Function Computeでカスタムドメイン名がwebアプリケーションにバインドされている場合、Function Computeコンソールでカスタムドメイン名に対してWebアプリケーションファイアウォール (WAF) 保護を有効にできます。 これにより、ドメイン名のwebトラフィックがWAFにリダイレクトされます。 このトピックでは、Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護を有効にする方法について説明します。
背景情報
Function Computeは、サーバーレスアーキテクチャを使用するイベント駆動型コンピューティングサービスです。 Function Computeを使用すると、インフラストラクチャリソースを管理する必要なく、コードを作成およびアップロードできます。 Function Computeを使用して、アプリケーションとサービスを効率的に作成できます。 詳細については、「」をご参照ください。Function Computeとは
WAFの保護機能は、SDKモジュールとしてFunction Computeに統合されています。 Function Computeでwebアプリケーションにバインドされているカスタムドメイン名のWAF保護を有効にできます。 WAFは、悪意のあるwebトラフィックを識別して除外し、通常のトラフィックをバックエンド機能に転送します。
制限事項
次のAlibaba Cloudサービスのいずれかを使用するWebサービスをクラウドネイティブモードでWAFに追加できます。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute、Classic Load Balancer (CLB) 、Elastic Compute Service (ECS) 、およびNetwork Load Balancer (NLB) 。
. 前述のAlibaba Cloudサービスを使用しないwebサービスを保護するためにWAFを使用する場合は、CNAMEレコードモードでwebサービスのドメイン名をWAFに追加します。 詳細については、「WAFへのドメイン名の追加」をご参照ください。カスタムドメイン名のWAF保護を有効にする前に、Function Computeが中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (張家口) 、中国 (深セン) のいずれかのリージョンにあることを確認してください。
カスタムドメイン名に対してWAF保護を有効にすると、ドメイン名に対して自動的に生成される保護オブジェクトに対して、Webサイトの改ざん防止、データ漏洩防止、ボット管理、APIセキュリティの保護モジュールを有効にすることはできません。
前提条件
中国本土にあるWAF 3.0インスタンスが購入されました。 詳細については、「サブスクリプションWAF 3.0インスタンスの購入」および「従量課金WAF 3.0インスタンスの購入」をご参照ください。
サブスクリプションWAFインスタンスを使用する場合は、WAFに追加した保護対象オブジェクトの数が上限を超えないようにしてください。 上限を超えると、クラウドサービスインスタンスをWAFに追加できなくなります。
WAFに追加できる保護されたオブジェクトの数を表示するには、
保護されたオブジェクトページ
手順
Function Computeでwebアプリケーションのカスタムドメイン名を追加するときまたは後に、WAF保護を有効にできます。
WAF 3.0コンソールにログインします。 上部のナビゲーションバーで、WAFインスタンスのリソースグループとリージョンを選択します。 中国本土 を選択する必要があります。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブをクリックします。 左側のクラウドサービスリストで、[FC] をクリックします。
権限付与ページで、今すぐ許可するWAFインスタンスに必要なクラウドサービスへのアクセスを許可します。
Alibaba Cloudは、AliyunServiceRoleForWAFサービスにリンクされたロールを自動的に作成します。 サービスにリンクされたロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで を選択します。
説明承認が完了した場合、承認ページは表示されません。 次のステップに進むことができます。
[追加] をクリックします。 Function Computeコンソールに移動します。
[カスタムドメイン] ページで、カスタムドメイン名のWAF保護を有効にします。
カスタムドメイン名を追加し、ドメイン名のWAF保護を有効にします
上部のナビゲーションバーで、リージョンドロップダウンリストから中国 (杭州) 、中国 (上海) 、中国 (北京) 、中国 (張家口) 、または中国 (深セン) を選択します。 次に、[カスタムドメイン名の追加] をクリックします。
[カスタムドメイン名の追加] ページで、パラメーターを設定し、[作成] をクリックします。 下表に、各パラメーターを説明します。
パラメーター
説明
ドメイン名
Alibaba Cloud ICP登録システムでICP登録を取得したカスタムドメイン名、またはICP登録情報にサービスプロバイダーとしてAlibaba Cloudが含まれているカスタムドメイン名を入力します。
www.aliyun.comなどの特定のドメイン名または* .aliyun.comなどのワイルドカードドメイン名を入力できます。HTTPS
HTTPS経由でのカスタムドメイン名へのアクセスを許可または禁止するには、[有効] または [無効] を選択します。 有効な値:
有効: HTTPS経由でカスタムドメイン名にアクセスできるようにします。 [有効] を選択すると、HTTPまたはHTTPSでカスタムドメイン名にアクセスできます。
説明[HTTPリクエストをHTTPSにリダイレクトする] チェックボックスを選択して、HTTPSリクエストのみを許可することもできます。 Function Computeは、HTTP経由でアクセスされたリクエストをHTTPSにリダイレクトします。
無効: HTTPS経由でのカスタムドメイン名へのアクセスを無効にします。 [無効] を選択した場合、HTTP経由でのみカスタムドメイン名にアクセスできます。
証明書タイプ
アップロードする証明書の種類を選択します。 このパラメーターは、HTTPSパラメーターの有効化を選択した場合にのみ必要です。 有効な値:
Alibaba Cloud SSL証明書: [証明書名] ドロップダウンリストからAlibaba Cloud SSL証明書を選択します。 [証明書名] ドロップダウンリストに値がない場合、Alibaba Cloud SSL証明書はありません。 この場合、Certificate Management ServiceコンソールにログインしてSSL証明書を購入します。
手動アップロード: 証明書名、PEM証明書の内容、およびPEM証明書キーパラメーターを手動で設定します。
説明アップロードする証明書のサイズは20 KBを超えることはできません。 証明書キーのサイズは4 KBを超えることはできません。
TLSバージョン
関数が使用するトランスポート層セキュリティ (TLS) プロトコルバージョンをドロップダウンリストから選択します。
説明TLSバージョンを選択した後、[TLS1.3のサポートを有効にする] を選択することもできます。 これにより、TLS 1.3がサポートされます。
暗号スイート
TLS暗号アルゴリズムスイートを選択します。 このパラメーターを空のままにすると、すべての暗号スイートが選択されます。 有効な値:
すべての暗号スイート (高い互換性と低いセキュリティ): すべての暗号スイート。 Function Computeでサポートされている暗号スイートのリストについては、「強力な暗号スイートと弱い暗号スイート」をご参照ください。
Custom Cipher Suite (プロトコルバージョンに基づいて選択) 。 注意) に進む: ビジネス要件に基づいて暗号スイートを選択します。 すべての暗号スイートがドロップダウンリストに表示されます。 暗号スイートの右側にある
アイコンをクリックすると、暗号スイートの選択を解除できます。 これにより、弱い暗号スイートを削除し、指定したTLSバージョンでサポートされている暗号スイートのみを保持できます。
重要カスタム暗号スイートは慎重に選択してください。 クライアントによって使用される暗号スイートが、サーバーによって使用される暗号スイートと一致することを確認します。
TLSバージョンとサポートされている暗号スイート間のマッピングの詳細については、「TLSバージョンと暗号スイート間のマッピング」をご参照ください。
Function Computeは、RFC命名規則に基づいて暗号スイートに名前を付けます。 暗号スイートの名前は、命名規則によって異なります。 RFCとOpenSSL暗号スイートの違いの詳細については、「RFC暗号スイートとOpenSSL暗号スイートの名前間のマッピング」をご参照ください。
CDNアクセラレーション
カスタムドメイン名のCDNアクセラレーションを有効にするかどうかを指定します。 カスタムドメイン名に対してCDNアクセラレーションを有効にすると、エンドユーザーはCDNアクセラレーションドメイン名を使用してコンテンツを高効率で読み取ることができます。 有効な値:
有効化: CDNアクセラレーションを有効にします。 CDN AccelerationパラメーターをEnableに設定した場合、CDN-accelerated domain nameフィールドに高速化ドメイン名を入力する必要があります。 次に、CDNコンソールにログインし、高速化ドメイン名のCNAMEレコードを設定します。 詳細については、「 (オプション) 手順4: CDNアクセラレーションの有効化」をご参照ください。
無効化: CDNアクセラレーションを無効にします。
Webアプリケーションファイアウォール (WAF)
カスタムドメイン名に対してWAFを有効にするかどうかを指定します。 この機能は、関数とアプリケーションの悪意のあるトラフィックを識別し、悪意のあるトラフィックをスクラブして除外し、通常のトラフィックをバックエンド関数に返して、悪意のある侵入から関数を保護します。 詳細については、「WAF保護の有効化」をご参照ください。 有効な値:
有効
無効化
ルート
パスと関数間のマッピングを設定します。 このように、異なるパスからの要求は、異なる機能をトリガできる。 次のフィールドを設定する必要があります。
パス: 指定されたサービスで指定された関数をトリガーできるリクエストパス。
サービス名: 指定されたパスからのリクエストによってトリガーされる関数が属するサービスの名前。
関数名: 指定されたパスからのリクエストによってトリガーされる関数の名前。
VersionまたはAlias: 指定されたパスからのリクエストによってトリガーされる関数が属するサービスのバージョンまたはエイリアス。
書き換えポリシー: 指定されたパス内のリクエストのURI (Uniform Resource Identifier) が書き換えられるルール。 詳細については、「手順」をご参照ください。
ビジネス要件に基づいて複数のルートを設定できます。 詳細は、「ルーティングルール」をご参照ください。
既存のカスタムドメイン名のWAF保護の有効化
上部のナビゲーションバーで、必要なリージョンを選択します。 次に、WAF保護を有効にするカスタムドメイン名を見つけ、[操作] 列の [変更] をクリックします。
[カスタムドメイン名の変更] ページで、[Web Application Firewall (WAF)] パラメーターを [有効] に設定し、[保存] をクリックします。
カスタムドメイン名をWAFに追加すると、カスタムドメイン名はWAFの保護対象オブジェクトになります。 保護されたオブジェクトの名前は、ドメイン名-fcの形式です。 WAFは、保護対象オブジェクトのコア保護ルールモジュールの保護ルールを自動的に有効にします。 [保護オブジェクト] ページで、保護オブジェクトの保護ルールを手動で設定することもできます。 [保護オブジェクト] ページに移動するには、[Webサイト設定] ページの [クラウドネイティブ] タブで、WAFに追加したカスタムドメイン名をクリックします。 詳細については、「保護設定の概要」をご参照ください。
