このトピックでは、Web Application Firewall (WAF) 3.0 がサポートする 3 つの接続タイプ (クラウドネイティブモード、CNAME (Canonical Name) 接続、ハイブリッドクラウド WAF 接続) について説明します。また、各タイプの仕組みを説明し、Web サービスのデプロイに適したタイプを選択するのに役立ちます。
接続タイプの比較
比較項目 | クラウドネイティブモード | CNAME 接続 | ハイブリッドクラウド WAF 接続 | |
リバースプロキシ | SDK 統合 | |||
シナリオ |
| ドメイン名を接続します。このメソッドは広く適用可能で、クロスアカウントおよびマルチクラウドのシナリオをサポートします。 |
|
|
保護対象 | Alibaba Cloud プロダクトインスタンス | ドメイン名 | ドメイン名または IP アドレス | ドメイン名または IP アドレス |
アクセス制限 |
|
|
|
|
接続方法
クラウドネイティブモード:
CNAME 接続:
詳細については、「CNAME 接続メソッドを使用して Web サイトの WAF 保護を有効にする」をご参照ください。WAF コンソールでドメイン名を追加した後、WAF のオリジンサーバーへの IP アドレス範囲を許可リストに追加し、ドメイン名の DNS 設定を変更する必要があります。
ハイブリッドクラウド WAF 接続 (リバースプロキシ、SDK 統合):
詳細については、「ハイブリッドクラウド WAF 接続」をご参照ください。
仕組み
クラウドネイティブモード
ALB、FC、または MSE インスタンスを接続する場合、WAF は SDK 統合を使用します。SDK (ソフトウェア開発キット) は、クラウドプロダクトゲートウェイに埋め込まれています。トラフィックを抽出し、検査し、保護します。WAF はトラフィックを転送しません。このメソッドは、追加の転送レイヤーから生じる可能性のある互換性と安定性の問題を回避します。
ECS、CLB、または NLB インスタンスを接続する場合、WAF は透過的なプロキシを使用します。トラフィックリダイレクトポートを構成すると、クラウドプロダクトゲートウェイは自動的にルートを変更して、Web サービストラフィックを WAF にリダイレクトします。WAF はトラフィックを検査し、攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
CNAME 接続
このメソッドはリバースプロキシを使用します。ドメイン名を追加し、その DNS レコードを WAF CNAME アドレスに向けます。これにより、ドメイン名のすべての Web トラフィックが WAF にリダイレクトされます。WAF はトラフィックを検査し、攻撃をブロックし、正当なリクエストをオリジンサーバーに転送します。
ハイブリッドクラウド WAF 接続
ハイブリッドクラウド WAF 接続メソッドは、リバースプロキシと SDK 統合の 2 つのパターンを提供します。
リバースプロキシモード: Web サイトのドメイン名または IP アドレスを WAF に接続し、その DNS レコードを WAF 保護クラスターに向けます。その後、すべてのトラフィックがクラスターを通過してセキュリティ検査を受けます。
SDK 統合モード: 統合イングレスゲートウェイに SDK プラグインをデプロイします。プラグインはサービストラフィックを WAF 保護クラスターにコピーします。WAF はコピーされたトラフィックを検査しますが、転送はしません。このアーキテクチャは、トラフィックの検査と転送を分離します。
よくある質問
他の Alibaba Cloud アカウントや他のクラウドプロバイダーのクラウドリソースを WAF に接続できますか?
はい。Web サイトのドメイン名を所有し、その DNS レコードを管理できる場合は、CNAME 接続メソッドを使用できます。このメソッドには、オリジンサーバーの場所に関する制限はありません。
パブリック IP アドレスしかなく、ドメイン名がない場合でも WAF に接続できますか?
はい、できます。この接続タイプはドメイン名を必要としないため、クラウドネイティブモードを使用できます。
IPv6 Web サイトを WAF に接続できますか?
はい。ただし、ECS、CLB、および NLB インスタンスのクラウドネイティブモードは IPv6 Web サイトをサポートしていません。これらのインスタンスでは、CNAME 接続メソッドを使用する必要があります。これを行うには、Enterprise または Ultimate WAF インスタンスのサブスクリプションをアクティベートするか、従量課金 WAF インスタンスを使用する必要があります。次に、詳細設定 セクションで、[IPv6 を有効にする] を選択します。詳細については、「CNAME 接続メソッドを使用して Web サイトの WAF 保護を有効にする」をご参照ください。
WAF は、中国本土以外のリージョンでの IPv6 Web サイトの接続をサポートしていません。
同じドメイン名にクラウドネイティブモードと CNAME 接続メソッドの両方を使用できますか?
いいえ、これは推奨されません。各ドメイン名は 1 つの接続メソッドしか使用できません。同じドメイン名に両方のメソッドを使用すると、転送の競合や保護の失敗が発生します。ドメイン名を CNAME 接続からクラウドネイティブモードに切り替える場合は、まず CNAME 接続構成を削除してから、クラウドネイティブモードでドメイン名を再接続する必要があります。
構成ページで接続したい CLB、NLB、または ECS インスタンスが見つからないのはなぜですか?
考えられる原因 | 関連操作 |
CLB、NLB、または ECS インスタンスが要件を満たしていません。 | インスタンスが、CLB インスタンスの追加制限、NLB インスタンスの追加制限、および ECS インスタンスの追加制限 に記載されている接続要件を満たしていることを確認してください。 |
接続したい CLB インスタンスにリスナーがありません。 |
|
WAF が CLB、NLB、または ECS インスタンスを同期していません。 | アセットを手動で同期するには、「アセットの手動同期」をご参照ください。 |
アセットの接続ステータスを表示し、アセットを手動で同期するにはどうすればよいですか?
アセットの接続ステータスを表示するには、次の手順に従います。
Web Application Firewall 3.0 コンソールにログインします。上部のメニューバーから、WAF インスタンスのリソースグループとリージョン (中国本土 または 中国本土以外) を選択します。
左側のナビゲーションウィンドウで、アクセス管理 をクリックします。
ページの上部で、接続されているドメイン名アセットとクラウドプロダクトアセットの数を表示できます。また、各クラウドプロダクトで所有しているインスタンスの総数も確認できます。クラウドプロダクトインスタンスを追加または変更した場合は、右上隅の [アセットの同期] をクリックして、変更をすぐに WAF に同期します。
複数のクラウドプロダクトインスタンスに解決されるドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモード: CLB インスタンスのサービスポートなど、関連するすべてのクラウドプロダクトインスタンスを同時に接続します。これにより、WAF はそれらすべてにトラフィックを誘導できます。
CNAME 接続メソッド: ドメイン名を接続すると、関連するすべてのクラウドプロダクトインスタンスが WAF のデフォルトの緩和ポリシーによって保護されます。
同じクラウドプロダクトインスタンスに解決される複数のドメイン名を接続するにはどうすればよいですか?
クラウドネイティブモードでは、クラウドプロダクトインスタンスを追加すると、そのインスタンスに解決されるすべてのドメイン名が WAF のデフォルトの緩和ポリシーによって保護されます。ただし、特定のドメイン名に異なる保護ルールを構成する場合は、それらのドメイン名を保護対象として手動で追加する必要があります。詳細については、「保護対象の手動追加」をご参照ください。
CNAME 接続メソッド: 各ドメイン名を個別に接続する必要があります。