CNAME 接続タイプを使用して Web Application Firewall (WAF) にドメイン名を追加する場合、そのドメイン名のサービスリクエストをモニターするために排他的 IP アドレスを割り当てることができます。これにより、同じ共有 WAF IP アドレスを使用する他のドメイン名が大規模な DDoS 攻撃を受けても、そのドメイン名が影響を受けないようにします。
共有 IP アドレスと排他的 IP アドレス
デフォルトでは、[CNAME 接続] タイプを使用して同じ WAF インスタンスに追加されたすべてのドメイン名は、単一の WAF IP アドレスを共有してサービスリクエストをモニターします。これは共有 IP アドレスとして知られています。各 WAF インスタンスには、デフォルトで 1 つの共有 IP アドレスが割り当てられます。
異なるユーザーによって購入された WAF インスタンスは互いに分離されており、異なる共有 IP アドレスを持っています。
排他的 IP アドレスは、特定のドメイン名に割り当てられ、そのサービスリクエストをモニターする WAF IP アドレスです。各排他的 IP アドレスは、WAF によって保護されている 1 つのドメイン名にのみバインドできます。
ただし、この IP アドレスは固定ではありません。最大限のサービス安定性を確保するには、CNAME 接続の手順に従ってドメイン名の DNS 設定を変更する必要があります。詳細については、「DNS 解像度を変更して WAF IP アドレスを指すようにできますか?」をご参照ください。
排他的 IP アドレスの利点
排他的 IP アドレスを使用すると、同じ WAF IP アドレスを共有する別のドメイン名が大規模な DDoS 攻撃を受けても、ご使用のドメイン名にアクセスできなくなるのを防ぎます。
CNAME 接続タイプでは、1 つのドメイン名が大規模な DDoS 攻撃を受けると、共有 WAF IP アドレスがブラックホールフィルタリングの対象となる場合があります。これにより、WAF インスタンス上の共有 IP アドレスを使用するすべてのドメイン名にアクセスできなくなります。重要なドメイン名に対して排他的 IP アドレスを有効にすることで、共有 IP アドレスに対してブラックホールフィルタリングがトリガーされた場合でも、そのドメイン名へのアクセスを維持できます。
課金
排他的 IP アドレスは有料機能です。この機能が有効になっているドメイン名の数に基づいて課金されます。
[CNAME 接続] タイプを使用する場合、WAF に追加する各ドメイン名に対して排他的 IP アドレスを有効にできます。排他的 IP アドレスを使用する各ドメイン名に対して料金が請求されます。課金の詳細については、「課金」をご参照ください。
排他的 IP アドレスを有効にする
[CNAME 接続] タイプを使用する場合にのみ、WAF で保護されているドメイン名に対して排他的 IP アドレスを有効にできます。
排他的 IP アドレスを有効にするには、次の手順を実行します。
Web Application Firewall 3.0 コンソールの [プロビジョニング] ページで、[CNAME プロビジョニング] タブの [追加] をクリックします。[ドメイン名の追加] 構成ウィザードが開きます。
[リスナーの設定] ステップで、[詳細設定] をクリックし、次の図に示すように、ドメイン名の [排他的 IP を有効にする] スイッチをオンにします。
詳細については、「CNAME レコードを使用して WAF に Web サイトを追加する」をご参照ください。
排他的 IP アドレスを有効にすると、WAF がドメイン名に対して生成する CNAME レコードは、自動的に新しい排他的 WAF IP アドレスに解決されます。ドメイン名の CNAME レコードに ping を実行して、構成を検証できます。
排他的 IP アドレスを無効にすると、ドメイン名は共有 IP アドレスに切り替わります。