Web Application Firewall:NLB インスタンスの WAF 保護を有効にする

背景情報

NLB は、Internet of Everything（IoE）時代向けのレイヤー 4 負荷分散サービスです。NLB は超高性能を提供し、オンデマンドで自動的にスケーリングできます。NLB インスタンスは最大 1 億の同時接続をサポートし、高い同時実行性を必要とするサービスに適しています。

保護のために NLB インスタンスを WAF に追加できます。WAF 保護を有効にするには、NLB インスタンスのトラフィックリダイレクションポートを WAF に追加します。追加されると、トラフィックリダイレクションが有効になっているポートからのトラフィックは、特定のゲートウェイを介して WAF にリダイレクトされます。WAF は悪意のあるトラフィックを除外し、通常のトラフィックを NLB インスタンスに転送します。次の図は、ネットワークアーキテクチャを示しています。

制限事項

次の Alibaba Cloud サービスのいずれかを使用する Web サービスは、クラウドネイティブモードで WAF に追加できます。アプリケーションロードバランサー（ALB）、マイクロサービスエンジン（MSE）、Function Compute、クラシックロードバランサー（CLB）、Elastic Compute Service（ECS）、およびネットワークロードバランサー（NLB）。. 前述の Alibaba Cloud サービスを使用していない Web サービスを WAF で保護する場合は、Web サービスのドメイン名を CNAME レコードモードで WAF に追加します。詳細については、「WAF にドメイン名を追加する」をご参照ください。

前提条件

• WAF 3.0 インスタンスが購入されていること。詳細については、「サブスクリプション WAF 3.0 インスタンスを購入する」および「従量課金制 WAF 3.0 インスタンスを購入する」をご参照ください。

• NLB インスタンスが作成され、NLB インスタンスに TCP リスナーが追加されていること。また、インスタンスが上記の要件を満たしていること。要件の詳細については、「制限事項」をご参照ください。NLB インスタンスに TCP リスナーを追加する方法の詳細については、「TCP リスナーを追加する」をご参照ください。

• サブスクリプション WAF インスタンスを使用する場合は、WAF に追加された保護対象オブジェクトの数が上限を超えていないことを確認してください。数が上限を超えている場合は、クラウドサービスインスタンスを WAF に追加しないでください。

  WAF に追加できる保護対象オブジェクトの数を表示するには、[保護対象オブジェクト] ページ にアクセスします。

トラフィックリダイレクションポートを追加する

1. [WAF 3.0 コンソール] にログインします。上部のナビゲーションバーで、WAF インスタンスのリソースグループとリージョンを選択します。中国本土 または 中国本土以外 を選択できます。

2. 左側のナビゲーションウィンドウで、アクセス管理 をクリックします。

3. [クラウドネイティブ] タブで、左側のクラウドサービスリストの [NLB] をクリックします。

4. 認証ページで、今すぐ許可する をクリックして、必要なクラウドサービスにアクセスするための WAF インスタンスを認証します。

   Alibaba Cloud は、[AliyunServiceRoleForWAF] サービスロールを自動的に作成します。サービスロールを表示するには、[Resource Access Management (RAM) コンソール] にログインし、左側のナビゲーションウィンドウで [ID] > [ロール] を選択します。

   説明

   認証が完了している場合、認証ページは表示されません。次の手順に進みます。

5. [追加] をクリックします。

6. [インスタンスの設定 - NLB] パネルで、パラメーターを設定します。次の表にパラメーターを示します。

   パラメーター	操作
   追加するインスタンスとポートを選択します。	オプション: [インスタンスの同期] WAF に追加するインスタンスがインスタンスリストにない場合は、資産の同期 をクリックしてインスタンスリストを更新します。 [ポートの追加] WAF に追加するインスタンスを見つけ、ポートの追加 を 操作 列でクリックします。 WAF に追加する [ポート] を選択します。 WAF に追加するポートの [プロトコルタイプ] パラメーターを構成します。有効な値: [HTTP] および [HTTPS]。 [HTTPS] を選択した場合は、証明書をアップロードする必要があります。 説明 アップロードするデフォルト証明書と追加証明書の合計数は 25 を超えることはできません。さらに証明書をアップロードする場合は、アカウントマネージャーまたはソリューションアーキテクトにお問い合わせください。 デフォルト証明書 手動アップロード 手動アップロード をクリックし、証明書名、証明書ファイル、キーファイル パラメーターを構成します。「証明書ファイル」パラメーターの値は、-----BEGIN CERTIFICATE-----...-----END CERTIFICATE----- 形式である必要があります。「秘密鍵」パラメーターの値は、-----BEGIN RSA PRIVATE KEY-----...-----END RSA PRIVATE KEY----- 形式である必要があります。 重要 証明書ファイルが PEM、CER、または CRT 形式の場合は、テキストエディターを使用してファイルを開き、テキストコンテンツをコピーします。証明書ファイルが PFX や P7B などの別の形式の場合は、テキストエディターで開いてコンテンツをコピーする前に、証明書ファイルを PEM 形式に変換します。[証明書管理サービス コンソール] にログインし、提供されているツールを使用して ファイル形式を変換 できます。 ドメイン名が複数の SSL 証明書に関連付けられているか、証明書チェーンを持っている場合は、証明書ファイルのテキストコンテンツを結合し、結合されたテキストコンテンツをアップロードします。 既存ファイルを選択 証明書が次のいずれかの条件を満たす場合は、既存ファイルを選択 をクリックし、証明書リストから証明書を選択します。 証明書は 証明書管理サービス を使用して発行されます。 証明書は 証明書管理サービス にアップロードされたサードパーティ証明書です。 重要 証明書管理サービス にアップロードされたサードパーティ証明書を選択し、証明書チェーンの整合性の検証に失敗しました。この証明書を使用すると、サービスへのアクセスに影響が出る可能性があります というエラーメッセージが表示された場合は、[Alibaba Cloud セキュリティ - 証明書管理サービス] をクリックし、証明書管理サービス コンソールで証明書を再アップロードします。詳細については、「SSL 証明書をアップロードして共有する」をご参照ください。 拡張証明書 インスタンスが HTTPS 経由で複数のドメイン名からのトラフィックを許可するように構成されている場合は、拡張証明書 をクリックして、ドメイン名の証明書をインポートします。追加証明書とデフォルト証明書のアップロードに使用されるパラメーターは同じです。詳細については、「デフォルト証明書」をご参照ください。 [HTTPS] を選択した場合は、詳細設定 をクリックして、次の詳細パラメーターを構成できます。 TLS バージョン HTTPS 通信でサポートされている Transport Layer Security (TLS) プロトコルのバージョンを指定します。クライアントがサポートされていない TLS バージョンを使用している場合、WAF はクライアントから送信されたリクエストをブロックします。TLS プロトコルの新しいバージョンは、セキュリティは向上しますが、互換性は低下します。 Web サイトの HTTPS 設定に基づいて TLS バージョンを指定することをお勧めします。Web サイトの HTTPS 設定を取得できない場合は、デフォルト値を使用します。 有効な値: TLS 1.0 以上をサポートします。互換性が一番高いが、安全性が低いです。 (デフォルト) TLS 1.1 以上をサポートします。互換性と安全性を兼ね備えております この値を選択すると、TLS 1.0 を使用するクライアントは Web サイトにアクセスできなくなります。 TLS 1.2 以上をサポートします。互換性と安全性が優れています。 この値を選択すると、TLS 1.0 または 1.1 を使用するクライアントは Web サイトにアクセスできなくなります。 Web サイトが TLS 1.3 をサポートしている場合は、TLS 1.3 以上対応 を選択します。デフォルトでは、WAF は TLS 1.3 を使用して送信されたリクエストをリッスンしません。 暗号スイート HTTPS 通信でサポートされている暗号スイートを指定します。クライアントがサポートされていない暗号スイートを使用している場合、WAF はクライアントから送信されたリクエストをブロックします。 デフォルト値は [すべての暗号スイート (高い互換性と低いセキュリティ)] です。Web サイトが特定の暗号スイートをサポートしている場合にのみ、このパラメーターを別の値に設定することをお勧めします。 有効な値: すべての暗号スイート (高い互換性、低い安全性)。 カスタム暗号スイート (プロトコルバージョンに応じて慎重に選択してください): Web サイトが特定の暗号スイートのみをサポートしている場合は、この値を選択してから、Web サイトでサポートされている暗号スイートを選択することをお勧めします。詳細については、「サポートされている暗号スイートを表示する」をご参照ください。 他の暗号スイートを使用するクライアントは Web サイトにアクセスできません。
   WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか	Anti-DDoS Proxy や Alibaba Cloud CDN などのレイヤー 7 プロキシが WAF の前にデプロイされているかどうかを指定します。 デフォルトでは、No が選択されています。この値は、WAF がクライアントから送信されたリクエストを受信することを指定します。リクエストはプロキシによって転送されません。 説明 リクエストがクライアントから WAF に送信されると、WAF は WAF への接続の確立に使用された IP アドレスをクライアントの IP アドレスとして使用します。IP アドレスは、リクエストの REMOTE_ADDR フィールドで指定されます。 レイヤー 7 プロキシが WAF の前にデプロイされている場合は、Yes を選択します。この値は、WAF がレイヤー 7 プロキシによって WAF に転送されたリクエストを受信することを指定します。WAF がセキュリティ分析のためにクライアントの実際の IP アドレスを取得できるようにするには、クライアント IP の取得方法 パラメーターを構成する必要があります。 X-Forwarded-For の最初の IP アドレスをクライアント送信元 IP とする (デフォルト) デフォルトでは、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの IP アドレスとして使用します。 【推奨】偽装 XFF を回避するために、指定したヘッダの最初の IP アドレスをクライアント送信元 IP アドレスとする X-Client-IP や X-Real-IP などのカスタムヘッダーフィールドにクライアントの送信元 IP アドレスが含まれているプロキシを使用する場合は、この値を選択します。次に、ヘッダフィールド フィールドにカスタムヘッダーフィールドを入力します。 説明 クライアントの送信元 IP アドレスを格納するためにカスタムヘッダーフィールドを使用し、WAF でヘッダーフィールドを指定することをお勧めします。こうすることで、攻撃者は WAF 検査をバイパスするために X-Forwarded-For フィールドを偽造することができなくなります。これにより、ビジネスのセキュリティが向上します。 複数のヘッダーフィールドを入力できます。ヘッダーフィールドを入力するたびに Enter キーを押します。複数のヘッダーフィールドを入力すると、WAF はクライアントの IP アドレスを取得するまでヘッダーフィールドを順番に読み取ります。WAF がヘッダーフィールドからクライアントの IP アドレスを取得できない場合、WAF は X-Forwarded-For フィールドの最初の IP アドレスをクライアントの IP アドレスとして使用します。
   リソースグループ	インスタンスを追加するリソースグループを選択します。リソースグループを選択しないと、インスタンスは [デフォルトのリソースグループ] に追加されます。 説明 リソース管理を使用して、Alibaba Cloud アカウント内で部門またはプロジェクト別にリソースグループを作成し、リソースを管理できます。詳細については、「リソースグループを作成する」をご参照ください。
   詳細設定	X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する WAF は、リクエストを送信したクライアントが使用した元のプロトコルを識別するために、HTTP リクエストに X-Forwarded-Proto ヘッダーフィールドを自動的に追加します。Web サイトが X-Forwarded-Proto ヘッダーフィールドを正しく処理できない場合、互換性の問題が発生し、ビジネスに影響を与える可能性があります。このような問題を防ぐには、[X-Forwarded-Proto ヘッダーフィールドを使用して WAF のリスニングプロトコルを取得する] をオフにします。 トラフィックマークの有効化 [トラフィックマークを有効にする] を選択すると、WAF を通過するリクエストがマークされます。これにより、オリジンサーバーはクライアントの送信元 IP アドレスまたはポートを取得できます。 攻撃者がドメイン名を WAF に追加する前にオリジンサーバーに関する情報を取得し、別の WAF インスタンスを使用してリクエストをオリジンサーバーに転送する場合は、[トラフィックマークを有効にする] を選択して悪意のあるトラフィックを遮断します。オリジンサーバーは、リクエストが WAF を通過したかどうかを確認します。指定されたヘッダーフィールドがリクエストに存在する場合、リクエストは WAF を通過したと見なされ、許可されます。指定されたヘッダーフィールドがリクエストに存在しない場合、リクエストは WAF を通過していないと見なされ、ブロックされます。 次のタイプのヘッダーフィールドを構成できます。 カスタムヘッダ カスタムヘッダーフィールドを追加する場合は、ヘッダ名 と ヘッダ値 パラメーターを構成する必要があります。WAF は、原点復帰リクエストにヘッダーフィールドを追加します。これにより、オリジンサーバーはリクエストが WAF を通過したかどうかを確認し、統計を収集し、データを分析できます。 たとえば、ALIWAF-TAG: Yes カスタムヘッダーフィールドを追加して、WAF を通過するリクエストをマークできます。この例では、ヘッダーフィールドの名前は ALIWAF-TAG で、ヘッダーフィールドの値は Yes です。 リアル送信元 IP アドレス クライアントの送信元 IP アドレスを記録するヘッダーフィールドを指定できます。こうすることで、オリジンサーバーはクライアントの送信元 IP アドレスを取得できます。 WAF がクライアントの送信元 IP アドレスを取得する方法の詳細については、[WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか] をご参照ください。 ソースポート クライアントの送信元ポートを記録するヘッダーフィールドを指定できます。こうすることで、オリジンサーバーはクライアントのポートを取得できます。 重要 User-Agent などの標準 HTTP ヘッダーフィールドを構成しないことをお勧めします。構成すると、標準ヘッダーフィールドの元の値がカスタムヘッダーフィールドの値で上書きされます。 マークの追加 をクリックして、ヘッダーフィールドを追加できます。最大 5 つのヘッダーフィールドを指定できます。 原点復帰キープアライブリクエスト WAF とオリジンサーバー間の持続的接続がタイムアウトした場合は、持続的接続のタイムアウト期間、再利用される持続的接続の数、およびアイドル状態の持続的接続のタイムアウト期間を再構成できます。 読み取り接続タイムアウト期間: WAF がオリジンサーバーからの応答を待機する時間。タイムアウト期間が終了すると、WAF は接続を閉じます。有効な値: 1 ～ 3600。デフォルト値: 120。単位: 秒。 書き込み接続タイムアウト期間: WAF がリクエストがオリジンサーバーに転送されるのを待機する時間。タイムアウト期間が終了すると、オリジンサーバーは接続を閉じます。有効な値: 1 ～ 3600。デフォルト値: 120。単位: 秒。 Back-to-origin の持続的接続: 再利用される持続的接続の数またはアイドル状態の持続的接続のタイムアウト期間を構成する場合は、[原点復帰キープアライブリクエスト] をオンにして、次のパラメーターを構成します。 持続的接続の復元リクエスト数: WAF がオリジンサーバーに転送できるリクエストの数、または WAF がオリジンサーバーから同時に受信できる応答の数。有効な値: 60 ～ 1000。デフォルト値: 1000。 アイドル時の長時間の接続タイムアウト: アイドル状態の持続的接続のタイムアウト期間。有効な値: 10 ～ 3600。デフォルト値: 3600。単位: 秒。

7. WAF に追加するインスタンスを選択し、[OK] をクリックします。

   インスタンスを WAF に追加すると、インスタンスは WAF の保護対象オブジェクトになります。保護対象オブジェクトの名前は、インスタンス ID-ポート-アセットタイプの形式です。デフォルトでは、コア保護ルールモジュールの保護ルールが保護対象オブジェクトに対して有効になります。[保護対象オブジェクト] ページで保護対象オブジェクトを表示し、保護対象オブジェクトの保護ルールを構成します。ページに移動するには、[Web サイトの構成] ページの [クラウドネイティブ] タブでインスタンスの ID をクリックします。詳細については、「保護構成の概要」をご参照ください。

その他の操作

オリジンサーバーを表示し、トラフィックリダイレクションポートを管理する

インスタンスを WAF に追加した後、オリジンサーバーの保護の詳細を表示し、緊急ディザスタリカバリシナリオでトラフィックリダイレクションを強制的に無効にしたり、トラフィックリダイレクションポートを削除したりできます。

1. アクセス管理 ページで、クラウドプロダクトアクセス タブをクリックします。

2. 左側のクラウドサービスリストの [NLB] をクリックします。管理する NLB インスタンスを見つけ、インスタンス名の左側にある アイコンをクリックして、WAF に追加されたトラフィックリダイレクションポートを表示します。

   • ポートの詳細を表示する: ポート詳細 を [アクション] 列でクリックして、ポート、プロトコル、証明書などのポートの詳細を表示します。次のパラメーターを再構成できます: [WAF の前に Anti-DDoS Pro、Anti-DDoS Premium、または Alibaba Cloud CDN などのレイヤー 7 プロキシがデプロイされているかどうか]、[トラフィックマークを有効にする]、および [原点復帰キープアライブリクエスト]。[詳細設定] をクリックして、[トラフィックマークを有効にする] パラメーターと [原点復帰キープアライブリクエスト] パラメーターを見つけます。

   • ポートを削除する: ポートを見つけ、接続解除 をクリックします。接続解除 メッセージで、OK をクリックします。

     重要

     WAF からトラフィックリダイレクションポートを削除すると、Web サービスが数秒間中断される場合があります。クライアントが自動的に再接続できる場合、Web サービスは自動的に再開されます。ビジネス要件に基づいて、再接続メカニズムと原点復帰設定を構成します。

     WAF からトラフィックリダイレクションポートを削除すると、ポート上のトラフィックは WAF によって保護されなくなります。ポートを WAF に再度追加するには、[追加] をクリックします。詳細については、「トラフィックリダイレクションポートを追加する」をご参照ください。

トラフィックリダイレクションポートに関連付けられている証明書を更新する

トラフィックリダイレクションポートに関連付けられている証明書の有効期限が切れそうになった場合、または証明書が変更された場合（証明書が失効した場合など）、証明書を更新する必要があります。

次の手順を実行します。

1. 証明書を更新するか、サードパーティ証明書を証明書管理サービスにアップロードします。詳細については、「公式 SSL 証明書を更新する」または「SSL 証明書をアップロードして共有する」をご参照ください。

2. 証明書を WAF に同期します。

   • WAF コンソールで証明書を更新します。

     1. クラウドプロダクトアクセス タブで、左側のクラウドサービスリストの [NLB] をクリックします。管理するインスタンスを見つけ、 アイコンをクリックします。証明書を更新するトラフィックリダイレクションポートを見つけ、証明書の編集 を 操作 列でクリックします。

     2. デフォルト証明書 セクションで、既存ファイルを選択 をクリックし、ドロップダウンリストから新しい証明書を選択します。