すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:WAF を使用して ECS インスタンスを CC 攻撃から保護する

    ドキュメントセンター

    Web Application Firewall:WAF を使用して ECS インスタンスを CC 攻撃から保護する

    最終更新日:Nov 19, 2025

    チャレンジコラプサー (CC) 攻撃は DDoS 攻撃の一種で、高同時実行リクエストの連続ストリームを送信して、サーバーの計算リソースやデータベース接続を枯渇させます。これにより、ビジネスレスポンスの遅延やページの読み込み遅延が発生する可能性があります。CC 攻撃の典型的な兆候には、秒間クエリ数 (QPS) の急増や帯域幅使用量の増加などがあります。これらの攻撃からインターネットに公開されている Elastic Compute Service (ECS) インスタンスを保護するために、Web Application Firewall (WAF) 保護を有効にできます。WAF は CC 攻撃を効果的に防御し、ビジネスが円滑に実行されるようにします。

    シナリオ

    • Web サービスが ECS インスタンスにデプロイされ、パブリック IP アドレスを介してリクエストを処理します。

    • ECS インスタンスが次のいずれかのリージョンにあること: 中国 (成都)、中国 (北京)、中国 (張家口)、中国 (杭州)、中国 (上海)、中国 (深圳)、中国 (青島)、中国 (香港)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、またはシンガポール。インスタンスがこれらのリージョンのいずれにもない場合は、CNAME プロビジョニングを使用する必要があります。

    ステップ 1: 従量課金 WAF インスタンスをアクティブ化する

    1. Web Application Firewall 3.0 (従量課金) 購入ページに移動します。

    2. [製品タイプ][Web Application Firewall 3.0] に、[課金方法][従量課金] に設定します。次に、以下の設定を構成します。

      設定項目

      説明

      リージョン

      これは WAF 保護ノードの場所を決定します。Web サイトをホストする ECS インスタンスが中国本土にある場合は、中国本土 を選択します。それ以外の場合は、中国本土以外 を選択します。

      WAF エディション

      デフォルトは [従量課金 3.0] です。設定は不要です。

      トラフィック課金保護のしきい値

      デフォルト値のままにします。後で変更できます。

      サービスリンクロール

      WAF は、トラフィックのアクセスの制御やモニタリング分析などのサービスを提供するために、クラウドリソースにアクセスする必要があります。[サービス関連ロールの作成] をクリックします。システムは自動的に [AliyunServiceRoleForWaf] ロールを作成します。このロールを手動で変更しないでください。

    3. [今すぐ購入] をクリックして、購入を完了します。

    ステップ 2: ECS インスタンスをプロビジョニングする

    1. Web Application Firewall 3.0 コンソールにログインします。トップメニューバーで、リソースグループとリージョン (中国本土または中国本土以外) を選択します。左側のナビゲーションウィンドウで、アクセス管理 をクリックします。クラウドプロダクトアクセス タブをクリックします。左側のクラウド製品タイプリストから、[Elastic Compute Service (ECS)] を選択します。

    2. 右側のリストで、ターゲットの ECS インスタンスを見つけ、[操作] 列の Add Now をクリックします。インスタンスが見つからない場合は、ページの右上隅にある 資産の同期 をクリックします。それでもインスタンスが見つからない場合は、[シナリオ] セクションで指定された要件を満たしていません。image

    3. インスタンスとポートの選択 セクションの 操作 列で、ポートの追加 をクリックします。

    4. ポートの追加 ダイアログボックスで、Web サイトのポートとプロトコルタイプを設定します。

      • 標準 HTTP Web サイト

        Web サイトのアドレスが http://yourdomain.com の場合は、プロトコルタイプ[HTTP] に、[ポート]80 に設定します。

      • 標準 HTTPS Web サイト

        Web サイトのアドレスが https://yourdomain.com の場合は、プロトコルタイプ[HTTPS] に、[ポート]443 に設定します。

      • 非標準ポートの Web サイト

        Web サイトの URL に domain:port の形式でポート番号が含まれている場合は、実際のポート番号を入力します。例:

        • http://yourdomain.com:8080プロトコルタイプ: [HTTP][ポート]: 8080

        • https://yourdomain.com:8443 (プロトコルタイプ: [HTTPS][ポート]: 8443)。

      HTTP Web サイト

      1. [ポート] フィールドに、Web サイトのポートを入力します。

      2. プロトコルタイプ[HTTP] を選択します。

      HTTPS Web サイト

      1. [ポート] フィールドに、Web サイトのポートを入力します。

      2. プロトコルタイプ[HTTPS] に設定します。

      3. [HTTP2]TLS バージョン暗号スイート、および 拡張証明書 はデフォルト設定のままにすることができます。

      4. デフォルト証明書 セクションで、証明書のアップロード方法を選択します:

        • 手動でアップロード: 証明書が Alibaba Cloud Certificate Management Service (Original SSL Certificate) にアップロードされていない場合は、このメソッドを選択します。

        • 既存の証明書を選択: Alibaba Cloud Certificate Management Service (Original SSL Certificate) で発行またはアップロードされた証明書を使用するには、このメソッドを選択します。

          手動でアップロード

          • 証明書名: 証明書の一意の名前を入力します。名前は既存の証明書の名前と同じにすることはできません。

          • 証明書ファイル: テキストエディターで証明書ファイルを開き、PEM、CER、または CRT 形式で証明書の内容を貼り付けます。

            形式の例を次に示します: -----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----

            • 形式の変換: 証明書が PFX や P7B などの形式である場合は、証明書ツールを使用して PEM 形式に変換できます。

            • 証明書チェーン: 中間証明書が含まれている場合は、サーバー証明書、中間証明書の順に内容を貼り付けます。

          • 秘密鍵ファイル: テキストエディターで秘密鍵ファイルを開き、PEM 形式で秘密鍵を貼り付けます。

            形式の例を次に示します: -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----

          既存の証明書を選択

          証明書のドロップダウンリストから、WAF に追加する証明書を選択します。

          説明

          WAF コンソールに「証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります」というメッセージが表示された場合、証明書チェーンは不完全です。Certificate Management Service コンソールで証明書の内容が正しく完全であることを確認し、再度アップロードしてください。詳細については、「SSL 証明書のアップロード、同期、共有」をご参照ください。

    5. 他の設定はデフォルトのままにして、[OK] をクリックします。

    6. (任意) 保護オブジェクトの表示: ECS インスタンスがプロビジョニングされると、WAF は自動的に インスタンス ID-ポート-アセットタイプ という名前の保護オブジェクトを作成します。デフォルトでは、WAF はこのオブジェクトに対して Web コア保護ルールなどの保護ルールを有効にします。保護設定 > 保護対象 ページで保護オブジェクトを表示できます。image

    7. 基本保護の検証: ブラウザで、ECS インスタンスでホストされている Web サイトにアクセスします。URL に http://yourdomain.com/alert(xss) などの Web 攻撃テストコードを追加します。WAF 405 ブロックページが表示された場合、攻撃はインターセプトされ、WAF 保護が有効になっています。

    ステップ 3: HTTP フラッド攻撃保護ルールを設定する

    1. 左側のナビゲーションウィンドウで、保護設定 > Web コア保護 を選択します。

    2. ページの下部にある CC 保護 セクションで、テンプレートの作成 をクリックします。image

    3. [テンプレートの作成 - HTTP フラッド攻撃保護] パネルで、次のパラメーターを設定します。

      設定項目

      説明

      テンプレート名

      識別しやすいテンプレート名を入力します。

      デフォルトテンプレート

      デフォルトの無効状態のままにします。

      アクション

      リクエストがルールにヒットしたときに実行する操作を選択します。オプションは次のとおりです:

      • ブロック: 日常的な保護に適しています。非常に異常なリクエストのみをブロックし、誤検知率は低いです。

      • ブロック - 緊急: 高頻度の CC 攻撃がビジネス例外を引き起こした場合の緊急回復に適しています。CC 攻撃を効率的にブロックしますが、誤検知率が高くなる可能性があります。[ブロック] モードで攻撃を効果的に停止できず、Web サイトの応答遅延、トラフィックの急増、または CPU やメモリ使用量の異常が観察された場合に、このモードを有効にします。

      説明

      ブロック - 緊急モードは、Web ページまたは H5 ページには適していますが、API またはネイティブアプリサービスには適していません。

      有効対象

      選択待ちの対象 エリアで、ECS インスタンスに対応する保護オブジェクトを選択します。image アイコンをクリックして、右側の 選択済み エリアに移動します。

      image

    4. [OK] をクリックします。image

    ステップ 4: 攻撃保護データを表示する

    設定が完了したら、左側のナビゲーションウィンドウの 概要 ページに移動して、ビジネスセキュリティ分析のために Protection OverviewTop 10 Attacks などの情報を表示します。image

    このチュートリアルのすべてのステップが完了しました。必要に応じて、次の操作を実行できます:

    高度な最適化: 保護の強化とコストの管理

    このトピックの設定を完了した後も WAF を引き続き使用する場合は、ビジネス要件に合わせて設定を調整できます。これにより、セキュリティを向上させ、コストを削減できます。

    • 複数モジュールによる協調保護: このトピックでは、HTTP フラッド攻撃保護モジュールのみを有効にする方法について説明します。このモジュールを次のモジュールと組み合わせて、協調保護を行うことができます。

      • カスタムルール: 柔軟な一致条件とルールアクションに基づいて、特定の攻撃機能に対する精密保護を実装します。たとえば、アクセスレートを制限するために頻度コントロールルールを設定できます。 

      • ホワイトリスト: 信頼できる IP アドレスからのリクエストなど、指定された基準を満たすリクエストが WAF 検出をバイパスできるようにします。 

      • IP ブラックリスト: 既知の悪意のある IP アドレスからのアクセスをブロックします。 

      • ロケーションブラックリスト: 特定の地理的リージョンからのリクエストをブロックします。たとえば、ビジネスが中国のユーザーのみにサービスを提供しており、中国国外からの多くの攻撃を検出した場合、この機能を有効にできます。

    • 高度なプロビジョニング設定: WAF はリソースをプロビジョニングするための複数のメソッドを提供します。必要に応じてメソッドを選択できます。

    • コスト最適化の提案:

      • トラフィック課金保護: 大量攻撃による QPS の急増や高額な料金を防ぐために、トラフィック課金保護のしきい値を設定できます。このしきい値は、WAF が処理できるピーク QPS を制限します。

      • SeCU リソースプラン: SeCU リソースプランは、従量課金 WAF のための費用対効果の高いソリューションです。従量課金 WAF インスタンスをアクティベートした後、SeCU リソースプランを購入して料金を相殺できます。

      • サブスクリプション WAF: WAF を長期間使用したい場合は、サブスクリプション WAF インスタンスを購入してコストを削減できます。

    リソースを解放して課金を停止する

    このチュートリアルを完了した後、アクティベートした WAF インスタンスが不要になった場合は、次のステップに従って WAF をシャットダウンし、課金を停止できます。

    警告

    • 課金に関する注意: リクエスト処理料金に加えて、従量課金 WAF インスタンスには、WAF インスタンスの料金などの機能料金も発生します。WAF をアクティベートすると、リソースをプロビジョニングしたかどうかに関係なく料金が発生します。WAF を使用する必要がなくなった場合は、速やかに WAF インスタンスをシャットダウンする必要があります。

    • CNAME プロビジョニングに関する注意: このトピックで説明されているように、クラウドネイティブモードでのみリソースをプロビジョニングした場合は、この注意を無視できます。CNAME プロビジョニングを設定している場合は、WAF インスタンスをシャットダウンする前に、関連するドメイン名の DNS レコードがオリジンサーバーに切り替えられていることを確認してください。

    1. 左側のナビゲーションウィンドウで、概要 ページに移動します。トップメニューバーで、WAF インスタンスのリソースグループとリージョン (中国本土または中国本土以外) を選択します。

    2. 次のページが表示された場合は、右上隅の Go to Console をクリックします。それ以外の場合は、このステップをスキップします。image

    3. 右側のエリアで、[WAF のシャットダウン] をクリックします。表示されるダイアログボックスで、関連するチェックボックスを選択し、[OK] をクリックします。image