Web Application Firewall:WAF にドメイン名を追加する

WAF 保護の仕組み

CNAME レコードモードで Web サイトのドメイン名を WAF に追加すると、すべての Web サイトトラフィックが検査のために WAF にリダイレクトされます。 WAF は悪意のあるトラフィックをフィルタリングし、通常のトラフィックをオリジンサーバーに転送します。これにより、Web サイトのサービスとデータセキュリティが確保されます。この場合、WAF はリバースプロキシクラスターとしてトラフィックを検査および転送します。

前提条件

• WAF 3.0 インスタンスが購入されています。詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金制 WAF 3.0 インスタンスを購入する」をご参照ください。

• Web サイトのドメイン名が 中国本土 のサーバーでホストされている場合は、Web サイトが WAF によって保護されているときに、ドメイン名の ICP 登録が完了し、ICP 登録情報が有効であることを確認してください。

  説明

  中国本土 リージョンにデプロイされた WAF インスタンスは、ドメイン名の ICP 登録情報が有効かどうかを定期的にチェックします。ドメイン名の ICP 登録情報が無効になった場合、WAF は関連する法律および規制に基づいてドメイン名を管理します。たとえば、WAF はドメイン名へのリクエストの転送を停止したり、ドメイン名の構成を削除したりする場合があります。

  • Alibaba Cloud で Web サイトをホストしている場合は、Alibaba Cloud ICP 登録システムを使用して、ドメイン名の ICP 登録を申請してください。詳細については、「シナリオ」をご参照ください。

  • Web サイトが Alibaba Cloud にデプロイされていない場合は、Alibaba Cloud または別のクラウドサービスプロバイダーに連絡して、ICP 登録を申請してください。

サポートされているリージョン

WAF のパブリッククラスターは、中国 (北京)、中国 (杭州)、中国 (上海)、中国 (深圳)、中国 (香港)、シンガポール、マレーシア (クアラルンプール)、米国 (シリコンバレー)、ドイツ (フランクフルト)、インドネシア (ジャカルタ)、UAE (ドバイ)、日本 (東京) の各リージョンにデプロイされており、11 の保護ノードをカバーしています。Web サービスを WAF に追加して保護すると、WAF はオリジンサーバーの IP アドレスに基づいて最適な保護ノードを自動的に照合します。

手順

1. WAF 3.0 コンソール にログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。

2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

3. CNAME アクセス タブで、追加 をクリックします。

4. Listener 設定 ステップで、パラメーターを設定し、次へ をクリックします。次の表でパラメーターについて説明します。

   パラメーター	説明
   ドメイン名	保護するドメイン名を入力します。www.aliyundoc.com などの完全一致ドメイン名、または *.aliyundoc.com などのワイルドカードドメイン名を入力できます。入力できるドメイン名は 1 つだけです。 WAF にドメイン名を初めて追加する場合は、ドメイン名の所有権を確認する必要があります。所有権の確認に合格した後にのみ、WAF にドメイン名を追加できます。詳細については、「ドメイン名の所有権を確認する」をご参照ください。 説明 ワイルドカードドメイン名を使用して、同じレベルのすべてのサブドメインを照合できますが、異なるレベルのサブドメインは照合できません。たとえば、*.aliyundoc.com は www.aliyundoc.com と example.aliyundoc.com に一致しますが、www.example.aliyundoc.com には一致しません。 ワイルドカードドメイン名を使用して、ワイルドカードドメイン名と同じレベルおよび異なるレベルにあるすべてのサブドメインをカバーできます。たとえば、*.aliyundoc.com は、www.aliyundoc.com、example.aliyundoc.com、および www.example.aliyundoc.com をカバーできます。 第 2 レベルのワイルドカードドメイン名は、その第 2 レベルの親ドメイン名をカバーできます。たとえば、*.aliyundoc.com は aliyundoc.com をカバーできます。 第 3 レベルのワイルドカードドメイン名は、その第 3 レベルの親ドメイン名をカバーできません。たとえば、*.example.aliyundoc.com は example.aliyundoc.com をカバーできません。 完全一致ドメイン名と、完全一致ドメイン名をカバーするワイルドカードドメイン名を追加した場合、完全一致ドメイン名に設定されている保護ルールが優先されます。
   プロトコルタイプ	Web サイトで使用されるプロトコルタイプとポートを選択します。ポート番号を入力するたびに Enter キーを押します。 説明 入力するポート番号は、WAF でサポートされている必要があります。WAF でサポートされている HTTP および HTTPS ポートを表示するには、ポート範囲の表示 をクリックします。詳細については、「サポートされているポートを表示する」をご参照ください。 [HTTPS] を選択した場合は、HTTPSUpload Type パラメーターを設定して、SSL 証明書のアップロードに使用するメソッドを指定します。次に、ドメイン名にバインドされている SSL 証明書を WAF にアップロードします。これにより、WAF は Web サイトの HTTPS トラフィックを監視できます。 SSL 証明書のアップロードに使用するメソッドを指定します。 説明 WAF (version_share_vm) は HTTPS をサポートしていません。 手動でアップロード 手動でアップロード を選択し、証明書名、証明書ファイル、秘密鍵ファイル パラメーターを設定します。証明書ファイルパラメーターの値は -----BEGIN CERTIFICATE-----......-----END CERTIFICATE----- 形式である必要があり、秘密鍵パラメーターの値は -----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY----- 形式である必要があります。 重要 証明書ファイルが PEM、CER、または CRT 形式の場合は、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーできます。証明書ファイルが上記の形式以外の形式（PFX や P7B など）の場合は、ファイルを PEM 形式に変換し、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーする必要があります。証明書管理サービスコンソール にログインし、提供されているツールを使用してファイル形式を変換できます。詳細については、「証明書の形式を変換する」をご参照ください。 ドメイン名が複数の SSL 証明書または証明書チェーンにバインドされている場合は、証明書ファイルのテキストコンテンツを結合し、結合されたコンテンツを WAF にアップロードする必要があります。 既存証明書の選択 証明書が次のいずれかの条件を満たしている場合は、証明書リストから WAF にアップロードする証明書を選択できます。 証明書は、Alibaba Cloud Certificate Management Service (Original SSL Certificate) によって発行されます。 証明書は、証明書管理サービス にアップロードされたサードパーティ証明書です。 重要 証明書管理サービス にアップロードされたサードパーティ証明書を選択し、証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります というエラーメッセージが表示された場合は、[Alibaba Cloud セキュリティ - 証明書管理サービス] をクリックし、証明書管理サービス コンソールで証明書を再アップロードします。詳細については、「SSL 証明書をアップロードして共有する」をご参照ください。 証明書の申し込み 証明書の申し込み を選択し、今すぐ申し込む をクリックします。証明書管理サービス コンソールで、ドメイン名の証明書を申請します。 説明 申請できるのは、有料のドメイン検証 (DV) 証明書のみです。別の種類の証明書を申請する場合は、証明書管理サービス から証明書を購入する必要があります。詳細については、「公式証明書を購入する」をご参照ください。 証明書管理サービス コンソールでドメイン名の証明書を設定すると、証明書は WAF に自動的にアップロードされます。 [HTTPS] を選択して証明書をアップロードすると、ビジネス要件に基づいて次の操作を実行できます。 Web サイトが HTTP/2 をサポートしている場合は、[HTTP2] を選択して HTTP/2 リクエストを保護します。 説明 HTTP/2 ポートは HTTPS ポートと同じです。 詳細設定 HTTPS ルーティングの有効化 デフォルトでは、この機能は無効になっています。この機能を有効にすると、HTTP リクエストはポート 443 で HTTPS リクエストに自動的にリダイレクトされます。この機能はセキュリティを向上させます。この機能が有効になると、HTTP Strict Transport Security（HSTS）がデフォルトで有効になり、Strict-Transport-Security ヘッダーがレスポンスに含まれ、Web サイトに HTTPS のみを使用してアクセスできるようになります。 重要 [HTTP] を選択していない場合にのみ、この機能を有効にできます。 TLS バージョン HTTPS 通信でサポートされる Transport Layer Security（TLS）プロトコルのバージョンを指定します。クライアントがサポートされていない TLS バージョンを使用している場合、WAF はクライアントから送信されたリクエストをブロックします。TLS プロトコルの新しいバージョンは、セキュリティは向上しますが、互換性は低下します。 Web サイトの HTTPS 設定に基づいて TLS バージョンを指定することをお勧めします。Web サイトの HTTPS 設定を取得できない場合は、デフォルト値を使用してください。 有効な値： TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。（デフォルト） TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております この値を選択すると、TLS 1.0 を使用するクライアントは Web サイトにアクセスできません。 TLS 1.2 以上をサポートします。互換性と安全性が優れています。 この値を選択すると、TLS 1.0 または 1.1 を使用するクライアントは Web サイトにアクセスできません。 Web サイトが TLS 1.3 をサポートしている場合は、TLS 1.3 以上対応 を選択します。デフォルトでは、WAF は TLS 1.3 を使用して送信されたリクエストをリッスンしません。 [HTTPSCipher Suite] HTTPS 通信でサポートされる暗号スイートを指定します。クライアントがサポートされていない暗号スイートを使用している場合、WAF はクライアントからのリクエストをブロックします。 デフォルト値：すべての暗号スイート（高い互換性と低いセキュリティ）。Web サイトが特定の暗号スイートのみをサポートしている場合にのみ、このパラメーターを別の値に設定することをお勧めします。 有効な値： すべての暗号スイート (高い互換性、低い安全性)：次の強力な暗号スイートと弱い暗号スイートがサポートされています。 強力な暗号スイート TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 説明 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 および TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384：これら 2 つの暗号スイートは、RSA 暗号化アルゴリズムと AES-CBC 暗号化モードを使用し、ECDSA 暗号化アルゴリズムまたは AES-GCM 暗号化モードを使用する暗号スイートよりもセキュリティが低いため、特定のセキュリティ検出ツールによって弱い暗号スイートに分類される場合があります。 弱い暗号スイート TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_3DES_EDE_CBC_SHA カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください)：Web サイトが特定の暗号スイートのみをサポートしている場合は、この値を選択してから、Web サイトでサポートされている暗号スイートを選択することをお勧めします。詳細については、「サポートされている暗号スイートを表示する」をご参照ください。 他の暗号スイートを使用するクライアントは Web サイトにアクセスできません。
   WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか	Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシが WAF の前にデプロイされているかどうかを指定します。有効な値： No (デフォルト): WAF の前にレイヤー 7 プロキシはデプロイされていません。 WAF はクライアントからリクエストを受信します。リクエストはプロキシによって転送されません。 WAF は、クライアントが WAF への接続を確立するために使用する IP アドレスを、クライアントの IP アドレスとして使用します。 WAF は、REMOTE_ADDR フィールドの値に基づいて IP アドレスを取得します。 Yes: WAF の前にレイヤー 7 プロキシがデプロイされています。 WAF は、レイヤー 7 プロキシからリクエストを受信します。 WAF がセキュリティ分析のためにクライアントの実際の IP アドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを設定する必要があります。 有効な値： X-Forwarded-For フィールドのファースト IP アドレスをクライアントのソースアドレスにする (デフォルト) デフォルトでは、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの送信元 IP アドレスとして使用します。 [推奨] X-Forwarded-For偽造を防ぐために、指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用する。 X-Client-IP や X-Real-IP などのカスタムヘッダーフィールドにクライアントの送信元 IP アドレスが含まれているプロキシを使用する場合は、この値を選択します。次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。 説明 クライアントの送信元 IP アドレスを格納するためにカスタムヘッダーフィールドを使用し、WAF でヘッダーフィールドを指定することをお勧めします。このようにして、攻撃者は WAF 検査をバイパスするために X-Forwarded-For フィールドを偽造することはできません。これはビジネスのセキュリティを向上させます。 複数のヘッダーフィールドを入力できます。ヘッダーフィールドを入力するたびに Enter キーを押します。複数のヘッダーフィールドを入力すると、WAF はクライアントの IP アドレスを取得するまで、ヘッダーフィールドを順番にスキャンします。 WAF がヘッダーフィールドからクライアントの IP アドレスを取得できない場合、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの IP アドレスとして使用します。
   詳細設定	IPv6 デフォルトでは、WAF は IPv4 トラフィックのみを処理します。Web サイトが IPv6 をサポートしている場合は、IPv6 をオンにして IPv6 トラフィックに対する WAF 保護を有効にできます。IPv6 をオンにすると、WAF はドメイン名に WAF IP アドレスを割り当てて IPv6 トラフィックを処理します。この機能は、中国本土 における従量課金制 WAF インスタンスと、Enterprise エディションおよび Ultimate エディションのサブスクリプション WAF インスタンスでのみ使用できます。 Exclusive IP アドレス デフォルトでは、WAF に追加されたすべてのドメイン名は、同じ WAF IP アドレスを使用して保護されます。 [専用 IP アドレス] をオンにすると、WAF は専用 IP アドレスを割り当てて、ドメイン名のリクエストを監視します。専用 IP アドレスを使用して保護されているドメイン名には、他のドメイン名で大規模 DDoS 攻撃が発生した場合でもアクセスできます。詳細については、「専用 IP アドレス」をご参照ください。 専用 IP アドレスを使用してドメイン名を保護する場合は、[専用 IP アドレス] をオンにすることができます。 重要 Pro、Enterprise、および Ultimate エディションのサブスクリプション WAF インスタンスに対して [専用 IP アドレス] をオンにすることができます。この機能は有料です。 従量課金制 WAF インスタンスを使用する場合、使用する専用 IP アドレスの数に基づいて課金されます。詳細については、「請求の概要」をご参照ください。 軽減リソース 使用する保護リソースの種類を選択します。有効な値： IP アドレス詳細 (デフォルト) Shared Cluster-based Intelligent Load Balancing WAF インスタンスの共有クラスターベースのインテリジェントロードバランシングを有効にすると、異なるリージョンにデプロイされた少なくとも 3 つの保護ノードが WAF インスタンスに割り当てられ、自動ディザスタリカバリがサポートされます。WAF インスタンスは、インテリジェント DNS（ドメインネームシステム）解決機能と最短時間バックツーオリジンアルゴリズムを使用して、保護ノードからオリジンサーバーに送信されるトラフィックのレイテンシを最小限に抑えます。詳細については、「インテリジェントロードバランシング機能を使用する」をご参照ください。 重要 Pro、Enterprise、および Ultimate エディションのサブスクリプション WAF インスタンスに対して Shared Cluster-based Intelligent Load Balancing を有効にすることができます。この機能は有料です。 Shared Cluster-based Intelligent Load Balancing を有効にするには、概要 ページの [保護されたアセット] セクションで 今すぐアップグレード をクリックし、インテリジェント SLB パラメーターを [有効] に設定します。詳細については、「WAF インスタンスをアップグレードまたはダウングレードする」をご参照ください。 従量課金制 WAF インスタンスを使用する場合、Shared Cluster-based Intelligent Load Balancing を有効にするかどうかによって課金されます。詳細については、「請求の概要」をご参照ください。 Shared Cluster-based Intelligent Load Balancing を有効にした後、IPv6 または [専用 IP アドレス] をオンにすることはできません。
   リソースグループ	ドメイン名を追加するリソースグループをドロップダウンリストから選択します。リソースグループを選択しない場合、ドメイン名は [デフォルトリソースグループ] に追加されます。 説明 Resource Management を使用して、リソースグループを作成し、Alibaba Cloud アカウント内のリソースを部門またはプロジェクト別に管理できます。詳細については、「リソースグループを作成する」をご参照ください。

5. 転送ルールの設定 ステップで、パラメーターを設定し、サブミット をクリックします。次の表にパラメーターを示します。

   パラメーター	説明
   ロードバランシングアルゴリズム	複数のオリジンサーバーアドレスを指定する場合は、WAF がオリジンサーバーへのバックツーオリジンリクエストの転送に使用する ロードバランシングアルゴリズム を選択します。有効な値: [IP ハッシュ] (デフォルト) 同じクライアントからのリクエストは、負荷分散によって同じオリジンサーバーに転送されます。このアルゴリズムは、セッションの永続性が必要なシナリオに適していますが、負荷分散が不均一になる可能性があります。 ポーリング クライアントリクエストは、オリジンサーバーリストからオリジンサーバーに順番に転送されます。このアルゴリズムは、複数のオリジンサーバー間で均等な負荷分散が必要なシナリオに適しています。 [最短時間] WAF は、インテリジェント DNS 解決機能と最短時間バックツーオリジンアルゴリズムを使用して、リクエストがオリジンサーバーに転送されるときのパスとレイテンシを最小限に抑えます。 重要 Listener 設定 ステップで 軽減リソース パラメーターを Shared Cluster-based Intelligent Load Balancing に設定した場合にのみ、負荷分散アルゴリズムパラメーターを [最短時間] に設定できます。詳細については、このトピックの 保護リソースパラメーター の説明をご参照ください。
   [オリジンサーバーアドレス]	オリジンサーバーのパブリック IP アドレスまたはドメイン名を指定します。IP アドレスまたはドメイン名は、WAF によって転送されるバックツーオリジンリクエストを受信するために使用されます。有効な値: IP IP アドレスがインターネット経由でアクセスできることを確認してください。 最大 20 個の IP アドレスを入力できます。IP アドレスを入力するたびに Enter キーを押します。 説明 複数の IP アドレスを入力すると、WAF は負荷分散を実現するために IP アドレス間でワークロードを分散します。 IPv4、IPv6、または IPv4 と IPv6 の両方のアドレスを同時に設定できます。 IPv4 アドレスと IPv6 アドレスの両方を入力すると、WAF は IPv4 アドレスからのリクエストを IPv4 アドレスを使用するオリジンサーバーに転送し、IPv6 アドレスからのリクエストを IPv6 アドレスを使用するオリジンサーバーに転送します。 重要 IPv6 アドレスを入力する場合は、[リスナーの設定] ステップで IPv6 を有効にします。詳細については、このトピックの IPv6 パラメーター の説明をご参照ください。 重要 オリジンサーバーのパブリック IP アドレスが変更された場合は、新しいバックツーオリジン IP アドレスを手動で追加する必要があります。 ドメイン名(CHAMEなど) オリジンサーバーアドレスパラメーターを [ドメイン名 (CNAME など)] に設定した場合、入力したドメイン名は IPv4 アドレスのみに解決でき、WAF はバックツーオリジンリクエストを IPv4 アドレスに転送します。
   スタンバイリンク バックツーオリジン	オリジンサーバーのプライマリ アドレスに到達できない場合、システムは自動的にセカンダリ アドレスに切り替えます。プライマリ アドレスが復元されると、システムは自動的にプライマリ アドレスに戻ります。 IP IP アドレスがインターネット経由でアクセスできることを確認してください。 最大 20 個の IP アドレスを入力できます。IP アドレスを入力するたびに Enter キーを押します。 説明 複数の IP アドレスを入力すると、WAF は負荷分散を実現するために IP アドレス間でワークロードを分散します。 IPv4 と IPv6 の両方のアドレス、IPv4 アドレスのみ、または IPv6 アドレスのみを入力できます。 IPv4 アドレスと IPv6 アドレスの両方を入力すると、WAF は IPv4 アドレスからのリクエストを IPv4 アドレスを使用するオリジンサーバーに転送し、IPv6 アドレスからのリクエストを IPv6 アドレスを使用するオリジンサーバーに転送します。 重要 IPv6 アドレスを入力する場合は、[リスナーの設定] ステップで IPv6 を有効にします。詳細については、このトピックの IPv6 パラメーター の説明をご参照ください。 重要 オリジンサーバーのパブリック IP アドレスが変更された場合は、新しいバックツーオリジン IP アドレスを手動で追加する必要があります。 ドメイン名(CHAMEなど) オリジンサーバーアドレスパラメーターを [ドメイン名 (CNAME など)] に設定した場合、入力したドメイン名は IPv4 アドレスのみに解決でき、WAF はバックツーオリジンリクエストを IPv4 アドレスに転送します。
   HTTPS 詳細設定	HTTP back-to-origin の有効化 [HTTP ルーティングを有効にする] をオンにすると、WAF は HTTP 経由でリクエストを転送します。デフォルトポートは 80 です。[HTTP ルーティングを有効にする] をオンにすると、クライアントがポート 80 またはポート 443 のどちらで WAF にアクセスするかに関係なく、WAF はポート 80 でオリジンサーバーにリクエストを転送します。すべてのリクエストは HTTP 経由でオリジンサーバーに転送できるため、オリジンサーバーの設定を変更する必要はありません。これにより、トラフィックが Web サイトのパフォーマンスに与える影響が軽減されます。 重要 Web サイトが HTTPS をサポートしていない場合は、[HTTP ルーティングを有効にする] をオンにします。 Back-to-origin SNI の有効化 WAF がオリジンサーバーにリクエストを転送するときに、Transport Layer Security (TLS) ハンドシェイクプロセスの開始時に HTTPS 接続を確立する必要があるドメイン名を指定します。オリジンサーバーが複数のドメイン名をホストしている場合は、[オリジン SNI] を選択する必要があります。 Back-to-origin SNI の有効化 を選択すると、Server Name Indication (SNI) フィールドを設定できます。有効な値: Host ヘッダのドメイン名 (デフォルト) WAF バックツーオリジンリクエストの SNI フィールドの値は、Host ヘッダーフィールドの値と同じです。 たとえば、設定するドメイン名が *.aliyundoc.com で、クライアントが Host ヘッダーフィールドで www.aliyundoc.com ドメイン名をリクエストした場合、WAF バックツーオリジンリクエストの SNI フィールドの値は www.aliyundoc.com になります。 カスタム WAF バックツーオリジンリクエストの SNI フィールドにカスタム値を入力できます。 ほとんどの場合、SNI フィールドのカスタム値を指定する必要はありません。ただし、WAF がバックツーオリジンリクエストで Host ヘッダーフィールドの値とは異なる値を持つ SNI フィールドを使用するようにするには、SNI フィールドのカスタム値を指定できます。
   他の詳細設定	[X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する] X-Forwarded-Proto ヘッダーフィールドは、HTTP リクエストに自動的に追加されます。X-Forwarded-Proto ヘッダーフィールドは、クライアントが使用した元のプロトコルを識別するために使用されます。Web サイトが X-Forwarded-Proto ヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。このような問題を防ぐには、[X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する] をオフにします。 トラフィックマークの有効化 [トラフィックマークを有効にする] を選択すると、WAF を通過するリクエストがマークされます。これにより、オリジンサーバーはクライアントの送信元 IP アドレスまたはポートを取得できます。 攻撃者がドメイン名を WAF に追加する前にオリジンサーバーに関する情報を取得し、別の WAF インスタンスを使用してオリジンサーバーにリクエストを転送する場合、[トラフィックマークを有効にする] を選択して悪意のあるトラフィックを遮断します。オリジンサーバーは、リクエストが WAF を通過したかどうかを確認します。指定されたヘッダーフィールドがリクエストに存在する場合、リクエストは WAF を通過し、許可されます。指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストは WAF を通過しておらず、ブロックされます。 次のタイプのヘッダーフィールドを設定できます。 カスタムヘッダ カスタムヘッダーフィールドを追加する場合は、ヘッダ名 パラメーターと ヘッダ値 パラメーターを設定する必要があります。WAF は、バックツーオリジンリクエストにヘッダーフィールドを追加します。これにより、オリジンサーバーはリクエストが WAF を通過したかどうかを確認し、統計を収集し、データを分析できます。 たとえば、ALIWAF-TAG: Yes カスタムヘッダーフィールドを追加して、WAF を通過するリクエストをマークできます。この例では、ヘッダーフィールドの名前は ALIWAF-TAG で、ヘッダーフィールドの値は Yes です。 リアル送信元 IP アドレス クライアントの送信元 IP アドレスを記録するヘッダーフィールドを指定できます。これにより、オリジンサーバーはクライアントの送信元 IP アドレスを取得できます。 WAF がクライアントの送信元 IP アドレスを取得する方法の詳細については、このトピックの [WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか] パラメーターの説明をご参照ください。 ソースポート クライアントの送信元ポートを記録するヘッダーフィールドを指定できます。これにより、オリジンサーバーはクライアントのポートを取得できます。 重要 User-Agent などの標準 HTTP ヘッダーフィールドは設定しないことをお勧めします。設定すると、標準ヘッダーフィールドの元の値がカスタムヘッダーフィールドの値で上書きされます。 マークの追加 をクリックして、ヘッダーフィールドを追加できます。最大 5 つのヘッダーフィールドを指定できます。 バックツーオリジンリクエストのタイムアウト期間を指定します 接続タイムアウト期間: WAF がオリジンサーバーへの接続を待機できる最大時間。有効な値: 1 ～ 3600。単位: 秒。デフォルト値: 5。 読み取り接続タイムアウト期間: WAF がオリジンサーバーからの応答を待機できる最大時間。有効な値: 1 ～ 3600。単位: 秒。デフォルト値: 120。 書き込み接続タイムアウト期間: WAF がオリジンサーバーへのリクエストの転送を待機できる最大時間。有効な値: 1 ～ 3600。単位: 秒。デフォルト値: 120。 Back-to-origin の再試行 [バックツーオリジンリクエストを再試行する] をオンにすると、WAF はオリジンサーバーへのリクエストの転送に失敗した場合、最大 3 回再試行します。[バックツーオリジンリクエストを再試行する] をオンにしないと、WAF は初回の転送に失敗した場合、リクエストの転送を再試行しません。 Back-to-origin の持続的接続 [バックツーオリジンキープアライブリクエスト] をオンにすると、次のパラメーターを設定する必要があります。 持続的接続の復元リクエスト数: 再利用されたキープアライブリクエストの数。有効な値: 60 ～ 1000。デフォルト値: 1000。 アイドル時の長時間の接続タイムアウト: アイドルキープアライブリクエストのタイムアウト期間。有効な値: 1 ～ 60。単位: 秒。デフォルト値: 15。 説明 [バックツーオリジンキープアライブリクエスト] をオフにすると、バックツーオリジンキープアライブリクエストは WebSocket をサポートしません。

6. 追加完了 ステップで、ドメイン名に割り当てられた CNAME を取得します。 DNS レコードを変更して、ドメイン名を WAF によって提供される CNAME を指すようにします。 詳細については、「ドメイン名の DNS レコードを変更する」をご参照ください。

   重要

   DNS レコードを変更する前に、次の条件が満たされていることを確認してください。

   • Web サイトの転送構成が正しく、有効になっていること。Web サイトの転送構成が有効になる前に DNS レコードを変更すると、サービス中断が発生する可能性があります。詳細については、「ドメイン名設定を確認する」をご参照ください。

   • WAF のオリジンへの CIDR ブロックが、ドメイン名がホストされているオリジンサーバーで使用されているサードパーティ製ファイアウォールの IP アドレスホワイトリストに追加されていること。これにより、WAF によって転送される通常の リクエスト がブロックされるのを防ぎます。「CNAME レコード」タブで、ドメイン名リストの上にある Back-to-origin CIDR ブロック をクリックして、WAF のオリジンへの CIDR ブロックを表示およびコピーできます。詳細については、「WAF のオリジンへの CIDR ブロックからのアクセスを許可する」をご参照ください。

   

   上記の構成を完了したら、次の操作を実行して、ドメイン名が WAF によって保護されているかどうかを確認できます。

   • ブラウザ にドメイン名を入力します。Web サイトにアクセスできる場合、ドメイン名は WAF によって保護されています。

   • ドメイン名と、<Protected domain name>/alert(xss) や alert(xss) などの悪意のあるコードを入力します。405 エラーページが表示された場合、攻撃はブロックされており、ドメイン名は WAF によって保護されています。

   重要

   CNAME レコードモードで WAF にドメイン名を追加すると、WAF はドメイン名の ICP 登録が完了しているかどうか、および ICP 登録情報が有効かどうかを定期的に確認します。ドメイン名の ICP 登録情報が無効になると、WAF はドメイン名への リクエスト の転送を停止します。

   WAF に追加されたドメイン名の ICP 登録情報が無効になった場合は、ドメイン名の ICP 登録を再申請する必要があります。申請が成功したら、「Web サイトの構成」ページの「CNAME レコード」タブに移動し、「操作」列の [再追加] をクリックして、ドメイン名を WAF に再追加できます。

その他の操作

ドメイン名の DNS 解決ステータスを表示する

WAF は、保護対象のドメイン名の DNS 解決ステータスをチェックし、DNS レコードが異常なドメイン名を識別します。 WAF に追加したドメイン名の DNS 解決ステータスをドメイン名リストで表示し、WAF コンソールに表示されるエラーメッセージに基づいて DNS レコードを変更できます。

ドメイン名にタグを追加または削除する

WAF に追加されたドメイン名にタグを追加し、タグで特定のドメイン名を検索できます。

• ドメイン名にタグを追加または削除する

  1. 管理するタグを持つドメイン名を見つけ、 アイコンにポインターを合わせます。 タグ 列に表示されます。ドメイン名にタグが追加されていない場合は、アタッチ をクリックします。ドメイン名にタグが追加されている場合は、編集 をクリックします。

  2. [タグの編集] ダイアログボックスで、[タグキー] パラメーターと [タグキー] パラメーターを構成します。

     説明

     • [タグキー] パラメーターの下に最大 20 個のタグキーを追加し、[タグ値] パラメーターを空のままにすることができます。

     • [タグキー] パラメーターまたは [タグ値] パラメーターに値を指定する場合は、値の長さが 1 ～ 128 文字であり、http:// または https:// を含まず、acs: または aliyun で始まらないことを確認してください。

     • WAF にドメイン名を追加するときに [Web サイト設定] ページでタグを追加するか、保護対象オブジェクトの保護ルールを構成するときに [保護対象オブジェクト] ページでタグを追加できます。最新のタグ設定は、2 つのページ間で同期されます。ドメイン名に追加されたタグは、ドメイン名に関連付けられた保護対象オブジェクトに自動的に追加されます。

     ドメイン名にタグを追加した後、[ラベルの選択] ドロップダウンリストからタグを選択して、ドメイン名を検索できます。

  3. オプション。 タグが不要になった場合は、ドメイン名を見つけ、[タグの編集] ダイアログボックスを開き、タグの右側にある アイコンをクリックします。その後、タグはドメイン名から削除されます。

• 一度に複数のドメイン名にタグを追加または削除する

  タグを管理するドメイン名を選択し、ドメイン名リストの下にある [タグの追加] または [タグの削除] をクリックします。

WAF に追加されたドメイン名を変更または削除する

管理するドメイン名を見つけ、[アクション] 列の 編集 または 削除 をクリックします。

デフォルトの SSL または TLS 設定を構成する

同じ WAF インスタンスに複数のドメイン名を追加すると、共有 WAF 仮想 IP アドレス (VIP) を使用してドメイン名のトラフィックが監視されます。

さまざまなシナリオにおける HTTPS のセキュリティコンプライアンスと互換性要件を満たすために、WAF では IPv4 VIP の SSL または TLS 設定を構成できます。 WAF VIP でコンプライアンススキャンと検出を実行する前に、次の手順を実行して VIP の HTTPS 証明書をアップロードし、特定の TLS プロトコルバージョンと暗号スイートを無効化または有効化できます。

1. ドメイン名リストの上にある [デフォルトの SSL/TLS 設定] をクリックします。

2. [デフォルトの SSL/TLS 設定] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。次の表にパラメーターを示します。

   パラメーター	説明
   HTTPS アップロードタイプ	SSL 証明書のアップロードに使用するメソッドを指定します。詳細については、この Topic のHTTPS アップロードタイプ パラメーター をご参照ください。
   TLS バージョン	HTTPS 通信でサポートされる TLS プロトコルバージョンを指定します。有効な値： TLS 1.0 以降（最適な互換性と低いセキュリティ）（デフォルト） TLS 1.1 以降（高い互換性と高いセキュリティ） TLS 1.2 以降（高い互換性と最適なセキュリティ） TLS 1.3 を有効にする場合は、[TLS 1.3 をサポート] を選択します。
   HTTPS 暗号スイート	HTTPS 通信でサポートされる暗号スイートを指定します。有効な値： すべての暗号スイート（高い互換性と低いセキュリティ）（デフォルト） カスタム暗号スイート（プロトコルバージョンに基づいて選択します。注意して進めてください。） カスタム暗号スイートの詳細については、サポートされている暗号スイートを表示するをご参照ください。

ドメイン名にバインドされている SSL 証明書を更新する

ドメイン名にバインドされている SSL 証明書が期限切れになる場合、または証明書が変更された場合 (証明書が取り消された場合など)、証明書を更新する必要があります。

ドメイン名にバインドされている SSL 証明書を更新するには、次の手順を実行します。

1. 証明書を更新するか、サードパーティ証明書を Certificate Management Service にアップロードします。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。

2. 証明書を WAF に同期します。

   • Certificate Management Service コンソールで、証明書を WAF にデプロイします。詳細については、「Alibaba Cloud サービスに証明書をデプロイする」をご参照ください。

   • WAF コンソールで証明書をアップロードします。

     1. [ウェブサイト設定] ページの [CNAME レコード] タブで、証明書を更新するドメイン名を見つけ、[アクション] 列の [編集] をクリックします。

     2. [HTTPS アップロードタイプ] パラメーターを [既存の証明書を選択] に設定し、新しい証明書を選択します。

次のステップ

参照

• 保護対象、保護ルール、および保護プロセスについて詳しくは、「保護構成の概要」をご参照ください。

• API 操作を呼び出すことによって WAF にドメイン名を追加する方法について詳しくは、「CreateDomain」をご参照ください。

• CNAME レコードモードで WAF に追加されたドメイン名の詳細を照会する方法について詳しくは、「DescribeDomainDetail」をご参照ください。