レイヤー 4 およびレイヤー 7 の CLB インスタンスを WAF に追加するためのクイックスタート - Web Application Firewall

HTTP、HTTPS、または TCP リスナーを持つ Alibaba Cloud Classic Load Balancer（CLB）インスタンスを作成した場合、リスナーのポートを Web Application Firewall（WAF）に追加できます。これにより、Web トラフィックが WAF を経由してリダイレクトされ、保護されます。このトピックでは、CLB インスタンスの WAF 保護を有効にする方法について説明します。

背景情報

同じリージョンの Elastic Compute Service（ECS）インスタンスを Classic Load Balancer（CLB）インスタンスに追加すると、CLB は仮想 IP アドレス（VIP）を使用して ECS インスタンスをパフォーマンス専有型で可用性の高いサーバープールにグループ化します。その後、CLB は転送ルールに基づいて受信リクエストを ECS インスタンスに転送します。詳細については、「Classic Load Balancer（CLB）とは」をご参照ください。

WAF は、CLB インスタンスのセキュリティ保護を提供します。 CLB インスタンスポートを WAF に追加すると、そのポートに送信されるすべての Web トラフィックは、指定されたゲートウェイを経由して WAF にリダイレクトされ、検出されます。 WAF は悪意のある Web 攻撃をフィルタリングし、正当なトラフィックを CLB サーバーに転送します。次の図は、ネットワークアーキテクチャを示しています。

説明

WAF は、レイヤー 7 とレイヤー 4 の両方の CLB インスタンスを保護します。レイヤー 4 CLB（TCP）インスタンスの場合、WAF はリスナーポート上の HTTP および HTTPS トラフィックを保護できます。 WAF は、HTTP または HTTPS 以外のプロトコルを使用するトラフィックを転送または保護しません。

制限事項

Application Load Balancer（ALB）、Microservices Engine（MSE）、Function Compute（FC）、Classic Load Balancer（CLB）、Elastic Compute Service（ECS）、Network Load Balancer（NLB）などの Alibaba Cloud サービスを、ネイティブモードで Web Application Firewall（WAF）に追加できます。 Alibaba Cloud にデプロイされていない Web アプリケーションを保護するには、CNAME レコードモードで WAF にドメイン名を追加します。詳細については、「WAF にドメイン名を追加する」をご参照ください。

項目	説明
サポートされている CLB インスタンス	インスタンスは、次の要件を満たしている必要があります。パブリック向けインスタンスであること。 IPv4 インスタンスであること。共有 CLB インスタンスではないこと。
サポートされているリージョン	中国本土: 中国（成都）、中国（北京）、中国（張家口）、中国（杭州）、中国（上海）、中国（深圳）、中国（青島）。中国本土以外: 中国（香港）、マレーシア（クアラルンプール）、インドネシア（ジャカルタ）、シンガポール。
トラフィックリダイレクトポートの数	数は、保護対象オブジェクトの数と同じです。サブスクリプション WAF インスタンス: Basic Edition は最大 300、Pro は 600、Enterprise は 2,500、Ultimate は 10,000 です。従量課金 WAF インスタンス: 最大 10,000。
TLS セキュリティポリシー	HTTPS リスナーが構成されているトラフィックリダイレクトポートは、CLB の組み込み TLS セキュリティポリシーのみをサポートします。ポートに他のカスタム TLS セキュリティポリシーを構成すると、ポートの追加に失敗します。詳細については、「TLS セキュリティポリシーとは」をご参照ください。
ポート構成	CLB インスタンスポートでは相互認証を有効にできません。リスナープロトコルが TCP または HTTP/HTTPS に設定されているポートのみを追加できます。

前提条件

WAF 3.0 インスタンスが購入されていること。詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金 WAF 3.0 インスタンスを購入する」をご参照ください。
指定された制限を満たす CLB インスタンスが作成され、HTTP、HTTPS、または TCP リスナーが CLB インスタンスに追加されていること。 CLB インスタンスにリスナーを追加する方法の詳細については、「HTTP リスナーを追加する」、「HTTPS リスナーを追加する」、および「TCP リスナーを追加する」をご参照ください。
サブスクリプションインスタンスを使用する場合は、インスタンスに保護対象オブジェクトを追加するための十分なクォータがあることを確認してください。そうしないと、クラウドサービスを追加できません。
保護対象オブジェクトページに移動して、保護対象オブジェクトの残りのクォータを確認できます。

トラフィックリダイレクトポートを追加する

重要

WAF にインスタンスを追加すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、サービスは自動的に再開され、影響を受けません。必要に応じて、サービスを監視し、再接続や back-to-origin などのディザスタリカバリメカニズムを準備することをお勧めします。
CLB インスタンスが WAF に追加されると、CLB インスタンスが削除された場合、保護されたリスナーポートが削除された場合、またはインスタンスにバインドされている EIP が置き換えられた場合、トラフィックリダイレクトポートは保護リストから自動的に削除されます。 HTTP/HTTPS リスナーを持つ CLB インスタンスのトラフィックリダイレクトポートの証明書の有効期限が切れている場合、Certificate Management Service (Original SSL Certificate)によって発行されていない証明書を使用している場合、または相互認証が有効になっている場合、WAF コンソールでのインスタンスステータスは保護異常に変わります。
これらの状況が発生した場合は、まず CLB インスタンスの構成を修正してから、WAF コンソールでインスタンスを WAF に再度追加する必要があります。そうしないと、サービストラフィックは WAF によって保護されません。

WAF 3.0 コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブで、左側のクラウドプロダクトのリストにある [Classic Load Balancer（CLB）] をクリックします。
認証ページで、今すぐ許可する をクリックして、WAF インスタンスが必要なクラウドサービスにアクセスすることを承認します。
Alibaba Cloud は、AliyunServiceRoleForWAF サービスリンクロールを自動的に作成します。サービスリンクロールを表示するには、Resource Access Management（RAM）コンソールにログインし、左側のナビゲーションウィンドウで [ID] > [ロール] を選択します。
説明
認証が完了すると、認証ページは表示されません。次のステップに進むことができます。
右側のリストで、CLB インスタンスを見つけ、WAF 保護ステータスを表示します。ターゲットインスタンスが見つからない場合は、ページの右上隅にある [アセットの同期] をクリックします。保護する CLB インスタンスを見つけ、アイコンをクリックして詳細を展開し、追加するポートを選択して、[アクション] 列の [今すぐ追加] をクリックします。

表示されるダイアログボックスで、パラメータを構成します。

重要

HTTPS ポートをレイヤー 7 CLB インスタンスに追加する場合は、ポートの証明書が Alibaba Cloud Certificate Management Service (Original SSL Certificate) から購入されているか、Certificate Management Service (Original SSL Certificate) にアップロードされていることを確認してください。そうしないと、WAF 証明書ソースの検証に失敗するため、ポートを追加できません。詳細については、「HTTPS リスナーを WAF に追加する際の不完全な証明書エラーのトラブルシューティング」をご参照ください。
レイヤー 7 CLB インスタンスのポートの証明書の有効期限が切れている場合、または手動でアップロードされた証明書を使用している場合、WAF は証明書を同期できないため、ポートを追加できません。 CLB コンソールにログインして、期限切れの証明書を置き換えるか、手動でアップロードされた証明書を Certificate Management Service（元の SSL）の証明書に置き換える必要があります。

構成項目	関連操作
[ポートのプロトコルタイプを選択]（TCP リスナーの場合のみ）	ポートの [プロトコルタイプ] を選択します。有効な値: [HTTP] および [HTTPS]。 [HTTPS] を選択した場合は、証明書をアップロードする必要があります。説明クラウドネイティブモードでは、SM 証明書をアップロードできません。アップロードするデフォルト証明書と拡張証明書の合計数は 25 を超えることはできません。さらに証明書をアップロードするには、ビジネスマネージャーまたはソリューションアーキテクトにお問い合わせください。デフォルト証明書手動アップロード手動アップロードを選択し、証明書名、証明書ファイル（例: `-----BEGIN CERTIFICATE-----......-----END CERTIFICATE-----`）、およびキーファイル（例: `-----BEGIN RSA PRIVATE KEY-----......-----END RSA PRIVATE KEY-----`）を入力します。重要証明書が PEM、CER、または CRT 形式の場合は、テキストエディタを使用して証明書ファイルを開き、コンテンツをコピーできます。証明書が PFX や P7B などの別の形式の場合は、テキストエディタを使用してコンテンツを取得する前に、証明書を PEM 形式に変換する必要があります。 Certificate Management Service コンソールにログインして、証明書形式変換ツールを使用できます。詳細については、「証明書の形式を変換する」をご参照ください。 1 つのドメイン名が複数の SSL 証明書に関連付けられている場合（たとえば、証明書チェーンが存在する場合）、証明書ファイルのコンテンツを連結してから、結合されたコンテンツを WAF にアップロードする必要があります。既存ファイルを選択証明書が次の 2 つの条件のいずれかを満たしている場合は、既存ファイルを選択を選択し、ドロップダウンリストから WAF にアップロードする証明書を選択できます。証明書が Alibaba Cloud Certificate Management Service によって発行されている。証明書がサードパーティ証明書であり、Certificate Management Service にアップロードされている。重要 Certificate Management Service にアップロードされたサードパーティ証明書を選択すると、WAF コンソールに「証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります」というメッセージが表示される場合があります。これは、選択した証明書に問題があることを示している可能性があります。 [Alibaba Cloud セキュリティ - 証明書サービス] をクリックし、Certificate Management Service コンソールで新しい証明書を再アップロードできます。詳細については、「SSL 証明書をアップロードして共有する」をご参照ください。拡張証明書インスタンスに複数のドメイン名の HTTPS Web サイトが構成されている場合は、拡張証明書を使用して、異なるドメイン名の証明書をインポートできます。追加証明書のアップロード方法は、デフォルト証明書の場合と同じです。詳細については、「デフォルト証明書」をご参照ください。説明複数の追加証明書を追加する場合は、選択した各証明書が有効であることを確認してください。期限切れの証明書が存在する場合、追加は失敗します。 [HTTPS] を選択した後、次の詳細設定も有効にできます。 Web サイトが HTTP/2 をサポートしている場合は、[HTTP2] を選択して HTTP/2 サービスの保護を有効にできます。説明 HTTP/2 プロトコルのポートは、HTTPS プロトコルのポートと同じです。 TLS バージョン HTTPS 通信で許可される TLS バージョンを指定します。クライアントが要件を満たさないプロトコルバージョンを使用している場合、WAF はそのリクエストトラフィックをドロップします。設定するプロトコルバージョンが高いほど、通信のセキュリティは向上しますが、互換性は低下します。 Web サイトの HTTPS 構成に基づいて、WAF がリッスンできる TLS バージョンを選択することをお勧めします。 Web サイトの HTTPS 構成がわからない場合は、デフォルトオプションを使用することをお勧めします。オプション: TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。（デフォルト） TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えておりますこのオプションを選択すると、TLS 1.0 を使用するクライアントは Web サイトにアクセスできません。 TLS 1.2 以上をサポートします。互換性と安全性が優れています。このオプションを選択すると、TLS 1.0 または 1.1 を使用するクライアントは Web サイトにアクセスできません。 Web サイトが TLS 1.3 をサポートしている場合は、TLS 1.3 以上対応を選択します。デフォルトでは、WAF は TLS 1.3 プロトコルを使用するクライアントリクエストをリッスンしません。暗号スイート HTTPS 通信で許可される暗号スイートを指定します。クライアントが要件を満たさない暗号スイートを使用している場合、WAF はそのリクエストトラフィックをドロップします。デフォルトでは、WAF でサポートされているすべての暗号スイートが選択されています。 Web サイトが特定の暗号スイートのみをサポートしている場合にのみ、この構成を変更することをお勧めします。オプション: すべての暗号スイート (高い互換性、低い安全性)（デフォルト）カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください): Web サイトが特定の暗号スイートのみをサポートしている場合は、このオプションを選択し、「サポートされている WAF 暗号スイート」から Web サイトでサポートされている暗号スイートを選択します。クライアントが他の暗号スイートを使用している場合、Web サイトにアクセスできません。
[WAF の前にレイヤー 7 プロキシ（Anti-DDoS Pro、Premium、CDN など）がデプロイされていますか？]	他のプロキシサービスはありません。 No（デフォルト）を選択します。これは、WAF が受信するビジネスリクエストが、他のプロキシサービスによって転送されるのではなく、クライアントによって直接開始されることを示しています。このシナリオでは、WAF は WAF との接続を確立する IP アドレス（リクエストの `REMOTE_ADDR` フィールドから）をクライアント IP アドレスとして直接取得します。別のプロキシサービスが存在します。 Yes を選択します。これは、WAF が受信するビジネスリクエストが、クライアントによって直接開始されるのではなく、他のレイヤー 7 プロキシサービスから転送されることを示しています。 WAF がセキュリティ分析のために実際のクライアント IP アドレスを取得できるようにするには、クライアント IP の取得方法をさらに設定する必要があります。オプション: （デフォルト）X-Forwarded-For フィールドのファースト IP アドレスをクライアントのソースアドレスにするデフォルトでは、WAF は X-Real-IP リクエストヘッダーフィールドをクライアント IP アドレスとして優先的に読み取ります。 X-Real-IP フィールドが存在しない場合、WAF は X-Forwarded-For（XFF）フィールドの最初の IP アドレスをクライアント IP アドレスとして読み取ります。 [推奨] X-Forwarded-For偽造を防ぐために、指定されたヘッダーフィールドの最初のIPアドレスをクライアントの実際のIPアドレスとして使用する。 Web サイトサービスが他のプロキシサービスを介して構成され、クライアントの送信元 IP アドレスがカスタムヘッダーフィールド（X-Real-IP や X-Client-IP など）に配置されている場合は、このオプションを選択し、ヘッダフィールドボックスに対応するヘッダーフィールドを入力する必要があります。説明サービスでクライアント IP アドレスを格納するためにカスタムヘッダーを使用し、WAF で対応するヘッダーフィールドを構成することをお勧めします。この方法により、攻撃者が XFF フィールドを偽造して WAF 検出ルールを回避することを防ぎ、ビジネスのセキュリティを向上させることができます。複数のヘッダーフィールドを入力できます。各ヘッダーフィールドを入力した後、Enter キーを押します。複数のヘッダーを設定すると、WAF は順番にクライアント IP アドレスを読み取ろうとします。最初のヘッダーが存在しない場合、WAF は 2 番目のヘッダーを読み取ります。以下同様です。指定されたヘッダーが存在しない場合、WAF は最初に X-Real-IP フィールドを読み取ろうとします。結果が見つからない場合、WAF は X-Forwarded-For（XFF）ヘッダーの最初の IP アドレスをクライアント IP アドレスとして使用します。
リソースグループ	リソースグループリストから、ドメイン名が属するリソースグループを選択します。リソースグループを選択しない場合、ドメイン名は [デフォルトリソースグループ] に追加されます。説明 Resource Management を使用して、事業部門やプロジェクトなどのディメンションごとにリソースグループを作成し、クラウドリソースを管理できます。詳細については、「リソースグループを作成する」をご参照ください。
詳細設定	[X-Forwarded-Proto ヘッダーフィールドを使用して WAF リスナープロトコルを取得する] WAF 3.0 は、`X-Forwarded-Proto` ヘッダーを、それを通過する HTTP リクエストに自動的に挿入します。このヘッダーは、クライアントと WAF 間の通信プロトコルが HTTP であるか HTTPS であるかを識別するために使用されます。 Web アプリケーションがこのヘッダーを正しく処理できない場合、互換性の問題が発生し、ビジネスの通常の動作に影響を与える可能性があります。このような問題を防ぐために、WAF がこのヘッダーを自動的に挿入できるようにする機能を無効にすることを選択できます。トラフィックマークの有効化トラフィックマーキングを有効にすると、オリジンサーバーは WAF を通過するリクエストを区別し、クライアントの実際の送信元 IP アドレスまたはポートを取得できます。次のタイプのマーキングフィールドを構成できます。カスタムヘッダヘッダ名とヘッダ値を構成することにより、WAF にこのヘッダー情報を back-to-origin リクエストに追加して、WAF を通過するリクエストをマークすることができます（WAF を通過しないリクエストと区別するため、バックエンドサービスによる統計分析が容易になります）。たとえば、`ALIWAF-TAG: Yes` を使用して、WAF を通過するリクエストをマークできます。この例では、`ALIWAF-TAG` がヘッダー名で、`Yes` がヘッダー値です。リアル送信元 IP アドレスクライアントの実際の送信元 IP アドレスが配置されているヘッダーフィールド名を構成することにより、WAF はこのヘッダーフィールドを記録し、オリジンサーバーに渡すことができます。 WAF がクライアントの実際の送信元 IP アドレスを判断するために使用する具体的なルールについては、[WAF の前にレイヤー 7 プロキシ（Anti-DDoS Pro または CDN など）がデプロイされていますか？] パラメーターの説明を参照してください。ソースポートクライアントの実際の送信元ポートが配置されているヘッダーフィールド名を構成することにより、WAF はこのヘッダーフィールドを記録し、オリジンサーバーに渡すことができます。重要標準の HTTP ヘッダーフィールド（User-Agent など）を入力しないでください。そうしないと、標準ヘッダーフィールドのコンテンツがカスタムフィールドの値で上書きされます。マークの追加をクリックして、マーキングフィールドを追加します。最大 5 つのマーキングフィールドを設定できます。 back-to-origin の持続的接続を構成する WAF とオリジンサーバー間で持続的接続のタイムアウト応答の問題が発生した場合は、必要に応じて接続タイムアウト、再試行回数、アイドル接続タイムアウトを調整できます。読み取り接続タイムアウト期間: WAF がオリジンサーバーからの応答を待機する期間。この期間を超えると、WAF は接続を切断します。デフォルト値は 120 秒です。構成可能な範囲は 1 秒から 3600 秒です。書き込み接続タイムアウト期間: WAF がオリジンサーバーにリクエストを送信する期間。この期間を超えると、WAF は接続を切断します。デフォルト値は 120 秒です。構成可能な範囲は 1 秒から 3600 秒です。 Back-to-origin の持続的接続: 持続的接続の再試行回数またはアイドルタイムアウトを構成するには、この機能を有効にして、次のパラメータを設定します。持続的接続の復元リクエスト数: WAF がオリジンサーバーに送信できるリクエストの数、または WAF がオリジンサーバーから同時に受信できる応答の数。デフォルト値は 1,000 です。構成可能な範囲は 60 から 1,000 です。アイドル時の長時間の接続タイムアウト: アイドル状態の持続的接続が閉じられる時間。デフォルト値は 3600 秒です。構成可能な範囲は 10 秒から 3600 秒です。

[OK] をクリックして構成を完了します。
WAF に CLB インスタンスを追加すると、WAF は「インスタンス ID-ポート-アセットタイプ」という名前の保護対象オブジェクトを自動的に作成し、デフォルトの軽減機能を保護対象オブジェクトに関連付けます。プロビジョニングリストで、追加されたインスタンスの ID をクリックして、[保護対象オブジェクト] ページに移動できます。このページでは、自動的に追加された保護対象オブジェクトを表示し、保護ルールを構成できます。詳細については、「保護構成の概要」をご参照ください。
説明
複数の CLB インスタンスを選択してバッチプロビジョニングすることもできます。デフォルトでは、選択したインスタンスのすべての HTTP および HTTPS ポートが追加されます。 TCP ポートの場合は、HTTP ポートまたは HTTPS ポートとして追加するかどうかを指定する必要があります。または、[ワンクリックフルアクセス] をクリックして、使用可能なすべてのインスタンスのすべての HTTP および HTTPS ポートを WAF に追加することもできます。

その他の操作

オリジンサーバーを表示し、トラフィックリダイレクトポートを管理する

WAF 3.0 コンソールにログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[クラウドネイティブ] タブで、左側のクラウドサービスのリストから [Classic Load Balancer（CLB）] を選択して、追加された CLB インスタンスを表示します。
- ポートの詳細を表示する: ポート詳細 をクリックして、ポート、プロトコル、および証明書に関する情報を表示します。 [WAF の前にレイヤー 7 プロキシ（Anti-DDoS Pro、Premium、CDN など）がデプロイされていますか？]、[トラフィックマーキングを有効にする]（詳細設定）、および [back-to-origin の持続的接続を構成する]（詳細設定）パラメータも構成できます。
- サービスプロバイダーリストから削除する: 接続解除 をクリックします。 接続解除 ダイアログボックスで、OK をクリックします。
  重要
  WAF からインスタンスを削除すると、Web サービスで数秒間一時的な切断が発生する場合があります。クライアントが自動的に再接続できる場合、接続は自動的に復元され、サービスには影響しません。必要に応じて、サービスを監視し、再接続や back-to-origin などのディザスタリカバリメカニズムを準備することをお勧めします。
  インスタンスを削除すると、アセットへのトラフィックは WAF によって保護されなくなります。ポートを再度追加できます。詳細については、「トラフィックリダイレクトポートを追加する」をご参照ください。

トラフィックリダイレクトポートに関連付けられた証明書を更新する

トラフィックリダイレクトポートに関連付けられた証明書の有効期限が近づいている場合、または証明書が変更された場合（たとえば、失効した場合）、証明書を更新する必要があります。

説明

証明書の残りの有効期間が 30 日未満の場合、ドメイン名リストにアイコンが表示されます。これは、証明書の有効期限が近づいていることを示しています。この場合、できるだけ早く証明書を更新する必要があります。
証明書の有効期限が近づいたときに、メールやショートメッセージなどの方法で通知を受信する場合は、証明書の通知を構成できます。詳細については、「SSL 証明書の通知を構成する」をご参照ください。
証明書の有効期限切れによるサービス中断を防ぐために、Certificate Management Service (Original SSL Certificate) の証明書ホスティング機能を有効にできます。この機能は、ホストされている証明書の有効期限が近づくと、証明書を自動的に申請します。詳細については、「証明書のホスティングとは」をご参照ください。

次の手順を実行します。

Certificate Management Service (Original SSL Certificate) で証明書を更新するか、証明書をアップロードします。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。
CLB リスナーのプロトコルに基づいて、次の手順を実行して証明書を WAF に同期します。
元の CLB プロトコルが HTTP/HTTPS（レイヤー 7）である
証明書を CLB インスタンスに同期します。
- Certificate Management Service（元の SSL 証明書）コンソールで、証明書をレイヤー 7 CLB インスタンスにデプロイします。詳細については、「SSL 証明書を Alibaba Cloud サービスにデプロイする」をご参照ください。
- Server Load Balancer コンソールで、証明書を更新します。詳細については、「証明書を置き換える」をご参照ください。
CLB コンソールで証明書を置き換えると、WAF は変更を自動的に同期します。 Certificate Management Service (Original SSL Certificate) コンソールから証明書を CLB インスタンスにデプロイする場合は、WAF コンソールの [プロビジョニング] ページで [アセットの同期] をクリックする必要があります。
トラフィックリダイレクトポートの証明書を、CLB インスタンスに手動でアップロードされた証明書に置き換えると、トラフィックリダイレクトポートはサービスプロバイダーリストから自動的に削除されます。証明書を置き換えた後、ポートを再度追加する必要があります。詳細については、「トラフィックリダイレクトポートを追加する」をご参照ください。
重要
レイヤー 7 CLB インスタンスが期限切れの証明書に関連付けられている場合、WAF は新しい証明書を同期できません。新しい証明書を同期する前に、期限切れの証明書を削除する必要があります。
元の CLB プロトコルが TCP（レイヤー 4）である
1. クラウドプロダクトアクセス タブで、[Classic Load Balancer（CLB）] タブをクリックします。次に、宛先インスタンスを見つけ、アイコンをクリックし、宛先ポートの操作列にある 証明書の編集 をクリックします。
2. デフォルト証明書 セクションで、既存ファイルを選択 を選択し、新しい証明書を選択します。

CLB コンソールで WAF 保護を管理する

CLB コンソールにログインします。
上部のナビゲーションバーで、ALB インスタンスがデプロイされているリージョンを選択します。

WAF 保護を管理します。

操作	手順
インスタンスで WAF 保護が有効になっているかどうかを確認する	次のいずれかの方法を使用して、インスタンスで WAF 保護が有効になっているかどうかを確認します。 [保護済み] と表示されている場合、WAF 保護は有効になっています。方法 1: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス名の横にあるアイコンにポインターを合わせ、ポップアップボックスの [Web セキュリティ保護] セクションで保護ステータスを表示します。方法 2: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細タブで、[基本情報] セクションの [WAF セキュリティ保護] のステータスを表示します。方法 3: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細タブで、セキュリティ保護タブをクリックし、[Web アプリケーションセキュリティ保護] セクションで保護ステータスを表示します。
WAF セキュリティレポートを表示する	WAF セキュリティレポートを表示するには、CLB インスタンスで WAF 保護が有効になっていることを確認してください。方法 1: [インスタンス] ページで、ターゲットインスタンスを見つけ、インスタンス名の横にあるアイコンにポインターを合わせます。ポップアップボックスの [Web セキュリティ保護] セクションで、[WAF セキュリティレポートを表示] をクリックして、WAF 3.0 コンソールのセキュリティレポートページに移動します。方法 2: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細タブの [基本情報] セクションで、[WAF]セキュリティ保護の右側にある WAF セキュリティレポートを表示をクリックして、WAF 3.0 コンソールのセキュリティレポートページに移動します。方法 3: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。インスタンスの詳細タブでセキュリティ保護タブをクリックし、[Web アプリケーションセキュリティ保護] セクションで [保護設定管理] をクリックします。[Web アプリケーションセキュリティ保護管理] ページで、WAF 3.0 コンソールのセキュリティレポートページに移動してレポートを表示します。詳細については、「セキュリティレポート」をご参照ください。
WAF 保護を無効にする	WAF 保護を無効にすると、CLB インスタンスのサービストラフィックは WAF によって保護されなくなり、セキュリティレポートには関連するサービストラフィックの保護データが含まれなくなります。重要 CLB インスタンスのサービストラフィックが WAF の保護対象外になると、WAF によるリクエスト処理料金は発生しなくなります。ただし、設定済みの保護ルールに対応する機能については、引き続き課金されます。追加料金が発生しないように、サービスアクセスをキャンセルする前に、設定済みの保護ルールを削除することを推奨します。詳細については、「課金説明」および「保護設定の概要」をご参照ください。方法 1: [インスタンス] ページで、対象のインスタンスを見つけ、[アクション] 列の > [管理] を選択します。 [リスナー] ページで、宛先インスタンスを見つけ、インスタンス名の横にあるアイコンにポインターを合わせ、ポップアップボックスの [保護を無効にする] をクリックします。 [Web アプリケーションファイアウォール保護を無効にする] ダイアログボックスで、[OK] を選択します。方法 2: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。 [インスタンスの詳細] タブで、[リスナー] タブをクリックし、宛先インスタンスを見つけ、インスタンス名の横にあるアイコンにポインターを合わせ、ポップアップボックスの [保護を無効にする] をクリックします。 [Web アプリケーションファイアウォール保護を無効にする] ダイアログボックスで、[OK] を選択します。方法 3: [インスタンス] ページで、宛先インスタンスを見つけ、インスタンス ID をクリックします。 [インスタンスの詳細] タブで、[セキュリティ保護] タブをクリックし、[Web アプリケーションセキュリティ保護] セクションの [軽減設定の管理] をクリックします。 [Web アプリケーションセキュリティ保護の管理] ページで、[Web アプリケーションセキュリティ保護] 列のアイコンをクリックします。 [シャットダウン成功] ダイアログボックスで、[OK] をクリックします。

よくある質問

CLB インスタンスが WAF に正常に追加されたことを確認するにはどうすればよいですか？
ブラウザにドメイン名を入力して、アクセスをテストします。 Web サイトにアクセスできることを確認した後、xxx.xxxx.com?id=1 and 1=1 などの悪意のある SQL インジェクション文字列をドメイン名に追加して、WAF 保護をテストします。 [405] ブロックページが返された場合、攻撃はブロックされており、WAF 保護がアクティブであることを示しています。
Classic Load Balancer（CLB）は、レイヤー 4 プロトコル（TCP および UDP）とレイヤー 7 プロトコル（HTTP および HTTPS）の負荷分散を提供します。
- レイヤー 4 リスナーは、リクエストをバックエンドサーバーに直接転送します。 CLB インスタンスがリクエストを受信すると、リスナーに構成されているバックエンドポートに基づいてリクエストパケットの宛先 IP アドレスと宛先ポートを変更し、トラフィックを対応するバックエンドサーバーに転送します。クライアントとバックエンドサーバー間で TCP 接続が確立されます。
- レイヤー 7 リスナーは、リバースプロキシとして機能します。クライアントリクエストが CLB インスタンスに到達すると、インスタンスはバックエンドサーバーとの新しい TCP 接続を確立し、新しい接続を介してリクエストを転送します。元のリクエストパケットを直接転送するわけではありません。レイヤー 7 リスナーの基盤となる実装には、レイヤー 4 リスナーと比較して、追加の Tengine 処理ステップが含まれています。クライアントポートが不足している場合、またはバックエンドサーバーの接続が多すぎる場合、レイヤー 7 サービスのパフォーマンスが低下する可能性があります。高いパフォーマンス要件がある場合は、レイヤー 4 リスナーを使用することをお勧めします。
詳細については、「CLB リスナー」をご参照ください。
レイヤー 7 CLB（HTTP/HTTPS）インスタンスの WAF 保護を有効にする場合、HTTP ポートと HTTPS ポートの両方を同時に追加できますか？
はい、できます。
CLB インスタンスを追加すると、「ポート 443 の CLB 証明書が不完全です。 CLB コンソールに移動し、SSL 証明書サービスから証明書を再選択してください。」というエラーメッセージが表示されます。どうすればよいですか？
SSL 証明書コンソールにログインして、証明書を更新またはアップロードする必要があります。次に、インスタンスを WAF に追加する前に、CLB コンソールで証明書を再選択します。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。

参考資料

複数のドメイン名が同じ CLB インスタンスに解決され、各ドメイン名に個別の保護ルールを構成する場合は、ドメイン名を保護対象オブジェクトとして手動で追加する必要があります。詳細については、「保護対象オブジェクトを手動で追加する」をご参照ください。
リスナーからクライアントの送信元 IP アドレスを取得するには、「CLB のレイヤー 7 リスナーからクライアントの送信元 IP アドレスを取得する」および「CLB のレイヤー 4 リスナーからクライアントの送信元 IP アドレスを取得する」をご参照ください。
プロビジョニングページでインスタンスが見つからない問題のトラブルシューティングを行うには、「プロビジョニングページで追加する CLB、NLB、または ECS インスタンスが見つからない問題のトラブルシューティング」をご参照ください。