Web Application Firewall (WAF) は、HTTP および HTTPS トラフィックを検査し、攻撃リクエストがオリジンサーバーに到達する前に保護ルールを適用してブロックします。このページでは、利用可能なすべての保護機能、そのデフォルト状態、および構成ガイドへのリンクを一覧表示します。
保護機能
デフォルトで有効 と記載されている機能は、ドメイン名を追加した時点で自動的にアクティブになります。それ以外の機能は、手動で有効化する必要があります。
Web セキュリティ
| 機能 | 説明 | デフォルト状態 |
|---|---|---|
| 保護ルールエンジン | 組み込みルールに基づき、SQL インジェクション、クロスサイトスクリプティング (XSS)、Web シェル、コマンドインジェクション、バックドア隔離、無効なファイルリクエスト、パストラバーサル、および一般的な脆弱性のエクスプロイトなど、一般的な Web 攻撃をブロックします。 | デフォルトで有効 |
| 保護ルールグループ | 保護ルールをカスタムルールグループとしてまとめて、特定の Web サイトに適用できます。カスタムルールグループは、保護ルールエンジンでのみ利用可能です。 | 有効化が必要 |
| Web サイト改ざん防止 | 特定の Web ページをロックし、これらのページがリクエストされた際に WAF がキャッシュコピーを提供することで、不正な変更を防止します。 | 有効化が必要 |
| データ漏えい防止 | サーバーの応答をスキャンし、ID カード番号、銀行カード番号、電話番号、禁止用語などの機密データをマスクしてから、訪問者にマスク済み情報またはデフォルトのエラーページを返します。 | 有効化が必要 |
| ポジティブセキュリティモデル | 機械学習を活用して Web サイトの通常トラフィックパターンを分析し、そのベースラインに基づいてカスタマイズされたセキュリティポリシーを自動生成します。 | 有効化が必要 |
ボット管理
| 機能 | 説明 | デフォルト状態 |
|---|---|---|
| 許可済みクローラー | Google、Bing、Baidu、Sogou、Yandex といった信頼できる検索エンジンのクローラーをホワイトリストに登録し、指定されたドメイン名へのアクセスを許可します。 | 有効化が必要 |
| ボット脅威インテリジェンス | ダイヤラー、オンプレミスデータセンター、悪意あるスキャナーに関連付けられた疑わしい IP アドレスを識別します。既知の悪質なクローラー IP を動的に管理し、Web サイトまたは特定のディレクトリへのアクセスをブロックします。 | 有効化が必要 |
| データリスク管理 | 登録ページ、ログインページ、キャンペーンページ、フォーラムページなど、ビジネス上重要なエンドポイントを詐欺や不正利用から保護します。 | 有効化が必要 |
| アプリケーション保護 | ネイティブアプリ向けに安全な接続とアンチボット保護を提供します。プロキシ、エミュレーター、および無効な署名を持つリクエストを検出してブロックします。 | 有効化が必要 |
アクセスの制御と速度制限
| 機能 | 説明 | デフォルト状態 |
|---|---|---|
| HTTP フラッド攻撃対策 | 設定可能な保護モードを使用して HTTP フラッド攻撃から防御します。 | デフォルトで有効 |
| IP アドレスブラックリスト | 指定された IP アドレス、CIDR ブロック、または地理的リージョンからのリクエストをブロックします。 | 有効化が必要 |
| スキャン保護 | 短時間のウィンドウ内で複数の Web 攻撃や標的型ディレクトリトラバーサル試行をトリガーしたソース IP を自動的にブロックします。また、一般的なスキャンツールおよび Alibaba Cloud の悪質 IP ライブラリに登録された IP もブロックします。 | 有効化が必要 |
| カスタム保護ポリシー | 正確な一致条件に基づいてアクセスの制御ルールおよびレート制限を定義できます。 | 有効化が必要 |
Protection Lab
| 機能 | 説明 | デフォルト状態 |
|---|---|---|
| アカウントセキュリティ | 認証情報スタッフィング、ブルートフォース攻撃、迷惑メール登録、弱いパスワードの嗅ぎ取り、SMS フラッド攻撃などの脅威に対して、登録ページやログインページなどの認証エンドポイントをモニターします。 | 有効化が必要 |
ホワイトリスト
特定のリクエストを 1 つ以上の保護機能から除外するには、ホワイトリストを構成してください。
| 機能 | 適用範囲 | デフォルト状態 |
|---|---|---|
| Web サイトホワイトリスト | 一致したリクエストはすべての保護機能をバイパスし、直接オリジンサーバーに送られます。 | 有効化が必要 |
| Web 侵入防止ホワイトリスト | 一致したリクエストは、保護ルールエンジンなどの指定された Web セキュリティ機能をバイパスします。 | 有効化が必要 |
| データセキュリティホワイトリスト | 一致したリクエストは、Web サイト改ざん防止、データ漏えい防止、およびアカウントセキュリティをバイパスします。 | 有効化が必要 |
| ボット管理ホワイトリスト | 一致したリクエストは、ボット脅威インテリジェンス、データリスク管理、インテリジェントアルゴリズム、およびアプリケーション保護をバイパスします。 | 有効化が必要 |
| アクセスの制御と速度制限ホワイトリスト | 一致したリクエストは、HTTP フラッド攻撃対策、IP アドレスブラックリスト、スキャン保護、およびカスタム保護ポリシーをバイパスします。 | 有効化が必要 |
WAF 保護の無効化
WAF 保護を無効化するには、WAF 2.0 コンソールで アセットセンター > Web サイトアクセス に移動し、WAF 保護 をオフにしてください。
WAF 保護が無効化されると、トラフィックは WAF 保護エンジンをバイパスし、WAF は監視およびブロックされたリクエストのログ記録を停止します。緊急テストなど、WAF 保護を一時的に無効にする必要がある操作を行う場合は、操作完了後に WAF 2.0 コンソールの 保護対象 ページに移動して WAF 保護を再度有効化し、監視およびブロックされたリクエストのログ記録を再開することを推奨します。これにより、資産がさらされるリスクを軽減できます。
API セキュリティモジュールを有効にしている場合、WAF 保護を無効化してもその検出プロセスは継続して実行され、API セキュリティモジュールのトラフィック料金も引き続き発生します。従量課金の WAF インスタンスでは、無効化期間中も機能使用料および基本リクエスト料金が発生し続けます。課金が一時停止されるのは、ボット管理、リスク識別、およびカスタムルールのみです。
WAF に追加された Microservices Engine (MSE) および Function Compute (FC) については、WAF 保護の無効化はサポートされていません。ハイブリッドクラウド環境にデプロイされた Web サイトについては、ハイブリッドクラウド版が特定の条件を満たす場合にのみ WAF 保護の無効化が適用されます。バージョン要件については、営業担当者にご連絡いただくか、チケット を送信して Alibaba Cloud テクニカルサポートにお問い合わせください。具体的なバージョン情報を提供いたします。