Web Application Firewall (WAF) を使用して Web サービスを保護する前に、Web サイトを WAF に追加する必要があります。このトピックでは、Web サイトを WAF に追加する方法について説明します。
オンボーディングタイプ
WAF は、CNAME レコードと透明なプロキシモードの 2 つのオンボーディングタイプをサポートしています。HTTP 1.0、HTTP 1.1、および HTTP 2.0 はデフォルトでサポートされています。必要に応じてオンボーディングタイプを選択できます。
Web サイトが HTTP 2.0 プロトコルをサポートしている場合は、[HTTP2] スイッチを有効にして HTTP 2.0 サービスを保護します。
相違点 | CNAME レコード | 透明なプロキシ |
概念 | 保護する Web サイトに関する情報を WAF に追加し、ドメイン名の DNS レコードを変更します。これにより、オリジンサーバーからの Web リクエストが保護のために WAF に転送されます。 | 保護する Web サイトに関する情報を WAF に追加します。ドメイン名の DNS レコードを変更する必要はありません。オリジンサーバーからの Web リクエストは保護のために WAF に転送されます。 |
サポートされているオリジンサーバー | Alibaba Cloud 内外にデプロイされているすべてのオリジンサーバー。 | ECS インスタンスまたはインターネット向け SLB インスタンスにデプロイされているオリジンサーバー。 |
オンボーディングの範囲 | 一度に追加できるドメイン名は 1 つだけです。 | インスタンスに属するすべてのドメイン名を追加できます。 |
back-to-origin 設定が必要 | はい | いいえ |
DNS レコードの変更が必要 | はい。DNS レコードを変更する必要があります。 | いいえ。DNS レコードを変更する必要はありません。 |
オリジンサーバーの保護が必要 | はい。オリジンサーバーは直接攻撃のリスクにさらされています。オリジンサーバーの保護を設定します。 | いいえ。オリジンサーバーの保護を設定する必要はありません。 |
制限 | なし。 |
透明なプロキシモードの制限の詳細については、「透明なプロキシモード」をご参照ください。 |
CNAME レコード
[ドメイン名の追加] ページに移動します。
ドメイン名を追加します。ドメイン名などの Web サイトに関する情報を WAF に追加し、back-to-origin 設定を構成します。
設定項目
説明
ドメイン名
保護する Web サイトのドメイン名を入力します。
保護リソース
必要に応じて使用する保護リソースのタイプを選択します。
プロトコルタイプ
必要に応じて、Web サイトがサポートするプロトコルタイプを選択します。[HTTPS への強制リダイレクトを有効化]、[back-to-origin トラフィックに HTTP を有効化]、および [オリジン SNI を有効化] を選択できます。
宛先サーバーポート
選択した [プロトコルタイプ] に基づいて、必要に応じてオリジンサーバーがサービスの提供に使用するポートを設定します。
重要オリジンサーバーが HTTP ポート 80 または HTTPS ポート 443 以外のポートを使用している場合は、WAF がサポートするポートの範囲内でカスタムサーバーポートを指定します。詳細については、「WAF がサポートするポート」をご参照ください。
オリジンサーバーアドレス
WAF がリクエストを転送するオリジンサーバーのアドレスを設定します。次のオプションがサポートされています。
IP: SLB インスタンスまたは ECS インスタンスのパブリック IP アドレス、または Alibaba Cloud にデプロイされていないデータセンター内のサーバーの IP アドレス。
ドメイン名 (CNAME など): オリジンサーバーの back-to-origin ドメイン名は、保護する Web サイトのドメイン名と同じにすることはできません。back-to-origin トラフィックでは IPv4 のみがサポートされます。
負荷分散アルゴリズム
複数のオリジンサーバーアドレスを指定する場合は、必要に応じてサーバーの負荷分散アルゴリズムを選択します。
WAF の前に Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか
Web サイトを WAF に追加する前に、Anti-DDoS Proxy や CDN などの別のレイヤー 7 プロキシサービスが Web サイトで有効になっているかどうかを指定します。
トラフィックマークを有効化
トラフィックマーク機能を有効にするかどうかを指定します。
詳細については、「ドメイン名の追加」をご参照ください。
WAF でドメイン名設定を確認します。サービスの中断を防ぐため、転送設定が有効になる前にドメイン名の DNS レコードを変更しないでください。詳細については、「ローカル検証」をご参照ください。
ドメイン名の DNS レコードを変更して、Web サイトのトラフィックを保護のために WAF にリダイレクトします。
次の手順では、Alibaba Cloud DNS を例として使用して DNS レコードを変更する方法について説明します。
WAF から CNAME アドレスまたは IP アドレスを取得します。詳細については、「WAF の CNAME アドレスの取得」をご参照ください。
Alibaba Cloud DNS コンソールの [ドメイン名解決] ページに移動します。管理するドメイン名を見つけ、[アクション] 列の [DNS 設定] をクリックします。CNAME レコードを WAF によって提供される CNAME アドレスに変更します。
詳細については、「ドメイン名の DNS レコードの変更」をご参照ください。
WAF 保護が有効であることを確認します。詳細については、「ステップ 6」をご参照ください。
これらの手順を完了すると、Web サイトが WAF に追加されます。包括的なセキュリティ保護を実装するには、次の設定を完了します。
HTTPS 証明書のアップロード
Web サイトが HTTPS プロトコルを使用している場合は、ドメイン名を追加した後に有効な HTTPS 証明書をアップロードします。これにより、WAF が HTTPS トラフィックを処理できるようになります。詳細については、「ドメイン名の追加」をご参照ください。
WAF の back-to-origin IP アドレス CIDR ブロックをホワイトリストに登録する
Web サイトを WAF に追加すると、WAF は特定の IP アドレス CIDR ブロックからオリジンサーバーにトラフィックを転送します。オリジンサーバーのセキュリティソフトウェアがこれらの IP アドレスをブロックしないようにするには、WAF の back-to-origin IP アドレス CIDR ブロックをホワイトリストに追加します。詳細については、「WAF の back-to-origin IP アドレス CIDR ブロックをホワイトリストに登録する」をご参照ください。
オリジンサーバーの保護を設定する
セキュリティ上の理由から、WAF の back-to-origin IP アドレス CIDR ブロックからのインバウンドトラフィックのみを許可するようにオリジンサーバーのアクセス制御ポリシーを設定します。これにより、攻撃者が WAF をバイパスしてオリジンサーバーを攻撃するのを防ぎます。詳細については、「オリジンサーバーの保護を設定する」をご参照ください。
カスタム TLS 設定の構成
WAF によって保護されている Web サイトが HTTPS を使用してデータを送信する場合、ドメイン名の TLS プロトコルバージョンと暗号スイートをカスタマイズできます。詳細については、「カスタム TLS 設定の構成」をご参照ください。
透明なプロキシ
WAF コンソールの [ドメイン名の追加] ページに移動します。[接続タイプ] を [透明なプロキシモード] に設定します。
ドメイン名を追加します。
設定項目
説明
ドメイン名
Web サイトのドメイン名を入力します。
SLB ベースのドメイン/レイヤー 7 SLB ベースのドメイン/レイヤー 4 SLB ベースのドメイン/ECS ベースのドメイン
インスタンスタイプとポートを選択します。WAF は、ALB、レイヤー 7 SLB、レイヤー 4 SLB、ECS のインスタンスタイプのサービスポートに対して透明なプロキシモードを有効にすることをサポートしています。
WAF の前に Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか
Web サイトを WAF に追加する前に、Anti-DDoS Pro/Premium や CDN などの別のレイヤー 7 プロキシサービスが Web サイトで有効になっているかどうかを指定します。
トラフィックマークを有効化
トラフィックマーク機能を有効にするかどうかを指定します。
詳細については、「透明なプロキシモード」をご参照ください。
WAF 保護が有効であることを確認します。詳細については、「ステップ 6」をご参照ください。
WAF と他のクラウドサービスの統合
Web サイトを WAF に追加することに加えて、WAF を Anti-DDoS や CDN などの他の Alibaba Cloud サービスと統合して、包括的なセキュリティシステムを構築できます。
Anti-DDoS Proxy と WAF を共同でデプロイして Web サイトの保護を強化する: Web アプリケーション攻撃と DDoS 攻撃の両方から Web サイトを保護するために、オリジンサーバーの前に Anti-DDoS Proxy と WAF をデプロイできます。
WAF と CDN をデプロイして、コンテンツアクセラレーションが有効になっているドメイン名に WAF 保護を提供する: Web アプリケーション攻撃から Web サイトを保護し、CDN を使用してコンテンツ配信を高速化するために、オリジンサーバーの前に CDN と WAF をデプロイできます。
次のステップ
Web サイトを WAF に追加すると、そのトラフィックは保護されます。WAF は、Web サイトがさまざまな種類のセキュリティ脅威から防御するのに役立つ複数の保護モジュールを提供します。[Web 侵入防止 - 保護ルールエンジン] と [アクセス制御/スロットリング - HTTP フラッド保護] はデフォルトで有効になっています。これらは、SQL インジェクション、クロスサイトスクリプティング (XSS)、Web シェルのアップロードなどの一般的な Web アプリケーション攻撃、および HTTP フラッド攻撃から防御するために使用されます。他の保護モジュールを手動で有効にし、特定の保護ルールを設定する必要があります。詳細については、「Web サイト保護設定の概要」をご参照ください。