クラウドネイティブモードとCNAMEレコードモード - Web Application Firewall

Webサービスを保護するためにwebアプリケーションファイアウォール (WAF) 3.0を使用する場合は、webサービスをWAF 3.0に追加する必要があります。クラウドネイティブモード、CNAMEレコードモード、またはハイブリッドクラウドモードでwebサービスをWAF 3.0に追加できます。これらのモードは、アクセス方法とも呼ばれる。 webサービスの展開に基づいてアクセス方法を選択できます。このトピックでは、アクセス方法の実装、推奨されるシナリオ、保護されたオブジェクト、および手順について説明します。

比較

項目	クラウドネイティブモード		CNAMEレコードモード	ハイブリッドクラウドモード
項目	SDK統合モード	逆プロキシモード	逆プロキシモード	SDKの統合とリバースプロキシモード
実装	WAFはSDKモジュールとしてクラウドサービスのゲートウェイに統合され、トラフィックを検出して保護します。互換性と安定性の問題を防ぐため、WAFはトラフィックを転送しません。	クラウドサービスのポートをWAFに追加する必要があります。これにより、クラウドサービスのゲートウェイは、クラウドサービスのwebトラフィックをWAFに自動的にリダイレクトします。次に、WAFは悪意のあるリクエストを除外し、正当なリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。	WAFが提供するCNAMEにドメイン名を解決するには、ドメイン名を追加し、ドメイン名のDNS (domain name System) レコードを変更する必要があります。これにより、ドメイン名のwebトラフィックがWAFにリダイレクトされます。次に、WAFは悪意のあるリクエストを除外し、正当なリクエストを配信元サーバーに転送します。 WAFは、リクエストをリバースプロキシクラスターとして検出および転送します。	リバースプロキシモード: Webサイトのドメイン名またはIPアドレスをWAFに追加し、ドメイン名のDNSレコードを変更して、使用するハイブリッドクラウドクラスターのアドレスにドメイン名を解決する必要があります。ハイブリッドクラウドクラスタは、リバースプロキシモードでWAFに追加されたWebサイトに対するすべてのリクエストを検出します。 SDK統合モード: WAF SDKはwebサービスの統合アクセスゲートウェイにデプロイされ、トラフィックミラーリングを使用してトラフィックを検出します。このように、トラフィック転送は、トラフィック検出から分離される。使用されるハイブリッドクラウドクラスターはトラフィックを転送しません。
推奨シナリオ	webサービスに次のAlibaba Cloudサービスを使用する場合は、次のモードでwebサービスをWAFに追加することを推奨します。Application Load Balancer (ALB) 、Microservices Engine (MSE) 、Function Compute .	webサービスに次のAlibaba Cloudサービスを使用する場合は、次のモードでwebサービスをWAFに追加することを推奨します: Network Load Balancer (NLB) 、Classic Load Balancer (CLB) 、およびElastic Compute Service (ECS) 。	webサービスにALB、MSE、Function Compute、NLB、CLB、またはECSを使用しない場合は、CNAMEレコードモードでwebサービスをWAFに追加できます。	webサービスをパブリッククラウドに移行できない場合は、このモードでwebサービスをWAFに追加できます。 webサービスがAlibaba Cloud、サードパーティのパブリッククラウド、プライベートクラウド、データセンター、および仮想プライベートクラウド (VPC) にデプロイされている場合、このモードでwebサービスをWAFに追加できます。 webサービスがレイテンシの影響を受けやすく、高い信頼性、アクティブな地理的冗長性、および複数のネットワーク環境にわたる集中保護が必要な場合は、このモードでwebサービスをWAFに追加できます。
保護されたオブジェクト	ALBまたはMSEインスタンス。インスタンスにホストされているすべてのドメイン名を含みます。 Function Computeでwebアプリケーションにバインドされているカスタムドメイン名 .	NLB、CLB、またはECSインスタンス。インスタンスにホストされているすべてのドメイン名を含みます。	ドメイン名。	ドメイン名またはIPアドレス。
手順	Function Computeコンソールで、カスタムドメイン名のWAF保護を有効にします。詳細については、「Function Computeでwebアプリケーションにバインドされたカスタムドメイン名のWAF保護の有効化」をご参照ください。	WAFコンソールで、NLB、CLB、またはECSインスタンスのポートをWAFに追加して、トラフィックをリダイレクトします。詳細については、「NLBインスタンスのWAF保護の有効化」、「レイヤー7 CLBインスタンスのWAF保護の有効化」、「レイヤー4 CLBインスタンスのWAF保護の有効化」、「ECSインスタンスのWAF保護の有効化」をご参照ください。	ステップ1: WAF 3.0コンソールの [Webサイト設定] ページでドメイン名を追加します。詳細については、「ドメイン名の追加」をご参照ください。ステップ2: 転送設定がオンプレミスマシンで有効になるかどうかを確認します。詳細については、「ドメイン名設定の確認」をご参照ください。ステップ3: WAFのback-to-origin CIDRブロックからのアクセスを許可します。ドメイン名がホストされている配信元サーバーがサードパーティのファイアウォールを使用している場合は、WAFのback-to-origin CIDRブロックをサードパーティのファイアウォールのIPアドレスホワイトリストに追加します。これにより、WAFによって転送される通常のリクエストがブロックされなくなります。詳細については、「WAFのback-to-origin CIDRブロックからのアクセスを許可する」をご参照ください。ステップ4: ドメイン名のDNSレコードを変更して、ドメイン名をWAFが提供するCNAMEまたはIPアドレスに解決します。詳細については、「ドメイン名のDNSレコードの変更」をご参照ください。	詳細については、「ハイブリッドクラウドモード」をご参照ください。