すべてのプロダクト
Search

このプロダクト

    Web Application Firewall:MSE クラウドネイティブゲートウェイインスタンスの WAF 保護を有効にする

    ドキュメントセンター

    Web Application Firewall:MSE クラウドネイティブゲートウェイインスタンスの WAF 保護を有効にする

    最終更新日:Nov 09, 2025

    Web サービスで Alibaba Cloud Microservices Engine (MSE) を使用している場合、MSE クラウドネイティブゲートウェイインスタンスに対して Web Application Firewall (WAF) 保護を有効にできます。これにより、サービス トラフィックが WAF 3.0 に転送され、セキュリティ保護が提供されます。このトピックでは、MSE クラウドネイティブゲートウェイインスタンスの WAF 保護を有効にする方法について説明します。

    背景情報

    MSE は、主流のオープンソースマイクロサービスエコシステムをサポートする包括的なマイクロサービスプラットフォームです。Nacos、ZooKeeper、Eureka をネイティブにサポートする登録および設定センターを提供します。また、Ingress と Envoy をネイティブにサポートするクラウドネイティブゲートウェイ、および Spring Cloud、Dubbo、Sentinel をネイティブにサポートし、OpenSergo サービス管理仕様に準拠するマイクロサービス管理も提供します。WAF 3.0 は、クラウドネイティブゲートウェイを介して MSE と統合でき、より高い O&M 効率とよりスムーズなインタラクティブエクスペリエンスを提供します。

    制限

    クラウドネイティブモードでは、Application Load Balancer (ALB)、Microservices Engine (MSE)、Function Compute (FC)、Classic Load Balancer (CLB)、Elastic Compute Service (ECS)、Network Load Balancer (NLB) などの Alibaba Cloud サービスを Web Application Firewall (WAF) に追加できます。Alibaba Cloud にデプロイされていない Web アプリケーションを保護するには、CNAME レコードモードでドメイン名を WAF に追加します。詳細については、「WAF にドメイン名を追加する」をご参照ください。

    • WAF 保護は、次のリージョンにデプロイされている MSE インスタンスに対してのみ有効にできます: 中国 (杭州)中国 (上海)中国 (北京)中国 (ウランチャブ)中国 (香港)シンガポールマレーシア (クアラルンプール)中国 (張家口)中国 (深圳)日本 (東京)ドイツ (フランクフルト)米国 (シリコンバレー)、および 米国 (バージニア)

    • WAF に追加された MSE インスタンスは、次の機能をサポートしていません:

      • Web 改ざん防止

      • データ漏洩防止

      • ボット管理、具体的には Web SDK の自動統合と、シナリオ固有の Web サイトクローラー保護のための正当なボット管理

      • ボット脅威インテリジェンス

    前提条件

    • クラウドネイティブゲートウェイインスタンスを作成済みであること。詳細については、「MSE クラウドネイティブゲートウェイを作成する」をご参照ください。

    • サブスクリプションインスタンスを使用する場合、インスタンスに保護対象オブジェクトを追加するための十分なクォータがあることを確認してください。そうでない場合、クラウドサービスを追加できません。

      保護対象オブジェクトページに移動して、保護対象オブジェクトの残りのクォータを表示できます。image.png

    WAF 保護を有効にする

    1. Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。

    2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします

    3. [クラウドネイティブモード] タブをクリックします。左側のクラウドサービスのリストから、[クラウドネイティブゲートウェイ MSE] を選択します。

    4. 表示されたページで、今すぐ許可する をクリックして、WAF がクラウドプロダクトにアクセスすることを権限付与します。

      Alibaba Cloud は、[AliyunServiceRoleForWAF] サービスリンクロールを自動的に作成します。サービスリンクロールを表示するには、Resource Access Management (RAM) コンソールにログインし、左側のナビゲーションウィンドウで [ID] > [ロール] を選択します。

      説明

      すでに権限を付与している場合、権限付与ページは表示されません。次のステップに進むことができます。

    5. [追加] をクリックして Microservices Engine (MSE) コンソールを開きます。

    6. トップメニューバーで、リージョンを選択します: 中国 (杭州)中国 (上海)中国 (北京)中国 (ウランチャブ)中国 (香港)シンガポールマレーシア (クアラルンプール)中国 (張家口)中国 (深圳)日本 (東京)ドイツ (フランクフルト)米国 (シリコンバレー)、または 米国 (バージニア)

    7. WAF 保護を有効にします。

      重要

      MSE クラウドネイティブゲートウェイインスタンスの WAF 保護を初めて有効にする場合、ゲートウェイサービスが自動的に再起動し、持続的接続が中断されることがあります。これにより、サービス中断やパフォーマンスの低下が発生する可能性があります。この操作はオフピーク時に実行することをお勧めします。

      • インスタンスレベルの保護を有効にする

        宛先ゲートウェイの [WAF セキュリティ保護] 列で、未开启 アイコンをクリックし、次に [ゲートウェイインスタンス保護を有効にする] をクリックします。または、[アクション] 列で、[その他] > [WAF 保護を有効にする] を選択し、[OK] をクリックします。

      • ルートレベルの保護を有効にする

        1. 宛先インスタンスの名前をクリックします。[基本情報] ページの左側のナビゲーションウィンドウで、[ルーティング管理] > [ルート設定] を選択します。または、宛先ゲートウェイの [アクション] 列で、[ルート設定] をクリックします。

        2. 宛先ルートの [アクション] 列で、[その他] > [ルート保護を有効にする] を選択し、[OK] をクリックします。

    MSE コンソールで WAF 保護を管理する

    1. MSE ゲートウェイ管理コンソールにログインできます。左側のナビゲーションウィンドウで、[クラウドネイティブゲートウェイ] > [ゲートウェイ] を選択します。

    2. トップメニューバーで、リージョンを選択します: 中国 (杭州)中国 (上海)中国 (北京)中国 (ウランチャブ)中国 (香港)シンガポールマレーシア (クアラルンプール)中国 (張家口)中国 (深圳)日本 (東京)ドイツ (フランクフルト)米国 (シリコンバレー)、または 米国 (バージニア)

    3. WAF 保護を管理します。

      • 追加されたインスタンスの表示

        インスタンスリストで、WAF 保護が有効になっているインスタンスを表示できます。インスタンス名の横に 已开启 アイコンが表示されている場合、そのインスタンスで WAF 保護が有効になっています。

      • 接続されているインスタンスをシャットダウンできます。

        WAF 保護を無効にすると、MSE インスタンスのサービス トラフィックは WAF によって保護されなくなり、セキュリティレポートにはサービス トラフィックに関する保護データが含まれなくなります。

        重要

        MSE インスタンスのサービス トラフィックが WAF によって保護されなくなると、リクエストに対する課金は発生しなくなります。ただし、設定した保護ルールで有効になっている機能については引き続き課金されます。予期しない料金を防ぐために、WAF 保護を無効にする前に、設定済みの保護ルールを削除することをお勧めします。詳細については、「課金」および「保護モジュールの概要」をご参照ください。

        • インスタンスレベルの保護を無効にする

          宛先ゲートウェイの [WAF セキュリティ保護] 列で、已开启 アイコンをクリックし、次に [ゲートウェイインスタンス保護を無効にする] をクリックします。または、[アクション] 列で、[その他] > [WAF 保護を無効にする] を選択します。次に、[OK] をクリックします。

        • ルートレベルの保護を無効にする

          1. 宛先インスタンスの名前をクリックします。[基本情報] ページの左側のナビゲーションウィンドウで [ルーティング管理] > [ルート設定] を選択します。または、宛先ゲートウェイの [アクション] 列で、[ルート設定] をクリックします。

          2. 宛先ルートの [アクション] 列で、[その他] > [ルート保護を無効にする] を選択し、[OK] をクリックします。

    WAF コンソールで WAF 保護を管理する

    1. Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。

    2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします

    3. WAF 保護を管理します。

      • 追加された MSE インスタンスの表示

        [クラウドネイティブモード] タブで、左側のクラウドサービスのリストから [クラウドネイティブゲートウェイ MSE] を選択します。

      • 保護対象オブジェクトと保護ルールを設定する

        WAF 保護を有効にすると、WAF は自動的に名前が -mse で終わる保護対象オブジェクトを作成します。この保護対象オブジェクトに対しては、デフォルトで Web 侵入防止ルールが有効になります。追加されたインスタンスのリストで、インスタンス ID をクリックして [保護対象オブジェクト] ページに移動できます。このページでは、自動的に追加された保護対象オブジェクトを表示し、その保護ルールを設定できます。詳細については、「緩和設定の概要」をご参照ください。防护对象

      • インスタンスの削除

        インスタンスを削除すると、MSE インスタンスのサービス トラフィックは WAF によって保護されなくなり、セキュリティレポートにはサービス トラフィックに関する保護データが含まれなくなります。

        重要

        MSE インスタンスのサービス トラフィックが WAF によって保護されなくなると、リクエストに対する課金は発生しなくなります。ただし、設定した保護ルールで有効になっている機能については引き続き課金されます。予期しない料金を防ぐために、インスタンスを削除する前に、設定済みの保護ルールを削除することをお勧めします。詳細については、「課金」および「保護モジュールの概要」をご参照ください。

        1. 宛先インスタンスの [アクション] 列で、[削除] をクリックします。

          Microservices Engine (MSE) コンソール のゲートウェイリストページにリダイレクトされます。

        2. MSE コンソールで WAF 保護を無効にします。詳細については、「追加されたインスタンスの WAF 保護を無効にする」をご参照ください。