webサイトサービスでボリューム攻撃や高度なwebアプリケーション攻撃が発生した場合、webサイトサービスを保護するには単一のネットワークセキュリティサービスでは不十分です。 保護のため、Anti-DDoS ProまたはAnti-DDoS PremiumとWeb Application Firewall (WAF) の両方にWebサイトサービスを追加することを推奨します。 このトピックでは、Anti-DDoS ProまたはAnti-DDoS PremiumとWAFの両方にWebサイトサービスを追加する方法について説明します。

始める前に

このタスクについて

WebサイトサービスにAnti-DDoS ProまたはAnti-DDoS PremiumとWAFを設定するには、次のネットワークアーキテクチャを適用します。 中間層でWAFを使用して、webアプリケーション攻撃から防御します。 Elastic Compute Service (ECS) インスタンス、Server Load Balancer (SLB) インスタンス、仮想プライベートクラウド (VPC) 、またはデータセンター内のサーバーをオリジンサーバーとして設定します。 このように、トラフィックはAnti-DDoS ProまたはAnti-DDoS Premiumによってスクラブされ、WAFによってフィルタリングされます。 サービストラフィックのみがオリジンサーバーに転送されます。 これにより、サービスとデータのセキュリティが確保されます。
上記のアーキテクチャを適用すると、リクエストはオリジンサーバーに到達する前に複数の中間プロキシサーバーに送信されます。 オリジンサーバーは、リクエストの発信IPアドレスを直接取得できません。 送信元IPアドレスを取得する方法の詳細については、「リクエストの実際の送信元IPアドレスの取得」をご参照ください。

ステップ1: WebサイトサービスをWAFに追加する

  1. [ドメイン名] タブで、[Webサイトアクセス] をクリックします。
  2. WAFにドメイン名を追加します。
    • アクセスモード: CNAMEレコードモード
      [ドメイン名の追加] ページで、[アクセスモード] パラメーターはデフォルトで [CNAMEレコード] に設定されています。 CNAMEレコードモードでは、アクセスモードの値を変更する必要はありません。
      1. [Webサイト情報の入力] ステップで、ビジネス要件に基づいて次のパラメーターを設定します。
        CNAMEレコードモードは、自動追加および手動追加メソッドをサポートしています。 Anti-DDoS ProまたはAnti-DDoS PremiumとWAFの両方にWebサイトサービスを追加する場合は、手動で追加する方法を使用することを推奨します。
        • ドメイン名: 保護するWebサイトのドメイン名を入力します。
        • 保護リソース: 使用する保護リソースの種類を選択します。
        • プロトコルタイプ: Webサイトでサポートされているプロトコルを選択します。
        • 宛先サーバー (IPアドレス): [IP] を選択し、オリジンサーバーがデプロイされているSLBまたはECSインスタンスのパブリックIPアドレス、またはAlibaba CloudにデプロイされていないオリジンサーバーのIPアドレスを入力します。
        • 宛先サーバーポート: プロトコルタイプパラメーターの値に基づいてポートを指定します。 ポートは、サービスを提供するためにオリジンサーバーによって使用されます。
        • ロードバランシングアルゴリズム: ビジネス要件に基づいてスケジューリングアルゴリズムを選択します。 宛先サーバー (IPアドレス) パラメーターに複数のアドレスを指定した場合、選択したアルゴリズムを使用してリクエストをスケジュールします。
        • WAFの前にレイヤー7プロキシ (DDoS Protection/CDNなど) が存在しますか: [はい] を選択します。
        • トラフィックマークの有効化: ビジネス要件に基づいてWAFトラフィックマーキング機能を有効にするかどうかを指定します。
        • Resource Group: 部門やプロジェクト単位でクラウドリソースを管理する場合は、リソースグループのドロップダウンリストから、ドメイン名が属するリソースグループを選択します。
      2. 次へをクリックします。
      3. [ドメイン名] タブで、追加したドメイン名を見つけ、WAFによって割り当てられたCNAME[ドメイン名 /CNAME] 列のドメイン名にコピーします。
    • アクセスモード: 透明プロキシモード
      1. [ドメイン名の追加] ページで、[アクセスモード][透過プロキシモード] に設定します。
      2. [ドメイン名の追加] ステップで、ビジネス要件に基づいて次のパラメーターを設定します。
        • ドメイン名: 保護するWebサイトのドメイン名を入力します。
        • SLB-based Domains, Layer 7 SLB-based Domains, Layer 4 SLB-based Domains, or ECS-based Domains: Find the instance that you want to protect on the required tab and select the ports that correspond to the instance.
        • Does a layer 7 proxy (DDoS Protection/CDN, etc.) exist in front of WAF: Select Yes.
        • トラフィックマークの有効化: ビジネス要件に基づいてWAFトラフィックマーキング機能を有効にするかどうかを指定します。
        • リソースグループ: 部門またはプロジェクトごとにクラウドリソースを管理する場合は、リソースグループドロップダウンリストからドメイン名が属するリソースグループを選択します。
      3. 次へをクリックします。
      4. 追加した情報の確認・チェック」ステップで情報を確認し、 Nextをクリックする.
      5. [完了] をクリックします。 Webサイトリストに戻ります。

ステップ2: WebサイトサービスをAnti-DDoS ProまたはAnti-DDoS Premiumに追加する

  1. Anti-DDoS Proコンソールにログインします。
  2. 上部のナビゲーションバーで、インスタンスが存在するリージョンを選択します。
    • 中国本土: このリージョンを選択すると、Anti-DDoS Proコンソールが表示されます。
    • 中国本土以外: このリージョンを選択すると、Anti-DDoS Premiumコンソールが表示されます。
    リージョンを切り替えて、Anti-DDoS ProまたはAnti-DDoS Premiumインスタンスを設定および管理できます。 Anti-DDoS ProまたはAnti-DDoS Premiumを使用する場合は、必ず必要なリージョンを選択してください。
  3. 左側のナビゲーションウィンドウで、[プロビジョニング] > [Webサイトの設定] を選択します。
  4. On the Website Config page, click Add Domain.
  5. Complete the Add Domain wizard.
    1. In the Enter Site Information step, ビジネス要件に基づき、以下のパラメータを設定します。:
      • Function Plan: 使用するインスタンスの機能計画を選択します。
      • インスタンス: 使用するインスタンスを選択します。
      • ドメイン: 保護するWebサイトのドメイン名を入力します。
      • Protocol: Webサイトでサポートされているプロトコルを選択します。
      • OCSPの有効化: オンライン証明書ステータスプロトコル (OCSP) 機能を有効化するかどうかを指定します。
      • Server IP:
        • CNAMEレコードモードでWAFにドメイン名を追加した場合, Origin Server Domain 選択し、取得したCNAMEを入力します。 Step 1.
        • 透過プロキシモードでドメイン名をWAFに追加する場合は、[オリジンサーバーIP] を選択し、オリジンサーバーのパブリックIPアドレスを入力します。
      • Server Port: Specify the port based on the value of the Protocol parameter. ポートは、サービスを提供するためにオリジンサーバーによって使用されます。
      • Cname Reuse: ビジネス要件に基づいてCNAMEの再利用を有効にするかどうかを指定します。 複数のWebサイトサービスが同じオリジンサーバーに展開されている場合、Cname Reuseをオンにすると、Webサイトサービスのドメイン名をAnti-DDoS ProまたはAnti-DDoS Premiumによって割り当てられたCNAMEにマップすることができます。
    2. [Add] をクリックします。
    3. [Webサイトの設定] ページで、追加したドメイン名を見つけ、Anti-DDoS ProまたはAnti-DDoS Premiumによって割り当てられたCNAME[ドメイン] 列のドメイン名にコピーします。 Anti-DDoS ProまたはAnti-DDoS Premiumによって割り当てられたCNAMEをドメイン名にコピーします。

ステップ3: ドメイン名のDNSレコードを変更する

ドメイン名が Alibaba Cloud DNS でホストされている場合、以下の手順を実行してDNSレコードを変更し、ドメイン名を手順2で取得したCNAMEにマッピングします。 サードパーティのDNSサービスを使用している場合は、DNSプロバイダーのシステムにログインしてDNSレコードを変更します。 以下は参考例です。

  1. Alibaba Cloud DNS コンソールにログインします。
  2. On the Manage DNS page, find the domain name for which you want to change the DNS record, and click Configure in the Actions column to go to the DNS Settings page.
  3. On the DNS Settings page, find the DNS record that you want to change and click Edit in the Actions column.
    リスト内に変更したいDNSレコードが見つからない場合は, Add Record をクリックしてレコードを追加します。
  4. [レコードの編集] (または [レコードの追加]) パネルで、[タイプ]CNAME-正規名を選択し、[値]ステップ2で取得したCNAMEに設定します。
  5. [確認] をクリックし、設定が有効になるのを待ちます。
  6. Webサイトにブラウザからアクセスできるかどうかを確認します。

関連ドキュメント

  • ドメイン名の追加: このトピックでは、CNAMEレコードモードでWAFにドメイン名を追加する方法について説明します。
  • 透過プロキシモードでドメイン名を追加: このトピックでは、透過プロキシモードでWAFにドメイン名を追加する方法について説明します。
  • ウェブサイトを追加する: このトピックでは、ドメイン名をAnti-DDoS ProまたはAnti-DDoS Premiumに追加する方法について説明します。 This topic also describes how to import the configurations of more than one domain name to Anti-DDoS Pro or Anti-DDoS Premium at a time.
  • Webサイトサービスを保護するためのDNSレコードの変更: このトピックでは、ドメイン名のDNSレコードを手動で変更して、Anti-DDoS ProまたはAnti-DDoS Premiumのドメイン名に対応するWebサイトサービスを保護する方法について説明します。