CNAME レコードモードでは、Web Application Firewall(WAF)は特定の原点復帰 CIDR ブロックを使用して、通常のトラフィックをオリジンサーバーに転送します。 CNAME レコードモードで WAF に Web サイトを追加した後、WAF の原点復帰 CIDR ブロックからのインバウンドトラフィックを許可するように、オリジンサーバーのセキュリティソフトウェアまたはアクセスの制御ポリシーを設定する必要があります。
シナリオ
[CNAME レコード] モードで、オリジンサーバーに SafeDog や Yunsuo などのセキュリティソフトウェアを使用している場合は、 WAF の原点復帰 CIDR ブロック をセキュリティソフトウェアの IP アドレス ホワイトリストに追加する必要があります。 これにより、セキュリティソフトウェアは、WAF によってオリジンサーバーに転送された通常のトラフィックをブロックしません。
よくある質問
WAF の原点復帰 CIDR ブロックを取得する
WAF 3.0 コンソール にログインします。 上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。 中国本土 または 中国本土以外 を選択できます。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
[CNAME レコード] タブをクリックします。
ドメイン名リストの上にある 原点復帰 CIDR ブロック をクリックします。
原点復帰 CIDR ブロック メッセージで、[コピー] をクリックして、すべての原点復帰 CIDR ブロックをクリップボードにコピーします。
説明コピーする原点復帰 CIDR ブロックはコンマ(,)で区切られます。 2408:400a:3c:xxxx::/56 などの IPv6 アドレスが含まれる場合があります。 ビジネス要件に基づいて IPv6 アドレスを許可するかどうかを決定できます。 オリジンサーバーが IPv4 アドレスのみをサポートしている場合は、IPv6 アドレスを許可する必要はありません。
次の手順
WAF の原点復帰 CIDR ブロックを取得したら、オリジンサーバーのセキュリティソフトウェアの IP アドレス ホワイトリストに追加する必要があります。 また、WAF の原点復帰 CIDR ブロックからのインバウンドトラフィックのみを許可するように、オリジンサーバーのアクセスの制御ポリシーを設定することもできます。
WAF の原点復帰 CIDR ブロックをオリジンサーバーのセキュリティソフトウェアの IP アドレス ホワイトリストに追加しないと、WAF によって転送された通常の要求がブロックされる可能性があります。 これにより、サービス中断が発生する可能性があります。
セキュリティのために、WAF の原点復帰 CIDR ブロックからのインバウンドトラフィックのみを許可するように、オリジンサーバーのアクセスの制御ポリシーを設定することをお勧めします。 これにより、攻撃者は WAF をバイパスしてオリジンサーバーを攻撃することができなくなります。