WAF 3.0 は、クラウドネイティブモード、CNAME 接続、ハイブリッドクラウド WAF 接続の 3 種類の接続タイプをサポートしています。各タイプにより、保護対象、WAF を通るトラフィックの流れ、利用可能なセキュリティ機能が異なります。
接続タイプの選択
| クラウドネイティブモード | CNAME 接続 | ハイブリッドクラウド WAF | |
|---|---|---|---|
| 保護対象 | Alibaba Cloud プロダクトインスタンス (ALB、CLB、ECS、NLB、FC、MSE) | ドメイン名 | ドメイン名または IP アドレス |
| 最適な用途 | 同一アカウント内の Alibaba Cloud インスタンスを DNS 変更なしで接続する場合。ドメイン名を使用するシナリオやパブリック IP アドレスのみのシナリオをサポートします。 | クロスアカウントおよびマルチクラウドデプロイメントを含む、任意のドメイン名 | オンプレミスでの WAF デプロイメント — 中程度のトラフィック量および内部サービス保護向けのリバースプロキシ。または、既存のイングレスゲートウェイで低遅延が求められる大規模トラフィック向けの SDK 統合 |
| 仕組み | SDK 統合 (ALB、MSE、FC) または透明プロキシ (ECS、CLB、NLB) | リバースプロキシ — DNS によりトラフィックを WAF にリダイレクト | ローカル保護クラスター経由でのリバースプロキシまたは SDK 統合 |
| 主な制限事項 | マルチアカウント管理が設定されていない限り、同一アカウント内のみ。非公開または IPv6 の ECS、CLB、NLB インスタンスはサポートされません。 | ドメインの DNS レコードを所有し、管理する必要があります。 | Enterprise または Ultimate WAF サブスクリプションおよび Protection Nodes の購入が必要です。 |
クラウドネイティブモード は、Alibaba Cloud プロダクトインスタンスを保護する最も迅速な方法です。DNS の変更は不要で、WAF がクラウドプロダクトと直接統合されます。
CNAME 接続 は最も柔軟性の高いオプションです。ドメイン名を所有しており、その DNS レコードを管理できる場合は、オリジンサーバーのホスト先に関係なく使用できます。
ハイブリッドクラウド WAF は、WAF をローカルで実行する必要があるデプロイメント向けです。中程度のトラフィック量で内部サービスを保護する場合(リバースプロキシ)や、既存のイングレスゲートウェイで低遅延が求められる大規模トラフィックを処理する場合(SDK 統合)に使用します。
仕組み
クラウドネイティブモード
仕組みは接続するクラウドプロダクトによって異なります。
ALB、MSE、および FC — SDK 統合:SDK はクラウドプロダクトに埋め込まれ、WAF による転送を介さずにトラフィックを直接抽出・検査します。これにより、追加の転送レイヤーがもたらす互換性および安定性の問題を回避できます。
ECS、CLB、および NLB — 透明プロキシ:トラフィックリダイレクションポートを設定すると、クラウドプロダクトのゲートウェイが自動的に Web トラフィックを WAF に再ルーティングします。WAF はトラフィックを検査して攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
CNAME 接続
CNAME 接続はリバースプロキシを使用します。ドメインの DNS レコードを WAF の CNAME アドレスに向けることで、そのドメインへのすべてのトラフィックが WAF にリダイレクトされます。WAF はトラフィックを検査して攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
ハイブリッドクラウド WAF 接続
以下の 2 つのパターンが利用可能です。
リバースプロキシ:ドメイン名または IP アドレスを WAF に接続し、その DNS レコードを WAF 保護クラスターに向けてください。すべてのトラフィックはクラスターを通過して検査されます。
SDK 統合:統一されたイングレスゲートウェイ (Nginx や APISIX など) に WAF SDK プラグインをデプロイします。プラグインはサービストラフィックをコピーして WAF 保護クラスターに送信し、検査を行います。WAF はコピーされたトラフィックを検査しますが、転送は行いません。トラフィックの転送はイングレスゲートウェイが引き続き担当します。これにより、トラフィックの検査と転送が分離されます。
接続タイプ別の機能サポート
| 機能 | クラウドネイティブ (NLB、CLB、ECS) | クラウドネイティブ (ALB、MSE、FC) | CNAME 接続 | ハイブリッドクラウド WAF — リバースプロキシ | ハイブリッドクラウド WAF — SDK 統合 |
|---|---|---|---|---|---|
| コア Web 保護ルール | サポート | サポート | サポート | サポート | サポート |
| ホワイトリスト | サポート | サポート | サポート | サポート | サポート |
| IP ブラックリスト | サポート | サポート | サポート | サポート | サポート |
| カスタムルール | サポート | サポート | サポート | サポート | サポート |
| HTTP フラッド攻撃対策 | サポート | サポート | サポート | サポート | サポート |
| スキャン保護 | サポート | サポート | サポート | サポート | サポート |
| 地域ブラックリスト | サポート | サポート | サポート | サポート | サポート |
| Web 改ざん防止 | サポート | ALB のみ | サポート | 未サポート | 未サポート |
| データ漏洩防止 | サポート | 未サポート | サポート | サポート | 未サポート |
| カスタム応答 | サポート | サポート | サポート | サポート | サポート |
| ボット管理 — 自動 Web SDK 統合 | サポート | 未サポート | サポート | サポート | サポート |
| メジャーイベントサポート | サポート | 未サポート | サポート | 未サポート | 未サポート |
| API セキュリティ | サポート | ALB のみ | サポート | サポート | サポート |
| ピークトラフィック速度制限 | サポート | 未サポート | サポート | 未サポート | サポート |
WAF への接続
前提条件
クラウドネイティブモード
インスタンスは、Application Load Balancer (ALB)、クラシックロードバランサー (CLB)、Elastic Compute Service (ECS)、Network Load Balancer (NLB)、Function Compute (FC)、Microservices Engine (MSE) のいずれかである必要があります。
マルチアカウント管理機能を使用しない場合、同一アカウント内のインスタンスのみを接続できます。
非公開または IPv6 の ECS、CLB、NLB インスタンスはサポートされません。
一部のリージョンでは、特定のインスタンスがサポートされていません。
CNAME 接続
ドメイン名を所有し、その DNS レコードを管理する権限が必要です。
ドメイン名の所有権を確認し、DNS レコードを変更し、back-to-origin IP アドレスを許可リストに追加する必要があります。
ハイブリッドクラウド WAF 接続
Enterprise または Ultimate WAF サブスクリプションおよび Protection Nodes の購入が必要です。
リバースプロキシ:ドメイン名または IP アドレスの DNS レコードを管理する権限が必要です。
SDK 統合:独立して管理可能な統一イングレスゲートウェイ (Nginx や APISIX など) が必要です。
接続ガイド
クラウドネイティブモード
CNAME 接続
CNAME 接続方式を使用した Web サイトに対する WAF 保護の有効化。WAF コンソールでドメイン名を追加した後、WAF の back-to-origin IP アドレス範囲を許可リストに追加し、ドメインの DNS 設定を更新してください。
ハイブリッドクラウド WAF 接続
よくある質問
他の Alibaba Cloud アカウントや他のクラウドプロバイダーのクラウドリソースを接続できますか?
はい。CNAME 接続方式を使用してください。この方式ではオリジンサーバーのホスト先に制限がなく、ドメイン名を所有し、その DNS レコードを管理できれば使用できます。
ドメイン名がなく、パブリック IP アドレスのみの場合でも WAF に接続できますか?
はい。クラウドネイティブモードはドメイン名なしでの接続をサポートしています。
IPv6 Web サイトを WAF に接続できますか?
ECS、CLB、NLB インスタンスのクラウドネイティブモードは IPv6 をサポートしていません。これらのインスタンスで IPv6 を使用する場合は、Enterprise または Ultimate WAF サブスクリプション、または従量課金インスタンスを使用して CNAME 接続方式をご利用ください。詳細設定 セクションで、IPv6 を有効化 を選択します。詳細については、「CNAME 接続方式を使用した Web サイトに対する WAF 保護の有効化」をご参照ください。
WAF は中国本土以外のリージョンでは IPv6 Web サイトをサポートしていません。
同じドメイン名に対してクラウドネイティブモードと CNAME 接続の両方を使用できますか?
いいえ。各ドメイン名には 1 つの接続方法しか使用できません。両方を使用すると、転送の競合が発生し、保護が失敗します。
ドメインを CNAME 接続からクラウドネイティブモードに切り替えるには、DNS レコードをオリジンサーバーに戻し、DNS 解決が収束するのを待ってから、CNAME 接続構成を削除し、クラウドネイティブモードで再接続してください。
接続したい CLB、NLB、または ECS インスタンスが見つかりません。どうすればよいですか?
| 原因 | 操作 |
|---|---|
| インスタンスが接続要件を満たしていない | 「CLB インスタンスの追加に関する制限事項」、「NLB インスタンスの追加に関する制限事項」、「ECS インスタンスの追加に関する制限事項 |
| CLB インスタンスにリスナーが設定されていない | リスナーを追加してください。レイヤー 7 の場合は、「HTTP リスナーの追加」および「HTTPS リスナーの追加」をご参照ください。レイヤー 4 の場合は、「TCP リスナーの追加 |
| WAF がまだインスタンスを同期していない | [オンボーディング] ページの右上隅にある アセットの同期 をクリックしてください。 |
アセットの接続ステータスを確認したり、アセットを同期したりするにはどうすればよいですか?
WAF 3.0 コンソール にログインします。上部ナビゲーションバーで、リソースグループとリージョン (WAF 3.0 コンソール中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、オンボーディング をクリックします。
ページ上部で、接続済みのドメイン名アセットおよびクラウドプロダクトアセットの数を確認できます。また、各クラウドプロダクトの所有インスタンス総数も表示されます。クラウドプロダクトインスタンスを追加または変更した場合は、右上隅の アセットの同期 をクリックして、変更を即座に同期できます。
複数のクラウドプロダクトインスタンスに解決されるドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモード:関連するすべてのインスタンス (CLB インスタンスのすべてのサービスポートなど) を同時に接続します。WAF はその後、すべてのインスタンスにトラフィックを誘導します。
CNAME 接続:ドメイン名を接続し、オリジンサーバーを関連するすべてのクラウドプロダクトインスタンスの IP アドレスまたは CNAME で構成します。
同じクラウドプロダクトインスタンスに解決される複数のドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモード:接続済みのインスタンスに解決されるすべてのドメイン名は、WAF のデフォルト緩和ポリシーにより自動的に保護されます。特定のドメイン名に異なる保護ルールを適用するには、手動で保護対象として追加してください。詳細については、「保護対象の手動追加」をご参照ください。
CNAME 接続:各ドメイン名を個別に接続してください。