Web Application Firewall(WAF)は、トラフィックがオリジンサーバーに到達する前に Web トラフィックを検査します。保護機能を有効化するには、ドメイン名を構成し、トラフィックを WAF 経由でルーティングすることで、ご利用のウェブサイトを WAF に追加してください。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
アクティブな WAF インスタンス
保護対象のウェブサイトのドメイン名
オリジンサーバーのパブリック IP アドレスまたはドメイン名(CNAME)
オリジンサーバーで使用するプロトコルおよびポート(HTTP ポート 80、HTTPS ポート 443、またはカスタムポート)
オンボーディング方式の選択
WAF では、2 種類のオンボーディング方式をサポートしています。オリジンサーバーのインフラストラクチャに応じて、適切な方式を選択してください。
| CNAME レコード | 透過型プロキシモード | |
|---|---|---|
| 仕組み | ドメイン名を WAF に追加した後、DNS レコードを更新してトラフィックを WAF に向けます。 | ドメイン名を WAF に追加します。WAF はネットワークレベルでトラフィックをインターセプトするため、DNS の変更は不要です。 |
| 対応するオリジンサーバー | Alibaba Cloud 上およびその他の環境にあるすべてのオリジンサーバー。 | ECS インスタンスおよびインターネット向け SLB インスタンスのみ。 |
| 1 回の操作で登録可能なドメイン数 | 1 回につき 1 ドメイン。 | インスタンスに属するすべてのドメインを一括して。 |
| DNS レコードの変更が必要です | はい | いいえ |
| バックツーオリジン設定が必須 | はい | いいえ |
| オリジンサーバー保護必須 | はい — 直接アクセスをブロックするためのアクセス制御ポリシーを設定してください。 | いいえ |
透過型プロキシモードの制限事項:
イントラネット SLB インスタンスをサポートしません。
IPv6 をサポートしません。
構成可能なトラフィックリダイレクションポートの数に制限があります。
変更できないデフォルトの保護設定が適用されます。ドメインレベルの保護ルールを編集するには、まずドメイン名を追加する必要があります。
詳細については、「透過型プロキシモード」をご参照ください。
HTTP 1.0、HTTP 1.1、HTTP 2.0 がデフォルトでサポートされています。ウェブサイトで HTTP 2.0 を使用している場合は、HTTP2 スイッチを有効化して、WAF の保護対象を HTTP 2.0 トラフィックまで拡張してください。
CNAME レコードを使用したウェブサイトの追加
この方法は、すべてのタイプのオリジンサーバーに適用可能です。ドメインを追加した後、DNS レコードを更新してトラフィックを WAF 経由でルーティングします。
概要手順:
ドメイン名を追加し、back-to-origin 設定を構成する
(DNS を変更する前に)ローカルで設定を検証する
DNS レコードを更新する
WAF による保護が有効になっていることを確認する
ステップ 1:ドメイン名の追加
WAF コンソールの「ドメイン名の追加」ページへ移動します。
以下の構成項目を入力します。
設定項目 説明 ドメイン名 保護対象のドメイン名。 保護リソース 保護リソースの種類を選択します。 プロトコルの種類 ウェブサイトがサポートするプロトコルを選択します。オプション: HTTPS への強制リダイレクトを有効化、back-to-origin トラフィックに対する HTTP の有効化、オリジン SNI の有効化。 宛先サーバーポート オリジンサーバーのポート番号。デフォルト:HTTP ポート 80 または HTTPS ポート 443。オリジンサーバーで標準外のポートを使用している場合は、WAF がサポートするポートの範囲内でカスタム値を入力してください。 オリジンサーバーアドレス WAF がリクエストを転送するアドレス。パブリック IP アドレス(SLB インスタンス、ECS インスタンス、または Alibaba Cloud 外のサーバー)の場合は IP を、CNAME を使用した back-to-origin アドレスの場合は ドメイン名 を選択します。back-to-origin 用のドメイン名は、保護対象のドメイン名と同じにはできません。back-to-origin トラフィックでは IPv4 のみがサポートされます。 負荷分散アルゴリズム 複数のオリジンサーバーアドレスを指定する場合、負荷分散アルゴリズムを選択します。 WAF の前に Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシが配置されているか WAF の前に Anti-DDoS Proxy、CDN、またはその他のレイヤー 7 プロキシが配置されている場合は、はい を選択します。 トラフィックマーク機能の有効化 トラフィックマーク機能を有効化するかどうかを指定します。 保存 をクリックします。構成オプションの全リストについては、「ドメイン名の追加」をご参照ください。
ステップ 2:ローカルでの設定検証
DNS レコードを更新する前に、WAF の構成が正しく設定されていることを確認し、サービス中断を回避してください。「ローカル検証」をご参照ください。
ステップ 3:DNS レコードの更新
トラフィックを WAF 経由でルーティングするために DNS レコードを更新します。以下の手順では、Alibaba Cloud DNS を例として示します。
WAF の CNAME アドレスを取得します。「WAF の CNAME アドレスの取得」をご参照ください。
Alibaba Cloud DNS コンソールの「ドメイン名解決」ページへ移動します。ご自身のドメイン名を検索し、操作 列の DNS 設定 をクリックして、CNAME レコードを WAF の CNAME アドレスに更新します。
その他の DNS プロバイダーについては、「ドメイン名の DNS レコードの変更」をご参照ください。
ステップ 4:WAF による保護の有効化確認
トラフィックが WAF 経由で流れていることを確認します。「ステップ 6:ドメイン名の設定確認」をご参照ください。
設定後の構成
ドメインを追加した後、完全な保護を実現するために、以下の手順を完了してください。
HTTPS 証明書のアップロード — ウェブサイトで HTTPS を使用する場合に必須です。有効な証明書がないと、WAF は HTTPS トラフィックを処理できません。「ドメイン名の追加」をご参照ください。
WAF の back-to-origin CIDR ブロックのホワイトリスト登録 — WAF は特定の IP 範囲からオリジンサーバーへトラフィックを転送します。これらの範囲をオリジンサーバーの許可リストに追加し、セキュリティソフトウェアが WAF のトラフィックをブロックしないようにしてください。「WAF の back-to-origin IP アドレス CIDR ブロックのホワイトリスト登録」をご参照ください。
オリジンサーバーの保護 — アクセス制御ポリシーをオリジンサーバーに構成し、WAF の back-to-origin CIDR ブロックからのみインバウンドトラフィックを受け入れるように設定します。これにより、攻撃者が WAF をバイパスして直接オリジンサーバーを標的にすることを防ぎます。「オリジンサーバーの保護構成」をご参照ください。
カスタム TLS 設定の構成 — 必要に応じて、ドメイン名の TLS プロトコルバージョンおよび暗号スイートをカスタマイズできます。「カスタム TLS 設定の構成」をご参照ください。
透過型プロキシモードを使用したウェブサイトの追加
この方法では DNS の変更は不要です。WAF は ECS インスタンスまたは SLB インスタンスの構成に基づき、ネットワークレベルでトラフィックをインターセプトします。
ステップ 1:ドメイン名の追加
WAF コンソールの「ドメイン名の追加」ページへ移動します。接続タイプ を 透過型プロキシモード に設定します。
以下の構成項目を入力します。
設定項目 説明 ドメイン名 ウェブサイトのドメイン名。 SLB 基盤のドメイン / レイヤー 7 SLB 基盤のドメイン / レイヤー 4 SLB 基盤のドメイン / ECS 基盤のドメイン インスタンスタイプおよびサービスポートを選択します。対応するタイプ: ALB、レイヤー 7 SLB、レイヤー 4 SLB、ECS。 WAF の前に Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシが配置されているか WAF の前に Anti-DDoS Pro/Premium、CDN、またはその他のレイヤー 7 プロキシが配置されている場合は、はい を選択します。 トラフィックマーク機能の有効化 トラフィックマーク機能を有効化するかどうかを指定します。 保存 をクリックします。詳細については、「透過型プロキシモード」をご参照ください。
ステップ 2:WAF による保護の有効化確認
トラフィックが WAF 経由で流れていることを確認します。「ステップ 6:ドメイン名の設定確認」をご参照ください。
次のステップ
ご利用のウェブサイトは、現在 WAF によって保護されています。デフォルトで有効化される保護モジュールは以下の 2 つです。
Web 攻撃防止 - 保護ルールエンジン:SQL インジェクション、クロスサイトスクリプティング(XSS)、Web シェルのアップロードなど、一般的な Web 攻撃をブロックします。
アクセス制御/レート制限 - HTTP フラッド攻撃防止:HTTP フラッド攻撃に対する防御機能です。
保護範囲を拡大するには、追加のモジュールを有効化し、ルールを構成してください。「ウェブサイト保護構成の概要」をご参照ください。
DDoS 攻撃への対策
オリジンサーバーの前に Anti-DDoS Proxy と WAF を併用して展開することで、Web アプリケーション攻撃およびボリューム型 DDoS 攻撃の両方から保護できます。「Anti-DDoS Proxy と WAF の連携展開によるウェブサイト保護の強化」をご参照ください。
WAF 保護付きコンテンツ配信の高速化
CDN と WAF を併用して展開することで、コンテンツ配信の高速化と Web アプリケーションのセキュリティを両立できます。「コンテンツ配信の高速化が有効なドメイン名に対して WAF 保護を提供するための WAF および CDN の展開」をご参照ください。