WAF を使用した HTTP フラッド攻撃からの ECS インスタンスの保護 - Web Application Firewall

Web Application Firewall (WAF) は、悪意のあるトラフィック、DDoS 攻撃、自動化された脅威を、ご利用の Web アプリケーションに到達する前にブロックします。このガイドでは、ECS インスタンスを WAF にオンボーディングし、HTTP フラッド攻撃対策を構成する方法を説明します。

適用範囲

ECS インスタンスがパブリック IP アドレス経由でアクセス可能な Web サービスをホストしていること。
ECS インスタンスが以下のいずれかのリージョンにあること：
- 中国リージョン：中国 (成都)、中国 (北京)、中国 (張家口)、中国 (杭州)、中国 (上海)、中国 (深セン)、中国 (青島)、中国 (香港)
- グローバルリージョン：マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、シンガポール
ご利用の ECS インスタンスがサポート対象外のリージョンにある場合は、CNAME アクセスをご利用ください。

ステップ 1：従量課金の WAF インスタンスを有効化する

Web Application Firewall 3.0 (従量課金) 購入ページに移動します。

プロダクトタイプをWeb Application Firewall 3.0に、Billing Methodを従量課金に設定します。その後、以下の設定を行います。

パラメーター	説明
Region	WAF インスタンスのリージョンです。ご利用の ECS インスタンスと同じリージョンに設定してください。選択肢：中国本土中国本土以外
Version	デフォルトで従量課金版 3.0 が選択されます。追加の設定は不要です。
トラフィック課金保護のしきい値	デフォルト値のままにしてください。後から変更することも可能です。
Service-Linked Role	WAF は、トラフィックのアクセス制御やモニタリング分析などのサービスを提供するために、ご利用のクラウドサービスリソースへのアクセス権限が必要です。Create Service-Linked Roleをクリックすると、システムが自動的に AliyunServiceRoleForWaf ロールを作成します。このロールを手動で変更しないでください。

今すぐ購入をクリックして、支払いを完了します。

ステップ 2：ECS インスタンスを WAF にオンボーディングする

Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーでリソースグループとリージョン（中国本土 または 中国本土以外）を選択します。左側のナビゲーションウィンドウで アクセス管理 をクリックし、クラウドプロダクトアクセス タブを選択します。クラウドプロダクトタイプの一覧から、Elastic Compute Service (ECS) を選択します。
対象の ECS インスタンスを見つけ、操作列の 今すぐアクセスする をクリックします。一覧に表示されない場合は、右上隅の 資産の同期 をクリックしてください。

Web サイトのプロトコルとポートを構成します。

インスタンスとポートの選択 セクションで、操作列の ポートの追加 をクリックします。

ポートの追加 ダイアログボックスで、ポートとプロトコルを構成します。

Web サイトの種類	プロトコル	ポート	追加構成
HTTP (`http://yourdomain.com`)	HTTP	80	なし
HTTPS (`https://yourdomain.com`)	HTTPS	443	SSL 証明書のアップロードまたは既存証明書の選択
カスタムポート (`http://yourdomain.com:8080`)	HTTP/HTTPS	カスタムポート	実際の構成に合わせる

SSL 証明書のアップロードまたは既存証明書の選択

Port フィールドに、Web サイトが使用するポート番号を入力します。
プロトコルタイプ セクションで、HTTPS を選択します。
HTTP2、TLS バージョン、暗号スイート、および 拡張証明書 の設定はデフォルトのままにしてください。
デフォルト証明書 セクションで、証明書のアップロード方法を選択します。
- 手動アップロード：Alibaba Cloud 外で管理されている証明書用の Certificate Management Service (Original SSL Certificate)。
- 既存の証明書を選択：Alibaba Cloud の Certificate Management Service (Original SSL Certificate) で発行済みまたはアップロード済みの証明書用。

手動アップロード

証明書名：証明書に一意の名前を入力します。既存の証明書と同じ名前は使用できません。
証明書ファイル：テキストエディターで証明書ファイルを開き、証明書の内容を貼り付けます。証明書は PEM、CER、または CRT 形式である必要があります。
例の形式：-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----
- 形式の変換：証明書が PFX や P7B などの形式の場合、証明書ツールを使用して PEM 形式に変換してください。
- 証明書チェーン：中間証明書が含まれている場合、サーバー証明書を先に貼り付け、その後に中間証明書を貼り付けてください。
秘密鍵ファイル：テキストエディターで秘密鍵ファイルを開き、秘密鍵の内容を貼り付けます。秘密鍵は PEM 形式である必要があります。
例の形式：-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

既存の証明書を選択

証明書のドロップダウンリストから、WAF にアップロードする証明書を選択します。

説明

WAF コンソールに「証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります」というメッセージが表示される場合、証明書チェーンが不完全です。証明書の内容が正しいかつ完全であることを確認し、Certificate Management Service コンソールで再度アップロードしてください。詳細については、「SSL 証明書のアップロード、同期、共有」をご参照ください。

その他の設定はデフォルト値のままにして、OK をクリックします。
オンボーディングが完了すると、ECS インスタンスの保護ステータスが 完全保護 に変わります。WAF は自動的に インスタンス ID-ポート-アセットタイプ 形式の保護対象を作成します。デフォルトで、この保護対象に対して標準的な保護ルール（Web コア保護 など）が有効になります。保護構成 > 保護対象 ページで、この保護対象を表示および管理できます。
基本保護の検証：ご利用の Web サイト URL に攻撃文字列を追加します（例：http://yourdomain/alert(xss)）。WAF の 405 ブロックページが表示された場合、保護が有効になっています。

ステップ 3：HTTP フラッド攻撃対策を構成する

HTTP フラッド攻撃は、高頻度のリクエストでサーバーを圧倒します。以下の手順で保護ルールを構成します。

左側のナビゲーションウィンドウで、保護構成 > Web コア保護 を選択します。
ページ下部の CC 保護 セクションで、テンプレートの作成 をクリックします。

テンプレートの作成 パネルで、以下の構成を完了します。

パラメーター	説明
テンプレート名	テンプレートにわかりやすい名前を入力します（例：`ECS-HTTP-Flood-Protection`）。
デフォルトテンプレート	オフのままにしてください。
Defense Mode	Normal Mode：顕著な異常特徴を持つリクエストのみをブロックし、偽陽性率が低くなります。日常的なビジネス運用やトラフィックが安定しているシナリオに適しています。 Strict Mode：高強度の検出アルゴリズムを使用して HTTP フラッド攻撃を効果的にブロックしますが、誤検知のリスクが高くなります。通常モードで対応できず、応答遅延やリソース（CPU/メモリ）の異常な負荷が発生している場合にのみ有効にしてください。説明 Strict Mode は Web（H5 を含む）サービスにのみ適用されます。API エンドポイントやネイティブアプリには使用しないでください。過剰な誤検知によるブロックを回避できます。
Action	保護ルールに一致したリクエストに対して実行する操作を定義し、JS チャレンジを選択します。
有効対象	選択待ちの対象セクションで、ECS インスタンスに対応する保護対象を選択します。アイコンをクリックして、右側の選択済みセクションに移動させます。

OK をクリックします。

ステップ 4：攻撃トラフィックを監視する

構成が完了したら、左側のナビゲーションウィンドウから概要ページに移動します。このページでは、Protection Overview や Top 10 Attacks など、ビジネスセキュリティ分析に役立つ情報を確認できます。

次のステップ：

WAF の継続利用（推奨）：高度な最適化に進みます。
WAF の利用停止：リソースの解放に進んで課金を停止します。

高度な最適化：保護の強化とコストの制御

このガイドで提供された構成に基づき、WAF の利用を継続する場合、以下のように設定をさらに調整することで、特定のビジネス特性に合わせた対応が可能になり、セキュリティ体制の強化とコスト削減を実現できます。

マルチモジュール連携保護：このトピックでは HTTP フラッド攻撃対策モジュールの有効化方法を説明しましたが、以下の保護モジュールと組み合わせて連携防御を行うこともできます。
- カスタムルール：柔軟なマッチ条件とルール操作により、特定の攻撃パターンに対して精密保護を実現します。たとえば、頻度制御ルールを構成してアクセスを制限できます。
- ホワイトリスト：信頼できる IP アドレスからのリクエストなど、指定された条件を満たすリクエストを許可します。
- IP ブラックリスト：既知の悪意ある IP アドレスからのアクセスをブロックします。
- ジオブロッキング：特定の地理的リージョンからのリクエストをワンクリックでブロックします。たとえば、ビジネスが中国本土のユーザーのみを対象としており、他国の攻撃が多数検出される場合は、この機能を有効にできます。
高度なオンボーディング構成：WAF は複数の方法でリソースにアクセスできます。必要に応じて方法を選択してください。
- クラウドネイティブモードでの ECS インスタンスのオンボーディング：クラウドプロダクトインスタンスを迅速に追加できます。TLS バージョン、暗号スイート、複数の証明書を構成する場合は、「セキュリティ保護の強化 (HTTPS)」をご参照ください。CDN など、WAF の前面にレイヤー 7 プロキシを構成する場合や、トラフィックマークを構成する場合は、「実際のクライアント情報の取得」をご参照ください。
- CNAME アクセス：ドメイン名を使用してリソースを追加します。この方法は適用範囲が広く、制限が少なく、より多くの機能をサポートしています。
コスト最適化の提案：
- トラフィック課金保護：大規模攻撃時の QPS 急増による高額なコストを防ぐため、トラフィック課金保護しきい値を設定して、WAF が処理できるピーク QPS を制限できます。
- SeCU リソースプラン：従量課金 WAF 向けのコスト効率に優れたソリューションです。従量課金 WAF インスタンスを有効化した後、SeCU リソースプランを購入して、従量課金 WAF の総費用を相殺できます。
- サブスクリプション WAF：WAF を長期的に利用する予定がある場合は、サブスクリプション WAF インスタンスを購入することで、より良い単位価格で利用できます。

課金を停止するためのリソースの解放

このクイックスタート完了後、WAF インスタンスが不要になった場合は、以下の手順に従って WAF を無効化し、課金を停止してください。

警告

課金に関する注意事項：従量課金 WAF は、リクエスト処理および機能（WAF インスタンス自体を含む）に対して課金されます。WAF を有効化した後は、リソースを追加しているかどうかに関係なく料金が発生します。WAF の利用が不要になった場合は、速やかに WAF インスタンスを無効化して、これ以上の課金を防止してください。
CNAME アクセスに関する注意事項：このトピックで説明したクラウドネイティブモードのみを使用した場合は、この注意事項を無視してください。CNAME アクセスを構成している場合は、WAF インスタンスを終了する前に、関連する Web サイトドメイン名の DNS レコードをオリジンサーバーに戻すことを確認してください。

左側のナビゲーションウィンドウで概要ページに移動します。上部のメニューバーで、WAF インスタンスのリソースグループとリージョン（中国本土 または 中国本土以外）を選択します。
以下のページが表示された場合は、右上隅の コンソールへのアクセス をクリックします。このページが表示されない場合は、この手順をスキップしてください。
ページ右側のセクションで、WAF サービスの終了 をクリックします。表示されるダイアログボックスで、該当するチェックボックスをオンにして、OK をクリックします。