すべてのプロダクト
Search
ドキュメントセンター

Web Application Firewall:ECS インスタンスの WAF 保護を有効にする

最終更新日:Jun 10, 2025

Elastic Compute Service (ECS) インスタンスを作成した場合は、インスタンスのポートを Web Application Firewall (WAF) に追加して、インスタンスの Web トラフィックを WAF にリダイレクトして保護します。このトピックでは、ECS インスタンスの WAF 保護を有効にする方法について説明します。

背景情報

ECS は、Alibaba Cloud が提供する、高パフォーマンス、安定性、信頼性、スケーラビリティを備えた IaaS (Infrastructure as a Service) クラウドコンピューティングサービスです。 IT ハードウェアへの初期投資の必要性を排除し、アプリケーションを効率的にデプロイできます。 ECS を使用すると、変化する要件に基づいてリソースを動的にスケーリングし、トラフィックの急増に効果的に対応できます 

ECS インスタンスの WAF 保護を有効にするには、ECS インスタンスのトラフィックリダイレクションポートを WAF に追加します。追加されると、トラフィックリダイレクションが有効になっているポートからのトラフィックは、特定のゲートウェイを介して WAF にリダイレクトされます。 WAF は悪意のあるトラフィックをフィルタリングし、通常のトラフィックを ECS インスタンスに転送します。次の図は、ネットワークアーキテクチャを示しています。

制限

次の Alibaba Cloud サービスのいずれかを使用する Web サービスは、クラウドネイティブモードで WAF に追加できます。Application Load Balancer (ALB)、マイクロサービスエンジン (MSE)、Function Compute、Classic Load Balancer (CLB)、Elastic Compute Service (ECS)、および Network Load Balancer (NLB)。. 前述の Alibaba Cloud サービスを使用していない Web サービスを WAF で保護する場合は、Web サービスのドメイン名を CNAME レコードモードで WAF に追加します。詳細については、「ドメイン名を WAF に追加する」をご参照ください。

項目

説明

サポートされているインスタンス

次の要件を満たすインスタンスのみを WAF に追加します。

  • インスタンスはインターネットに接続されているインスタンスです。

  • インスタンスは IPv6 を使用していません。

  • インスタンスの相互認証は無効になっています。

サポートされているリージョン

  • 中国本土: 中国 (成都)、中国 (北京)、中国 (張家口)、中国 (杭州)、中国 (上海)、中国 (深圳)、および中国 (青島)。

  • 中国本土以外: 中国 (香港)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、およびシンガポール。

トラフィックリダイレクションポートの数

トラフィックリダイレクションポートの最大数は、保護対象オブジェクトの最大数と同じです。

  • サブスクリプション WAF インスタンス: Basic エディションでは 300、Pro エディションでは 600、Enterprise エディションでは 2,500、Ultimate エディションでは 10,000 です。

  • 従量課金 WAF インスタンス: 10,000

サポートされているポート

0 ~ 65535 の標準ポートと非標準ポートがサポートされています。詳細については、「サポートされているポートを表示する」をご参照ください。

Anti-DDoS Proxy および WAF によって保護されているサービス

Anti-DDoS Proxy と WAF を使用して Web サービスを保護する場合は、ドメイン名を追加することでサービスを Anti-DDoS Proxy に追加した場合にのみ、透過プロキシモードでサービスを WAF に追加します。

前提条件

  • WAF 3.0 インスタンスが購入されています。詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金 WAF 3.0 インスタンスを購入する」をご参照ください。

  • 前述の要件を満たす ECS インスタンスが作成されています。要件の詳細については、このトピックの「制限」セクションを参照してください。 ECS インスタンスの作成方法については、「インスタンスを作成する」をご参照ください。

  • サブスクリプション WAF インスタンスを使用する場合は、WAF に追加された保護対象オブジェクトの数が上限を超えていないことを確認してください。数が上限を超えている場合は、クラウドサービスインスタンスを WAF に追加しないでください。

    WAF に追加できる保護対象オブジェクトの数を表示するには、保護対象オブジェクトページ にアクセスします。image.png

トラフィックリダイレクションポートを追加する

重要
  • インスタンスを WAF に追加すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、Web サービスは自動的に再開されます。ビジネス要件に基づいて、再接続メカニズムと原点復帰設定を構成します。

  • ECS インスタンスの WAF 保護を有効にした後に次の操作を実行すると、トラフィックリダイレクションポートは WAF から自動的に削除されます。ポートを WAF に再度追加しないと、ポート上のトラフィックは WAF によってフィルタリングされません。

    • インスタンスに関連付けられているパブリック IP アドレスを変更します。

    • 移行タスクを作成し、ゾーンを変更します。

    • インスタンスをリリースします。

  • ECS インスタンスの WAF 保護を有効にすると、ECS インスタンスに関連付けられている Elastic IP アドレス (EIP) またはパブリック IP アドレス宛てのトラフィックは WAF にリダイレクトされます。

  • EIP を ECS インスタンスから関連付け解除すると、トラフィックリダイレクションは自動的に無効になります。

  1. WAF 3.0 コンソール にログインします。 上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。

  2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

  3. [クラウドネイティブ] タブで、左側のクラウドサービスリストの [ECS] をクリックします。

  4. 認証ページで、今すぐ許可する をクリックして、必要なクラウドサービスにアクセスするための WAF インスタンスを承認します。

    Alibaba Cloud は、AliyunServiceRoleForWAF サービスロールを自動的に作成します。サービスロールを表示するには、Resource Access Management (RAM) コンソール にログインし、左側のナビゲーションウィンドウで [ID] > [ロール] を選択します。

    説明

    認証が完了すると、認証ページは表示されません。次の手順に進むことができます。

  5. [追加] をクリックします。

  6. [インスタンスの設定 - ECS インスタンス] パネルで、パラメータを設定します。次の表にパラメータを示します。

    image.png

    パラメータ

    操作

    追加するインスタンスとポートを選択します。

    1. [インスタンスの同期]

      WAF に追加するインスタンスがインスタンスリストにない場合は、資産の同期 をクリックしてインスタンスリストを更新します。

    2. [ポートの追加]

      1. WAF に追加するインスタンスを見つけ、ポートの追加 列の 操作 をクリックします。

      2. WAF に追加するポートの番号を入力し、Enter キーを押します。

        ポート番号は WAF でサポートされている必要があります。[ポート範囲の表示] をクリックして、WAF でサポートされている HTTP ポートと HTTPS ポートを表示できます。詳細については、「サポートされているポートを表示する」をご参照ください。

      3. WAF に追加するポートの [プロトコルタイプ] を選択します。有効な値: [HTTP] および [HTTPS]

        [HTTPS] を選択した場合は、証明書をアップロードする必要があります。

        説明

        アップロードするデフォルト証明書と追加証明書の合計数は 25 を超えることはできません。さらに証明書をアップロードする場合は、アカウントマネージャーまたはソリューションアーキテクトにお問い合わせください。

        • デフォルト証明書

          • 手動アップロード

            手動アップロード をクリックし、証明書名証明書ファイル、および キーファイル パラメータを設定します。証明書ファイルパラメータの値は、-----BEGIN CERTIFICATE-----...-----END CERTIFICATE----- 形式である必要があります。秘密キーパラメータの値は、-----BEGIN RSA PRIVATE KEY-----...-----END RSA PRIVATE KEY----- 形式である必要があります。

            重要
            • 証明書ファイルが PEM、CER、または CRT 形式の場合は、テキストエディタを使用してファイルを開き、テキストの内容をコピーします。証明書ファイルが PFX や P7B などの別の形式の場合は、テキストエディタで開いて内容をコピーする前に、証明書ファイルを PEM 形式に変換します。証明書管理サービス コンソール にログインし、提供されているツールを使用して ファイル形式を変換できます。

            • ドメイン名が複数の SSL 証明書に関連付けられている場合、または証明書チェーンがある場合は、証明書ファイルのテキストの内容を結合し、結合されたテキストの内容をアップロードします。

          • 既存ファイルを選択

            証明書が次のいずれかの条件を満たしている場合は、既存ファイルを選択 をクリックし、証明書リストから証明書を選択します。

            • 証明書は 証明書管理サービス を使用して発行されます。

            • 証明書は、証明書管理サービス にアップロードされたサードパーティ証明書です。

              重要

              証明書管理サービス にアップロードされたサードパーティ証明書を選択し、証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります というエラーメッセージが表示された場合は、[Alibaba Cloud セキュリティ - 証明書管理サービス] をクリックし、証明書管理サービス コンソールで証明書を再アップロードします。詳細については、「SSL 証明書をアップロードして共有する」をご参照ください。

        • 拡張証明書

          インスタンスが HTTPS 経由で複数のドメイン名からのトラフィックを許可するように構成されている場合は、拡張証明書 をクリックして、ドメイン名の証明書をインポートします。追加証明書とデフォルト証明書のアップロードに使用されるパラメータは同じです。詳細については、「デフォルト証明書」をご参照ください。

        • [HTTPS] を選択した場合は、詳細設定 をクリックして、次の詳細パラメータを構成できます。

          • TLS バージョン

            HTTPS 通信でサポートされている Transport Layer Security (TLS) プロトコルのバージョンを指定します。クライアントがサポートされていない TLS バージョンを使用している場合、WAF はクライアントから送信されたリクエストをブロックします。TLS プロトコルの新しいバージョンは、セキュリティは向上しますが、互換性は低下します。

            Web サイトの HTTPS 設定に基づいて TLS バージョンを指定することをお勧めします。Web サイトの HTTPS 設定を取得できない場合は、デフォルト値を使用します。

            有効な値:

            • TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。 (デフォルト)

            • TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております

              この値を選択すると、TLS 1.0 を使用するクライアントは Web サイトにアクセスできません。

            • TLS 1.2 以上をサポートします。互換性と安全性が優れています。

              この値を選択すると、TLS 1.0 または 1.1 を使用するクライアントは Web サイトにアクセスできません。

            Web サイトが TLS 1.3 をサポートしている場合は、TLS 1.3 以上対応 を選択します。デフォルトでは、WAF は TLS 1.3 を使用して送信されたリクエストをリッスンしません。

          • 暗号スイート

            HTTPS 通信でサポートされている暗号スイートを指定します。クライアントがサポートされていない暗号スイートを使用している場合、WAF はクライアントから送信されたリクエストをブロックします。

            デフォルト値は [すべての暗号スイート (高い互換性と低いセキュリティ)] です。Web サイトが特定の暗号スイートをサポートしている場合にのみ、このパラメータを別の値に設定することをお勧めします。

            有効な値:

            • すべての暗号スイート (高い互換性、低い安全性)

            • カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください): Web サイトが特定の暗号スイートのみをサポートしている場合は、この値を選択してから、Web サイトでサポートされている暗号スイートを選択することをお勧めします。詳細については、「サポートされている暗号スイートを表示する」をご参照ください。

              他の暗号スイートを使用するクライアントは Web サイトにアクセスできません。

    WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか

    Anti-DDoS Proxy や Alibaba Cloud CDN など、WAF の前にレイヤー 7 プロキシがデプロイされているかどうかを指定します。有効な値: はい、いいえ。

    • デフォルトでは、No が選択されています。この値は、WAF がクライアントから送信されたリクエストを受信することを指定します。リクエストはプロキシによって転送されません。

      説明

      リクエストがクライアントから WAF に送信されると、WAF は WAF への接続の確立に使用された IP アドレスをクライアントの IP アドレスとして使用します。IP アドレスは、リクエストの REMOTE_ADDR フィールドで指定されます。

    • レイヤー 7 プロキシが WAF の前にデプロイされている場合は、Yes を選択します。この値は、WAF がレイヤー 7 プロキシによって WAF に転送されたリクエストを受信することを指定します。WAF がセキュリティ分析のためにクライアントの実際の IP アドレスを取得できるようにするには、クライアント IP の取得方法 パラメータを設定する必要があります。

      • X-Forwarded-For の最初の IP アドレスをクライアント送信元 IP とする (デフォルト)

        デフォルトでは、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの IP アドレスとして使用します。

      • 【推奨】偽装 XFF を回避するために、指定したヘッダの最初の IP アドレスをクライアント送信元 IP アドレスとする

        X-Client-IP や X-Real-IP などのカスタムヘッダーフィールドにクライアントの送信元 IP アドレスが含まれているプロキシを使用する場合は、この値を選択します。次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。

        説明

        クライアントの送信元 IP アドレスを保存するためにカスタムヘッダーフィールドを使用し、WAF でヘッダーフィールドを指定することをお勧めします。こうすることで、攻撃者は WAF 検査をバイパスするために X-Forwarded-For フィールドを偽造することができなくなります。これにより、ビジネスのセキュリティが向上します。

        複数のヘッダーフィールドを入力できます。ヘッダーフィールドを入力するたびに Enter キーを押します。複数のヘッダーフィールドを入力すると、WAF はクライアントの IP アドレスを取得するまでヘッダーフィールドを順番に読み取ります。WAF がヘッダーフィールドからクライアントの IP アドレスを取得できない場合、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの IP アドレスとして使用します。

    リソースグループ

    [リソースグループ] ドロップダウンリストから、ECS インスタンスを追加するリソースグループを選択します。リソースグループを選択しないと、ECS インスタンスは [デフォルトのリソースグループ] に追加されます。

    説明

    リソース管理を使用して、Alibaba Cloud アカウント内で部門またはプロジェクト別にリソースグループを作成し、リソースを管理できます。詳細については、「リソースグループを作成する」をご参照ください。

    詳細設定

    • X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する

      X-Forwarded-Proto ヘッダーフィールドは HTTP リクエストに自動的に追加されます。X-Forwarded-Proto ヘッダーフィールドは、クライアントが使用した元のプロトコルを識別するために使用されます。Web サイトが X-Forwarded-Proto ヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。このような問題を防ぐには、[X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する] をオフにします。

    • トラフィックマークの有効化

      [トラフィックマークを有効にする] を選択すると、WAF を通過するリクエストがマークされます。これにより、オリジンサーバーはクライアントの送信元 IP アドレスまたはポートを取得できます。

      攻撃者がドメイン名を WAF に追加する前にオリジンサーバーに関する情報を取得し、別の WAF インスタンスを使用してリクエストをオリジンサーバーに転送する場合、[トラフィックマークを有効にする] を選択して悪意のあるトラフィックを遮断します。オリジンサーバーは、リクエストが WAF を通過したかどうかを確認します。指定されたヘッダーフィールドがリクエストに存在する場合、リクエストは WAF を通過し、許可されます。指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストは WAF を通過しておらず、ブロックされます。

      次のタイプのヘッダーフィールドを構成できます。

      • カスタムヘッダ

        カスタムヘッダーフィールドを追加する場合は、ヘッダ名 パラメータと ヘッダ値 パラメータを設定する必要があります。WAF は、原点復帰リクエストにヘッダーフィールドを追加します。これにより、オリジンサーバーはリクエストが WAF を通過したかどうかを確認し、統計を収集し、データを分析できます。

        たとえば、ALIWAF-TAG: Yes カスタムヘッダーフィールドを追加して、WAF を通過するリクエストをマークできます。この例では、ヘッダーフィールドの名前は ALIWAF-TAG で、ヘッダーフィールドの値は Yes です。

      • リアル送信元 IP アドレス

        クライアントの送信元 IP アドレスを記録するヘッダーフィールドを指定できます。こうすることで、オリジンサーバーはクライアントの送信元 IP アドレスを取得できます。 WAF がクライアントの送信元 IP アドレスを取得する方法の詳細については、このトピックの [WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか] パラメータの説明を参照してください。

      • ソースポート

        クライアントの送信元ポートを記録するヘッダーフィールドを指定できます。こうすることで、オリジンサーバーはクライアントのポートを取得できます。

      重要

      User-Agent などの標準 HTTP ヘッダーフィールドは構成しないことをお勧めします。そうしないと、標準ヘッダーフィールドの元の値がカスタムヘッダーフィールドの値で上書きされます。

      マークの追加 をクリックして、ヘッダーフィールドを追加できます。最大 5 つのヘッダーフィールドを指定できます。

    • 原点復帰キープアライブリクエスト

      WAF とオリジンサーバー間の持続的接続がタイムアウトした場合は、持続的接続のタイムアウト期間、再利用される持続的接続の数、およびアイドル状態の持続的接続のタイムアウト期間を再構成できます。

      • 読み取り接続タイムアウト期間: WAF がオリジンサーバーからの応答を待機する時間。タイムアウト期間が終了すると、WAF は接続を閉じます。有効な値: 1 ~ 3600。デフォルト値: 120。単位: 秒。

      • 書き込み接続タイムアウト期間: WAF がリクエストがオリジンサーバーに転送されるのを待機する時間。タイムアウト期間が終了すると、オリジンサーバーは接続を閉じます。有効な値: 1 ~ 3600。デフォルト値: 120。単位: 秒。

      • Back-to-origin の持続的接続: 再利用される持続的接続の数またはアイドル状態の持続的接続のタイムアウト期間を構成する場合は、[原点復帰キープアライブリクエスト] をオンにして、次のパラメータを構成します。

        • 持続的接続の復元リクエスト数: WAF がオリジンサーバーに転送できるリクエストの数、または WAF がオリジンサーバーから同時に受信できる応答の数。有効な値: 60 ~ 1000。デフォルト値: 1000。

        • アイドル時の長時間の接続タイムアウト: アイドル状態の持続的接続のタイムアウト期間。有効な値: 10 ~ 3600。デフォルト値: 3600。単位: 秒。

  7. WAF 保護を有効にする ECS インスタンスを選択し、[OK] をクリックします。

    ECS インスタンスの WAF 保護を有効にすると、インスタンスは自動的に WAF の保護対象オブジェクトになります。保護対象オブジェクトの名前は、インスタンス ID - ポート番号 - アセットタイプの形式です。デフォルトでは、コア保護ルールモジュールの保護ルールは保護対象オブジェクトに対して有効になっています。[保護対象オブジェクト] ページで保護対象オブジェクトを表示し、オブジェクトの保護ルールを構成します。保護対象オブジェクトページに移動するには、[Web サイトの構成] ページの [クラウドネイティブ] タブで、WAF に追加した ECS インスタンスの ID をクリックします。詳細については、「保護構成の概要」をご参照ください。防护对象

WAF 保護を管理する

オリジンサーバーを表示し、トラフィックリダイレクションポートを管理する

ECS インスタンスの WAF 保護を有効にした後、オリジンサーバーの保護の詳細を表示し、緊急ディザスタリカバリシナリオでトラフィックリダイレクションを強制的に無効にするか、トラフィックリダイレクションポートを削除します。

  1. アクセス管理 ページで、クラウドプロダクトアクセス タブをクリックします。

  2. 左側のクラウドサービスリストで、[ECS] をクリックします。トラフィックリダイレクションポートを表示する ECS インスタンスを見つけ、インスタンス名の左側にある image.png アイコンをクリックして、WAF に追加されているポートを表示します。image.png

    • ポートの詳細を表示する: [アクション] 列の ポート詳細 をクリックして、ポート、プロトコル、および証明書に関する情報を表示します。次に、[WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか][トラフィックマークを有効にする] (詳細設定)、および [原点復帰キープアライブリクエスト] (詳細設定) パラメータを構成します。

    • ポートを削除する: [アクション] 列の 接続解除 をクリックします。接続解除 メッセージで、OK をクリックします。

      重要
      • WAF からトラフィックリダイレクションポートを削除すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、Web サービスは自動的に再開されます。ビジネス要件に基づいて、再接続メカニズムと原点復帰設定を構成します。

      • WAF からトラフィックリダイレクションポートを削除すると、ポート上のトラフィックは WAF によって保護されなくなります。ポートを WAF に再度追加するには、[追加] をクリックします。詳細については、「トラフィックリダイレクションポートを追加する」をご参照ください。

トラフィックリダイレクションポートに関連付けられた証明書を更新する

トラフィックリダイレクションポートに関連付けられた証明書の有効期限が切れそうになっている場合、または証明書が変更された場合 (証明書が失効した場合など) は、証明書を更新する必要があります。

説明
  • 証明書の残りの有効期間が 30 日未満の場合、ドメイン名リストに image.png アイコンが表示されます。これは、証明書の有効期限が切れそうになっていることを示しています。この場合、できるだけ早く証明書を更新する必要があります。

  • 証明書の有効期限が切れそうになったときに、メールやショートメッセージなどの方法で通知を受信する場合は、証明書の通知を構成します。

  • 証明書の有効期限切れによるサービス中断を防ぐには、証明書管理サービスの 証明書ホスティング機能 を有効にします。証明書に対してこの機能を有効にすると、ホストされている証明書の有効期限が切れそうになったときに、システムは自動的に新しい証明書を申請します。

次の手順を実行します。

  1. 証明書を更新するか、サードパーティ証明書を証明書管理サービスにアップロードします。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。

  2. WAF コンソールで証明書を更新します。

    1. クラウドプロダクトアクセス タブで、左側のクラウドサービスリストの [ECS] をクリックします。管理するインスタンスを見つけ、image.png アイコンをクリックします。証明書を更新するトラフィックリダイレクションポートを見つけ、証明書の編集 列の 操作 をクリックします。

    2. デフォルト証明書 ダイアログボックスで、既存ファイルを選択 を選択し、ドロップダウンリストから新しい証明書を選択します。

単一の ECS インスタンスに解決される複数のドメインの保護ルールを構成する

複数のドメイン名が同じ ECS インスタンスに解決され、追加後にこれらのドメインの保護ルールを個別に構成する場合は、ドメインを保護対象オブジェクトとして手動で追加します。

よくある質問

Web サイトの構成ページで WAF に追加する CLB インスタンスまたは ECS インスタンスが見つからないのはなぜですか。