このトピックでは、Web Application Firewall (WAF) 3.0 がサポートする 3 つの接続タイプ (クラウドネイティブモード、CNAME (Canonical Name) 接続、ハイブリッドクラウド WAF 接続) について説明します。また、各タイプの仕組みを説明し、Web サービスデプロイに適したタイプを選択するのに役立ちます。
接続タイプの比較
比較項目 | クラウドネイティブモード | CNAME 接続 | ハイブリッドクラウド WAF 接続 | |
リバースプロキシ | SDK 統合 | |||
シナリオ |
| ドメイン名を接続します。この方法は広く適用可能であり、クロスアカウントおよびマルチクラウドのシナリオをサポートします。 |
|
|
保護対象 | Alibaba Cloud プロダクトインスタンス | ドメイン名 | ドメイン名または IP アドレス | ドメイン名または IP アドレス |
アクセス制限 |
|
|
|
|
サポートされているセキュリティ機能は、次の表に示すように、接続タイプによって異なります。
特徴 | クラウドネイティブモード (NLB、CLB、ECS) | クラウドネイティブモード (ALB、MSE、FC) | CNAME 接続 | ハイブリッドクラウド WAF リバースプロキシ接続 | ハイブリッドクラウド WAF SDK 統合接続 |
ALB のみサポート | |||||
ALB のみサポート | |||||
接続方法
クラウドネイティブモード:
CNAME 接続:
詳細については、「CNAME 接続方式を使用して Web サイトの WAF 保護を有効にする」をご参照ください。WAF コンソールでドメイン名を追加した後、WAF のバックトゥオリジン IP アドレス範囲を許可リストに追加し、ドメイン名の DNS 設定を変更する必要があります。
ハイブリッドクラウド WAF 接続 (リバースプロキシ、SDK 統合):
詳細については、「ハイブリッドクラウド WAF 接続」をご参照ください。
仕組み
クラウドネイティブモード
ALB、FC、MSE インスタンスを接続する場合、WAF は SDK 統合を使用します。ソフトウェア開発キット (SDK) はクラウドプロダクトに埋め込まれています。トラフィックを抽出し、検査し、保護します。WAF はトラフィックを転送しません。この方法により、追加の転送レイヤーから生じる可能性のある互換性と安定性の問題が回避されます。
ECS、CLB、または NLB インスタンスを接続する場合、WAF は透過プロキシを使用します。トラフィックリダイレクトポートを設定すると、クラウドプロダクトゲートウェイは自動的にルートを変更して、Web サービストラフィックを WAF にリダイレクトします。WAF はトラフィックを検査し、攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
CNAME 接続
この方法では、リバースプロキシを使用します。ドメイン名を追加し、その DNS レコードを WAF CNAME アドレスに向けます。これにより、ドメイン名のすべての Web トラフィックが WAF にリダイレクトされます。WAF はトラフィックを検査し、攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
ハイブリッドクラウド WAF 接続
ハイブリッドクラウド WAF 接続方式には、リバースプロキシと SDK 統合の 2 つのパターンがあります。
リバースプロキシモード: Web サイトのドメイン名または IP アドレスを WAF に接続し、その DNS レコードを WAF 保護クラスターに向けます。その後、すべてのトラフィックがクラスターを通過してセキュリティ検査を受けます。
SDK 統合モード: 統合イングレスゲートウェイに SDK プラグインをデプロイします。プラグインはサービストラフィックを WAF 保護クラスターにコピーします。WAF はコピーされたトラフィックを検査しますが、転送はしません。このアーキテクチャは、トラフィック検査と転送を分離します。
よくある質問
他の Alibaba Cloud アカウントや他のクラウドプロバイダーのクラウドリソースを WAF に接続できますか?
はい。Web サイトのドメイン名を所有し、その DNS レコードを管理できる場合は、CNAME 接続方式を使用できます。この方法では、オリジンサーバーの場所に関する制限はありません。
パブリック IP アドレスしかなく、ドメイン名がない場合でも WAF に接続できますか?
はい、できます。この接続タイプではドメイン名が不要なため、クラウドネイティブモードを使用できます。
IPv6 Web サイトを WAF に接続できますか?
はい。ただし、ECS、CLB、および NLB インスタンスのクラウドネイティブモードは IPv6 Web サイトをサポートしていません。これらのインスタンスでは、CNAME 接続方式を使用する必要があります。これを行うには、Enterprise または Ultimate WAF インスタンスのサブスクリプションをアクティベートするか、従量課金 WAF インスタンスを使用する必要があります。次に、詳細設定 セクションで、[IPv6 を有効にする] を選択します。詳細については、「CNAME 接続方式を使用して Web サイトの WAF 保護を有効にする」をご参照ください。
WAF は、中国本土以外のリージョンでの IPv6 Web サイトの接続をサポートしていません。
同じドメイン名にクラウドネイティブモードと CNAME 接続方式の両方を使用できますか?
いいえ、できません。各ドメイン名は 1 つの接続方式しか使用できないため、これは推奨されません。同じドメイン名に両方の方式を使用すると、転送の競合や保護の失敗が発生します。ドメイン名を CNAME 接続からクラウドネイティブモードに切り替える場合は、まず DNS レコードをオリジンサーバーに再度向けます。DNS 解像度が収束した後、ドメイン名の CNAME 接続構成を削除します。次に、クラウドネイティブモードでドメイン名を再接続します。
設定ページで接続したい CLB、NLB、または ECS インスタンスが見つからないのはなぜですか?
考えられる原因 | 関連する操作 |
CLB、NLB、または ECS インスタンスが要件を満たしていません。 | インスタンスが「CLB インスタンスを追加するための制限」、「NLB インスタンスを追加するための制限」、および「ECS インスタンスを追加するための制限」で説明されている接続要件を満たしていることを確認してください。 |
接続したい CLB インスタンスにリスナーがありません。 |
|
WAF が CLB、NLB、または ECS インスタンスを同期していません。 | アセットを手動で同期するには、「アセットの手動同期」をご参照ください。 |
アセットの接続ステータスを表示し、アセットを手動で同期するにはどうすればよいですか?
次の手順に従って、アセットの接続ステータスを表示します。
Web Application Firewall 3.0 コンソールにログインします。トップメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
ページの上部で、接続されているドメイン名アセットとクラウドプロダクトアセットの数を表示できます。また、各クラウドプロダクトで所有しているインスタンスの総数も確認できます。クラウドプロダクトインスタンスを追加または変更した場合は、右上隅の [アセットの同期] をクリックして、変更をすぐに WAF に同期します。
複数のクラウドプロダクトインスタンスに解決されるドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモード: CLB インスタンスのサービスポートなど、関連するすべてのクラウドプロダクトインスタンスを同時に接続します。これにより、WAF はすべてのインスタンスにトラフィックを誘導できます。
CNAME 接続方式: CNAME 接続方式を使用してドメイン名を接続し、関連するすべてのクラウドプロダクトインスタンスの IP アドレスまたは CNAME でオリジンサーバーを設定します。
同じクラウドプロダクトインスタンスに解決される複数のドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモードでは、クラウドプロダクトインスタンスを追加すると、そのインスタンスに解決されるすべてのドメイン名が WAF のデフォルトの緩和ポリシーによって保護されます。ただし、特定のドメイン名に異なる保護ルールを設定する場合は、それらのドメイン名を保護対象として手動で追加する必要があります。詳細については、「保護対象の手動追加」をご参照ください。
CNAME 接続方式: 各ドメイン名を個別に接続する必要があります。