Web Application Firewall (WAF) に Web サイトを追加した後、Web サイト改ざん防止ルールを設定して、機密情報を含む Web ページなど、保護したい Web ページをロックできます。ロックされたページがリクエストを受信すると、ページのキャッシュされたバージョンが返され、Web ページの改ざんを防ぐのに役立ちます。このトピックでは、Web サイト改ざん防止テンプレートを作成し、保護ルールを追加する方法について説明します。
制限事項
この機能は、ハイブリッドクラウドモードまたはクラウドネイティブモード (MSE、FC) を使用する保護オブジェクトではサポートされていません。
要件
アクティブな 従量課金 WAF 3.0 サービスが必要です。
Web サービスを 保護オブジェクトおよび保護オブジェクトグループ として WAF 3.0 に追加済みであること。
ステップ 1: Web サイト改ざん防止テンプレートの作成
Web サイト改ざん防止モジュールは、デフォルトの保護テンプレートを提供しません。Web サイト改ざん防止ルールを有効にする場合は、保護テンプレートを作成し、そのテンプレートにルールを追加する必要があります。
Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
Web コア保護 ページで、[Web サイト改ざん防止] セクションを見つけ、[テンプレートの作成] をクリックします。
[テンプレートの作成 - Web サイト改ざん防止] パネルで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
テンプレート名
テンプレートの名前を指定します。
名前は 1~255 文字で、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) を使用できます。
ルール設定
[ルールの作成] をクリックして、テンプレートの Web サイト改ざん防止ルールを作成できます。このステップをスキップして、テンプレートの作成後にルールを作成することもできます。詳細については、「ステップ 2: Web サイト改ざん防止テンプレートに Web サイト改ざん防止ルールを追加する」をご参照ください。
適用対象
追加された保護オブジェクトと保護オブジェクトグループから、テンプレートを適用する [保護オブジェクト] と [保護オブジェクトグループ] を選択します。
保護モジュールのテンプレートは、1 つの保護オブジェクトまたは保護オブジェクトグループに 1 つだけ適用できます。保護オブジェクトと保護オブジェクトグループの追加方法の詳細については、「保護オブジェクトと保護オブジェクトグループの設定」をご参照ください。
新しい保護テンプレートはデフォルトで有効になっています。保護テンプレートのリストでは、次の操作を実行できます。
テンプレートに関連付けられている 保護対象 / グループ の数を表示します。
ステータス を使用して、テンプレートを有効または無効にします。
Create Rule をクリックして、テンプレートの新しいルールを作成します。
保護テンプレートを 編集、削除、または 複製 します。
テンプレート名の横にある
アイコンをクリックして、保護テンプレート内のルールに関する情報を表示します。
ステップ 2: Web サイト改ざん防止テンプレートに Web サイト改ざん防止ルールを追加する
Web サイト改ざん防止テンプレートは、テンプレートに Web サイト改ざん防止ルールを追加した後にのみ有効になります。テンプレートの作成時にルールを追加した場合は、このステップをスキップできます。
Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、 を選択します。
[Web サイト改ざん防止] セクションで、ルールを作成するテンプレートを見つけ、[アクション] 列の [ルールの作成] をクリックします。
[ルールの作成] ダイアログボックスで、パラメーターを設定し、[OK] をクリックします。
パラメーター
説明
ルール名
ルールの名前を指定します。
名前は、漢字、大文字と小文字、数字、ピリオド (.)、アンダースコア (_)、ハイフン (-) を使用できます。
キャッシュされたページのアドレス
キャッシュされたページのタイプとパスを指定します。
キャッシュされたページのタイプ: [http] または [https]。
キャッシュされたページのパス:
デフォルト値は
www.waftest.cn/index.htmlです。値は変更できます。ワイルドカード (例:
/*) やパラメーター (例:/abc?xxx=yyy、ここでxxx=yyyはパラメーター部分) はサポートされていません。重要URL にパラメーターが含まれるリクエストは、Web サイト改ざん防止ルールに一致せず、WAF によってオリジンサーバーに転送されます。たとえば、キャッシュされたページのパスが
/abcに設定されていて、リクエストの URL が/abc?xxx=yyyの場合、そのリクエストはキャッシュされたページのパスが/abcである Web サイト改ざん防止ルールに一致しません。Web サイト改ざん防止モジュールは、指定されたパス内のテキストデータ、HTML ページ、およびイメージを保護します。保護される単一ファイルのサイズは 1 MB を超えることはできません。
重要URL のみを指定できます。ディレクトリは指定できません。
ページにアクセスするための User-Agent の指定
WAF に追加した Web ページへのアクセスに使用できるブラウザの User-Agent 文字列を指定します。
[ページにアクセスするための User-Agent の指定] を選択しない場合、User-Agent はデフォルトで PC ブラウザの識別子に設定されます。
[ページにアクセスするための User-Agent の指定] を選択した場合は、User-Agent を指定する必要があります。
ブラウザを開き、F12 を押して開発者モードを開きます。[ネットワーク] タブで、リクエストをクリックします。[リクエストヘッダー] セクションで、[User-Agent] フィールドを見つけてブラウザの識別子を取得します。
説明Web サイト改ざん防止ルールを作成すると、システムは自動的にリソースをプルして WAF にキャッシュします。その後のアクセスリクエストでは、キャッシュされたページが使用されます。
[モジュールスイッチ] をオンにするか、ルールの [ステータス] を再度アクティブにすると、システムはキャッシュをリフレッシュします。これは [キャッシュのリフレッシュ] をクリックするのと同じ効果があります。
オリジンサーバーに IP アドレスベースのアクセスの制御が設定されている場合は、次の IP アドレスをホワイトリストに追加します。
中国本土: 121.196.106.101、121.196.100.214、121.196.110.192、および 121.196.107.0。
中国本土以外: 8.219.104.2 および 8.219.41.212。
新しいルールはデフォルトで有効になっています。ルールリストでは、次の操作を実行できます。
ルールID や ルール条件 などの情報を表示します。
ステータス スイッチを使用して、ルールを有効または無効にします。
ルールを 編集 または 削除 します。
関連操作
サーバー上の特定のディレクトリに対して Web サイト改ざん防止を有効にする場合は、Security Center の Web 改ざん防止機能を使用できます。詳細については、「Web 改ざん防止」をご参照ください。
次の表に、WAF の Web サイト改ざん防止モジュールと Security Center の Web 改ざん防止機能の違いを示します。
違い | WAF | Security Center |
手順 | WAF の Web サイト改ざん防止モジュールを使用すると、機密情報を含む Web ページなど、保護したい Web ページをロックできます。ロックされた Web ページがリクエストされると、ページのキャッシュされたバージョンが返され、Web ページの改ざんを防ぐのに役立ちます。 | Security Center の Web 改ざん防止機能は、バックアップファイルに基づいて改ざんされたファイルまたはディレクトリを復元します。これにより、重要な Web サイト情報が改ざんされるのを防ぎます。 |
適用範囲 | Web サイトの URL。 | サーバーディレクトリ。 |
リファレンス
詳細については、「保護設定の概要」をご参照ください。
API 操作を使用して保護テンプレートを作成する方法の詳細については、「保護テンプレートの作成」をご参照ください。
Web コア保護ルールの作成方法とルール内容の設定方法の詳細については、「Web コア保護ルールの作成」をご参照ください。