性の悪用など、一般的な Web 攻撃をブロックします。 デフォルトでオン
[保護ルールグループ] 保護ルールを組み合わせて保護ルールグループを構成し、[ルール保護エンジン] に適用できます。カスタムルールグループは、保護ルールエンジンでのみ利用できます。 有効化が必要
[Web サイト改ざん防止] 特定の Web ページをロックすることで、ページがリクエストされた際に WAF がキャッシュされたコピーを提供し、不正な変更を防ぎます。 有効化が必要
[情報漏洩防止] サーバーの応答をスキャンして、ID カード番号、銀行カード番号、電話番号、機密性の高い単語などの機密データをマスクし、マスクされた情報またはデフォルトのエラーページを訪問者に返します。 有効化が必要
[アクティブ防御] 機械学習を使用して Web サイトの通常のトラフィックパターンを分析し、そのベースラインに基づいてカスタマイズされたセキュリティポリシーを自動的に生成します。 有効化が必要
Bot Management
機能 機能概要 デフォルト状態
[許可されたクローラー] 信頼できる検索エンジンクローラー (Google、Bing、Baidu、Sogou、Yandex) のホワイトリストを維持し、指定されたドメイン名へのアクセスを許可します。 有効化が必要
[ボット脅威インテリジェンス] ダイヤラ、オンプレミスのデータセンター、悪意のあるスキャナーに関連する不審な IP アドレスを識別します。既知の悪意のあるクローラー IP の動的ライブラリを維持し、Web サイトや特定のディレクトリへのアクセスをブロックします。 有効化が必要
[データリスク管理] 登録、ログイン、キャンペーン、フォーラムページなど、ビジネスに不可欠なエンドポイントを不正行為や乱用から保護します。 有効化が必要
[Mobile App Protection] ネイティブアプリケーションに安全な接続とボット対策保護を提供します。プロキシ、エミュレーター、および署名が無効なリクエストを検出してブロックします。 有効化が必要
アクセス制御/スロットリング
機能 機能概要 デフォルト状態
[HTTP Flood 防御] 設定可能な保護モードを使用して、HTTP フラッド攻撃から保護します。 デフォルトでオン
[IP ブラックリスト] 指定された IP アドレス、CIDR ブロック、または地理的リージョンからのリクエストをブロックします。 有効化が必要
[スキャン保護] 短時間のうちに複数の Web 攻撃や標的型ディレクトリトラバーサルを試行した送信元 IP を自動的にブロックします。また、一般的なスキャンツールや Alibaba Cloud の悪意のある IP ライブラリに含まれる IP もブロックします。 有効化が必要
[カスタム保護ポリシー] 正確な一致条件に基づいて、アクセス制御ルールとレート制限を定義できます。 有効化が必要
プロテクションラボ
機能 機能概要 デフォルト状態
[アカウントセキュリティ] 登録ページやログインページなどの認証エンドポイントを監視し、クレデンシャルスタッフィング、ブルートフォース攻撃、スパム登録、脆弱なパスワードの盗聴、SMS フラッド攻撃などの脅威を検出します。 有効化が必要
ホワイトリスト

ホワイトリストを設定して、1つ以上の保護機能から特定のリクエストを除外します。

機能 スコープ デフォルト状態
[Web サイトホワイトリスト] 一致するリクエストはすべての保護機能をバイパスし、オリジンサーバーに直接送信されます。 有効化が必要
Web 侵入防止ホワイトリスト 一致するリクエストは、保護ルールエンジンなど、指定された Web セキュリティ機能をバイパスします。 有効化が必要
[データセキュリティ][ホワイトリスト] 一致するリクエストは、Web サイト改ざん防止、データ漏えい防止、およびアカウントセキュリティをバイパスします。 有効化が必要
[ボット管理][ホワイトリスト] 一致するリクエストは、ボット脅威インテリジェンス、データリスクコントロール、およびモバイルアプリ保護をバイパスします。 有効化が必要
[アクセス制御/スロットリング][ホワイトリスト] 一致するリクエストは、HTTP フラッド攻撃対策、IP アドレスブラックリスト、スキャン防御、およびカスタム保護ポリシーをバイパスします。 有効化が必要

WAF 保護の無効化

WAF 保護を無効にするには、WAF 2.0 コンソールで 資産センター > Web サイトアクセス に移動し、WAF 保護 をオフにします。

WAF 保護が無効になっている場合、トラフィックは WAF 保護エンジンをバイパスし、WAF は監視およびブロックしたリクエストのログ記録を停止します。WAF 保護を一時的に無効にする必要がある緊急テストなどの操作を実行する場合は、操作完了後に WAF 2.0 コンソールの [保護対象] ページに移動し、WAF 保護を再度有効にして、監視およびブロックしたリクエストのログ記録を再開することを推奨します。これにより、資産が危険に晒される潜在的なリスクを軽減できます。

重要

API セキュリティモジュールを有効にした場合、WAF 保護を無効にしてもモジュールは停止しません。検出プロセスは継続して実行され、API セキュリティモジュールのトラフィック料金は引き続き適用されます。従量課金の WAF インスタンスの場合、無効期間中も機能料金と基本リクエスト料金が発生し続けます。課金が停止されるのは、ボット管理、データリスクコントロール、およびカスタム保護ポリシーのみです。

WAF に追加された Microservices Engine (MSE) および Function Compute (FC) では、WAF 保護の無効化はサポートされていません。ハイブリッドクラウド環境にデプロイされた Web サイトの場合、WAF 保護の無効化は、ハイブリッドクラウドのバージョンが特定の条件を満たす場合にのみ適用されます。バージョン要件については、ビジネス マネージャーにお問い合わせいただくか、Alibaba Cloud テクニカルサポートにチケットを起票してお問い合わせください。担当者より具体的なバージョン情報をご案内します。