すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:Anti-DDoS Pro/Premium および WAF を活用したウェブサイトの保護

最終更新日:Apr 01, 2026

ウェブサイトがボリューム型 DDoS 攻撃と高度な Web アプリケーション攻撃の両方に直面する場合、単一のセキュリティサービスでは十分な保護が得られません。Anti-DDoS Pro または Anti-DDoS Premium はボリューム型 DDoS 攻撃を防御し、Web Application Firewall (WAF) は Web アプリケーション攻撃をフィルタリングします。これらを連携してデプロイすることで、トラフィックはまずトラフィック浄化処理を経てから Web アプリケーションのフィルタリングを受けてから、最終的にオリジンサーバーに到達します。

本トピックでは、ウェブサイトサービスを保護するために、Anti-DDoS Pro または Anti-DDoS Premium と WAF を連携させる手順について説明します。

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

仕組み

トラフィックは、オリジンサーバーに到達する前に、以下の 3 つのレイヤーを通過します。

レイヤーサービス役割
IngressAnti-DDoS Pro または Anti-DDoS Premiumボリューム型 DDoS 攻撃をスクラビングします
IntermediateWAFWeb アプリケーション攻撃のフィルタリング
BackendECS、SLB、VPC、またはオンプレミスサーバーオリジンサーバー — クリーンなトラフィックのみを受信
image
このアーキテクチャでは、リクエストはオリジンサーバーに到達する前に複数のプロキシサーバーを経由します。そのため、オリジンサーバーは送信元 IP アドレスを直接取得できません。詳細については、「リクエストの送信元 IP アドレスの取得方法」をご参照ください。

設定を完了するには、以下の手順を順に実行してください。

  1. ウェブサイトサービスを WAF に追加し、WAF から割り当てられた CNAME を取得します。

  2. ウェブサイトサービスを Anti-DDoS Pro または Anti-DDoS Premium に追加し、その際のオリジンサーバーのアドレスとして、ステップ 1 で取得した WAF の CNAME を指定します。

  3. ドメイン名の DNS レコードを更新し、Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた CNAME を指すように設定します。

ステップ 1:ウェブサイトサービスを WAF に追加

  1. WAF 3.0 コンソール にログインします。上部のナビゲーションバーから、WAF インスタンスがデプロイされているリソースグループおよびリージョン(中国本土 または 中国本土以外)を選択します。

  2. 左側のナビゲーションウィンドウで、アセットセンター > ウェブサイトアクセス を選択します。

  3. ドメイン タブで、ウェブサイトアクセス をクリックします。

  4. 以下のいずれかのアクセスモードを使用してドメイン名を追加します。

    オプション A:CNAME レコードモード(デフォルト)

    ドメイン名の追加 ページでは、デフォルトで CNAME レコード モードが選択されています。アクセスモード の設定は変更せずにそのまま使用します。

    1. ウェブサイト情報の入力 ステップで、以下のパラメーターを設定します。

      パラメーター説明
      ドメイン名保護対象のウェブサイトのドメイン名です。
      保護リソース使用する保護リソースの種類です。
      プロトコルの種類ウェブサイトがサポートするプロトコルです。
      宛先サーバー(IP アドレス)IP を選択し、オリジンサーバーをホストする SLB インスタンスまたは ECS インスタンスのパブリック IP アドレス、または Alibaba Cloud 上にデプロイされていないオリジンサーバーの IP アドレスを入力します。
      宛先サーバーポートプロトコルの種類 に基づくオリジンサーバーのポートです。
      ロードバランシングアルゴリズムオリジンサーバーに複数の IP アドレスが指定された場合のトラフィック配分に使用されるアルゴリズムです。
      WAF の前にレイヤー 7 プロキシ(DDoS 攻撃防御/CDN など)が存在しますか?はい を選択します。
      トラフィックマーカーの有効化WAF トラフィックマーカー機能を有効にするかどうかを指定します。
      リソースグループドメイン名が属するリソースグループです。
    2. 次へ をクリックします。

    3. ドメイン タブで、追加したドメイン名を見つけ、ドメイン名/CNAME 列から WAF によって割り当てられた CNAME をコピーします。この CNAME はステップ 2 で使用します。

      WAF侧CNAME_cn

    オプション B:透過型プロキシモード

    1. ドメイン名の追加 ページで、アクセスモード透過型プロキシモード に設定します。

    2. 以下のパラメーターを設定します。

      パラメーター説明
      ドメイン名保護対象のウェブサイトのドメイン名です。
      SLB ベースのドメインレイヤー 7 SLB ベースのドメインレイヤー 4 SLB ベースのドメイン、または ECS ベースのドメイン対応するタブから保護対象のインスタンスを検索し、ポートを選択します。
      レイヤー 7 プロキシ(DDoS 保護/CDN など)が WAF の前に存在するかはい を選択します。
      トラフィックマーカーの有効化WAF トラフィックマーカー機能を有効にするかどうかを指定します。
      リソースグループドメイン名が属するリソースグループです。
    3. 次へ をクリックします。

    4. 追加情報の確認と確定 ステップで情報を確認し、次へ をクリックします。

    5. 完了しました。ウェブサイト一覧に戻る をクリックします。

    透過型プロキシモードでは、WAF は CNAME を割り当てません。ステップ 2 では、代わりにオリジンサーバーのパブリック IP アドレスを使用します。

ステップ 2:ウェブサイトサービスを Anti-DDoS Pro または Anti-DDoS Premium に追加

  1. Anti-DDoS Pro コンソール にログインします。

  2. 上部のナビゲーションバーで、インスタンスタイプに対応するリージョンを選択します。

    • Anti-DDoS Pro の場合:中国本土 を選択します。

    • Anti-DDoS Premium の場合:中国本土以外 を選択します。

  3. 左側のナビゲーションウィンドウで、プロビジョニング > Web サイト設定 を選択します。

  4. Web サイト設定 ページで、ドメインの追加 をクリックします。

  5. ウェブサイト情報の入力 ステップで、以下のパラメーターを設定します。

    パラメーター説明
    機能プラン使用するインスタンスのプランです。
    インスタンス使用する Anti-DDoS Pro または Anti-DDoS Premium インスタンスです。
    ドメイン保護対象のウェブサイトのドメイン名です。
    プロトコルウェブサイトがサポートするプロトコルです。
    OCSP の有効化Online Certificate Status Protocol (OCSP) 機能を有効にするかどうかを指定します。
    サーバー IPCNAME レコードモードでドメイン名を追加した場合は、オリジンサーバードメイン を選択し、ステップ 1 で取得した WAF の CNAME を入力します。透過型プロキシモードで追加した場合は、オリジンサーバー IP を選択し、オリジンサーバーのパブリック IP アドレスを入力します。
    サーバーポートプロトコル に基づくオリジンサーバーのポートです。
    CNAME 再利用複数のウェブサイトサービスが同じオリジンサーバーを共有する場合、Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた単一の CNAME にすべてのドメイン名をマップするために、CNAME 再利用を有効化します。
  6. 追加 をクリックします。

  7. Web サイト設定 ページで、追加したドメイン名を見つけ、ドメイン 列から Anti-DDoS Pro または Anti-DDoS Premium から割り当てられた CNAME をコピーします。この CNAME はステップ 3 で使用します。

    复制高防CNAME

ステップ 3:DNS レコードの更新

ドメイン名をステップ 2 で取得した Anti-DDoS の CNAME にポイントします。以下の手順は Alibaba Cloud DNS を対象としています。サードパーティ製の DNS プロバイダーをご利用の場合は、当該プロバイダーのコンソールにログインし、同等の変更を行ってください。

  1. Alibaba Cloud DNS コンソール にログインします。

  2. DNS の管理 ページで、ドメイン名を見つけ、操作 列の 設定 をクリックします。

  3. DNS 設定項目 ページで、更新対象の DNS レコードを見つけ、操作 列の 編集 をクリックします。

    レコードが存在しない場合は、レコードの追加 をクリックして新規作成します。
  4. レコードの編集(または レコードの追加)パネルで、タイプCNAME - 正式名称 に設定し、 をステップ 2 で取得した CNAME に設定します。

  5. OK をクリックし、変更が有効になるまで待ちます。

  6. ブラウザを開き、ウェブサイトにアクセスできることを確認します。

応答が遅い、レイテンシーが高い、またはアクセスに失敗するなどの問題が発生した場合は、「Anti-DDoS Pro または Anti-DDoS Premium インスタンスで保護されたサービスにおいて、応答が遅い、レイテンシーが高い、またはアクセスに失敗するという問題を解決するには?」をご参照ください。

次のステップ

トラフィックが Anti-DDoS Pro または Anti-DDoS Premium および WAF を経由した後、以下の点を検討してください。

参考情報