WAFにWebサイトを追加する

を使用してwebサービスを保護する前に、webサイトをWAFに追加する必要があります。このトピックでは、WebサイトをWAFに追加する方法について説明します。

CNAMEレコードモードまたは透過プロキシモードでWebサイトを追加できます。

CNAMEレコードモード
WAFコンソールでWebサイトのドメイン名を追加した後、DNSレコードを変更して、Webサイト宛てのリクエストをWAFにリダイレクトする必要があります。次に、WAFはリクエストをフィルタリングし、通常のリクエストをドメイン名のオリジンサーバーに転送します。 Webサイトを手動で追加するか、Webサイトを自動的に追加するようにWAFを設定できます。
CNAMEレコードモードでWebサイトをWAFに追加するには、次の操作を実行します。
1. Web サイトの設定: WebサイトをWAFに手動で追加するか、Webサイトを自動的に追加するようにWAFを設定できます。
  重要
  
  WebサイトでHTTPSを使用している場合、WAFコンソールで有効なHTTPS証明書をアップロードして、WAFが期待どおりにHTTPSリクエストを処理するようにする必要があります。詳細については、「Web サイトの設定」をご参照ください。
  
  オリジンサーバーがHTTPポート80とHTTPSポート443以外のポートを使用している場合は、ポートを指定して、ポートがWAFでサポートされているポート範囲内にあるかどうかを確認できます。詳細については、「サポート対象の非標準ポート」をご参照ください。
2. WAF back-to-origin CIDR ブロックの更新: WAFは、指定されたback-to-origin CIDRブロックを使用して、通常のリクエストをオリジンサーバーに転送します。 back-To-origin CIDRブロックからのインバウンドトラフィックを許可するには、WebサイトをWAFに追加するときに、オリジンサーバーでセキュリティソフトウェアまたはアクセス制御ポリシーを構成する必要があります。
3. ローカルコンピューターでのリダイレクトチェックの実行: ドメイン名がWAFに追加された後、ステージング環境を設定し、リクエストを転送するためのドメイン名設定が有効かどうかを確認する必要があります。設定が有効になる前にDNSレコードを変更しないことを推奨します。そうでない場合、アクセス失敗が発生する可能性があります。
4. WAF デプロイメントガイド: ドメイン名の設定が確認されたら、DNSレコードを手動で変更して、Webサイト宛てのリクエストをWAFにリダイレクトする必要があります。
透明プロキシモード
DNSレコードを変更せずに、透過プロキシモードでWebサイトをWAFに追加できます。 Webサイトのドメイン名をWAFに追加すると、オリジンサーバー宛てのHTTPまたはHTTPSリクエストがWAFにリダイレクトされ、WAFは通常のリクエストをフィルター処理してオリジンサーバーに転送します。詳細については、「Add a website in transparent proxy mode」をご参照ください。

Webサイトを追加すると、WAFはWebサイト宛てのリクエストをフィルタリングし、通常のリクエストを配信元サーバーに転送します。 WAFは、さまざまな種類の攻撃からWebサイトを保護する複数の機能を提供します。デフォルトでは、保護ルールエンジンとHTTPフラッド保護機能のみが有効になっています。保護ルールエンジン機能は、SQLインジェクション、クロスサイトスクリプティング (XSS) 攻撃、webshellアップロードなどの一般的なweb攻撃からwebサイトを保護します。 HTTPフラッド保護機能は、HTTPフラッド攻撃からWebサイトを保護します。他の機能を使用するには、手動で機能を有効にし、保護ルールを設定する必要があります。詳細については、「Webサイト保護機能の概要」をご参照ください。

ベストプラクティス

配信元サーバーの保護: オリジンサーバーがElastic Compute Service (ECS) インスタンスであるか、server Load Balancer (SLB) インスタンスに追加されている場合、ECSまたはSLBインスタンスのセキュリティグループポリシーを設定して、WAFからオリジンサーバーへのインバウンドトラフィックのみを許可できます。これにより、攻撃者はWAFをバイパスしてオリジンサーバーを攻撃することはできません。
来訪者の送信元 IP アドレスの取得: WAFを設定すると、Webサイト宛てのすべてのリクエストがWAFに転送され、WAFは通常のリクエストをフィルタリングして配信元サーバーに転送します。オリジンサーバーは、X-Forwarded-Forヘッダーを使用して、これらのリクエストの発信IPアドレスを取得できます。

WAFへのクラウドサービスの追加

Protect a website service by using both Anti-DDoS Pro or Anti-DDoS Premium and WAF: Anti-DDoS ProまたはAnti-DDoS PremiumとWAFを順番にデプロイして、webアプリケーション攻撃やDDoS攻撃からwebサイトを保護できます。
WAF と CDN の同時デプロイ: Alibaba Cloud CDNとWAFを順番にデプロイして、webアプリケーション攻撃からwebサイトを保護し、webサイトへのアクセスを高速化できます。