ウェブサイトがボリューム型 DDoS 攻撃と高度な Web アプリケーション攻撃の両方に直面する場合、単一のセキュリティサービスでは十分な保護が得られません。Anti-DDoS Pro または Anti-DDoS Premium はボリューム型 DDoS 攻撃を防御し、Web Application Firewall (WAF) は Web アプリケーション攻撃をフィルタリングします。これらを連携してデプロイすることで、トラフィックはまずトラフィック浄化処理を経てから Web アプリケーションのフィルタリングを受けてから、最終的にオリジンサーバーに到達します。
本トピックでは、ウェブサイトサービスを保護するために、Anti-DDoS Pro または Anti-DDoS Premium と WAF を連携させる手順について説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
Anti-DDoS Pro または Anti-DDoS Premium インスタンスが存在すること。詳細については、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスの購入」をご参照ください。
WAF インスタンス (WAF 3.0) が存在すること。詳細については、「サブスクリプション型 WAF 3.0 インスタンスの購入」または「従量課金型 WAF 3.0 インスタンスの購入」をご参照ください。
仕組み
トラフィックは、オリジンサーバーに到達する前に、以下の 3 つのレイヤーを通過します。
| レイヤー | サービス | 役割 |
|---|---|---|
| Ingress | Anti-DDoS Pro または Anti-DDoS Premium | ボリューム型 DDoS 攻撃をスクラビングします |
| Intermediate | WAF | Web アプリケーション攻撃のフィルタリング |
| Backend | ECS、SLB、VPC、またはオンプレミスサーバー | オリジンサーバー — クリーンなトラフィックのみを受信 |
このアーキテクチャでは、リクエストはオリジンサーバーに到達する前に複数のプロキシサーバーを経由します。そのため、オリジンサーバーは送信元 IP アドレスを直接取得できません。詳細については、「リクエストの送信元 IP アドレスの取得方法」をご参照ください。
設定を完了するには、以下の手順を順に実行してください。
ウェブサイトサービスを WAF に追加し、WAF から割り当てられた CNAME を取得します。
ウェブサイトサービスを Anti-DDoS Pro または Anti-DDoS Premium に追加し、その際のオリジンサーバーのアドレスとして、ステップ 1 で取得した WAF の CNAME を指定します。
ドメイン名の DNS レコードを更新し、Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた CNAME を指すように設定します。
ステップ 1:ウェブサイトサービスを WAF に追加
WAF 3.0 コンソール にログインします。上部のナビゲーションバーから、WAF インスタンスがデプロイされているリソースグループおよびリージョン(中国本土 または 中国本土以外)を選択します。
左側のナビゲーションウィンドウで、アセットセンター > ウェブサイトアクセス を選択します。
ドメイン タブで、ウェブサイトアクセス をクリックします。
以下のいずれかのアクセスモードを使用してドメイン名を追加します。
オプション A:CNAME レコードモード(デフォルト)
ドメイン名の追加 ページでは、デフォルトで CNAME レコード モードが選択されています。アクセスモード の設定は変更せずにそのまま使用します。
ウェブサイト情報の入力 ステップで、以下のパラメーターを設定します。
パラメーター 説明 ドメイン名 保護対象のウェブサイトのドメイン名です。 保護リソース 使用する保護リソースの種類です。 プロトコルの種類 ウェブサイトがサポートするプロトコルです。 宛先サーバー(IP アドレス) IP を選択し、オリジンサーバーをホストする SLB インスタンスまたは ECS インスタンスのパブリック IP アドレス、または Alibaba Cloud 上にデプロイされていないオリジンサーバーの IP アドレスを入力します。 宛先サーバーポート プロトコルの種類 に基づくオリジンサーバーのポートです。 ロードバランシングアルゴリズム オリジンサーバーに複数の IP アドレスが指定された場合のトラフィック配分に使用されるアルゴリズムです。 WAF の前にレイヤー 7 プロキシ(DDoS 攻撃防御/CDN など)が存在しますか? はい を選択します。 トラフィックマーカーの有効化 WAF トラフィックマーカー機能を有効にするかどうかを指定します。 リソースグループ ドメイン名が属するリソースグループです。 次へ をクリックします。
ドメイン タブで、追加したドメイン名を見つけ、ドメイン名/CNAME 列から WAF によって割り当てられた CNAME をコピーします。この CNAME はステップ 2 で使用します。

オプション B:透過型プロキシモード
ドメイン名の追加 ページで、アクセスモード を 透過型プロキシモード に設定します。
以下のパラメーターを設定します。
パラメーター 説明 ドメイン名 保護対象のウェブサイトのドメイン名です。 SLB ベースのドメイン、レイヤー 7 SLB ベースのドメイン、レイヤー 4 SLB ベースのドメイン、または ECS ベースのドメイン 対応するタブから保護対象のインスタンスを検索し、ポートを選択します。 レイヤー 7 プロキシ(DDoS 保護/CDN など)が WAF の前に存在するか はい を選択します。 トラフィックマーカーの有効化 WAF トラフィックマーカー機能を有効にするかどうかを指定します。 リソースグループ ドメイン名が属するリソースグループです。 次へ をクリックします。
追加情報の確認と確定 ステップで情報を確認し、次へ をクリックします。
完了しました。ウェブサイト一覧に戻る をクリックします。
透過型プロキシモードでは、WAF は CNAME を割り当てません。ステップ 2 では、代わりにオリジンサーバーのパブリック IP アドレスを使用します。
ステップ 2:ウェブサイトサービスを Anti-DDoS Pro または Anti-DDoS Premium に追加
Anti-DDoS Pro コンソール にログインします。
上部のナビゲーションバーで、インスタンスタイプに対応するリージョンを選択します。
Anti-DDoS Pro の場合:中国本土 を選択します。
Anti-DDoS Premium の場合:中国本土以外 を選択します。
左側のナビゲーションウィンドウで、プロビジョニング > Web サイト設定 を選択します。
Web サイト設定 ページで、ドメインの追加 をクリックします。
ウェブサイト情報の入力 ステップで、以下のパラメーターを設定します。
パラメーター 説明 機能プラン 使用するインスタンスのプランです。 インスタンス 使用する Anti-DDoS Pro または Anti-DDoS Premium インスタンスです。 ドメイン 保護対象のウェブサイトのドメイン名です。 プロトコル ウェブサイトがサポートするプロトコルです。 OCSP の有効化 Online Certificate Status Protocol (OCSP) 機能を有効にするかどうかを指定します。 サーバー IP CNAME レコードモードでドメイン名を追加した場合は、オリジンサーバードメイン を選択し、ステップ 1 で取得した WAF の CNAME を入力します。透過型プロキシモードで追加した場合は、オリジンサーバー IP を選択し、オリジンサーバーのパブリック IP アドレスを入力します。 サーバーポート プロトコル に基づくオリジンサーバーのポートです。 CNAME 再利用 複数のウェブサイトサービスが同じオリジンサーバーを共有する場合、Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた単一の CNAME にすべてのドメイン名をマップするために、CNAME 再利用を有効化します。 追加 をクリックします。
Web サイト設定 ページで、追加したドメイン名を見つけ、ドメイン 列から Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた CNAME をコピーします。この CNAME はステップ 3 で使用します。

ステップ 3:DNS レコードの更新
ドメイン名をステップ 2 で取得した Anti-DDoS の CNAME にポイントします。以下の手順は Alibaba Cloud DNS を対象としています。サードパーティ製の DNS プロバイダーをご利用の場合は、当該プロバイダーのコンソールにログインし、同等の変更を行ってください。
Alibaba Cloud DNS コンソール にログインします。
DNS の管理 ページで、ドメイン名を見つけ、操作 列の 設定 をクリックします。
DNS 設定項目 ページで、更新対象の DNS レコードを見つけ、操作 列の 編集 をクリックします。
レコードが存在しない場合は、レコードの追加 をクリックして新規作成します。
レコードの編集(または レコードの追加)パネルで、タイプ を CNAME - 正式名称 に設定し、値 をステップ 2 で取得した CNAME に設定します。
OK をクリックし、変更が有効になるまで待ちます。
ブラウザを開き、ウェブサイトにアクセスできることを確認します。
応答が遅い、レイテンシーが高い、またはアクセスに失敗するなどの問題が発生した場合は、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスで保護されたサービスにおいて、応答が遅い、レイテンシーが高い、またはアクセスに失敗するという問題を解決するには?」をご参照ください。
次のステップ
トラフィックが Anti-DDoS Pro または Anti-DDoS Premium および WAF を経由した後、以下の点を検討してください。
実際のクライアント IP アドレスの取得。オリジンサーバーで実際のクライアント IP アドレスが必要な場合は、「リクエストの送信元 IP アドレスの取得方法」をご参照ください。
参考情報
WAF へのドメイン名の追加 — CNAME レコードモードでのドメイン名の追加方法。
透過型プロキシモード — 透過型プロキシモードでのドメイン名の追加方法。
1 つ以上のウェブサイトの追加 — Anti-DDoS Pro または Anti-DDoS Premium へのドメイン名の追加(一括インポートを含む)。
DNS レコードの変更によるウェブサイトサービスの保護 — Anti-DDoS で保護されるウェブサイトサービス向けの DNS レコードの手動更新方法。