Web Application Firewall (WAF) の保護設定モジュールを使用すると、コア保護ルール、HTTP フラッド保護、ボット管理などのさまざまなセキュリティ機能を組み合わせて、SQL インジェクション、クロスサイトスクリプティング (XSS)、HTTP フラッド攻撃、悪意のあるボットなど、さまざまな Web 攻撃を効果的に防御できます。
仕組み
保護対象と保護対象グループ:ドメイン名またはクラウドサービスインスタンスを WAF に追加すると、システムは自動的にその保護対象を作成します。複数の保護対象を保護対象グループにまとめることで、一元管理が可能です。
保護モジュール:WAF は、コア保護ルール、API セキュリティ、ボット管理など、さまざまな保護モジュールを提供します。保護テンプレートを作成することで、モジュールを有効にします。ニーズに応じてモジュールを選択してください。
保護テンプレート: 保護テンプレートは、特定のルール内容と検査範囲を定義します。テンプレートタイプ、保護ルール、有効オブジェクトの 3 つの部分で構成されています。
テンプレートタイプ: 一部の保護モジュールでは、デフォルトの保護テンプレートとカスタム保護テンプレートの 2 種類のテンプレートが提供されます。デフォルトの保護テンプレートは、手動で割り当てることなく、現在および将来のすべての保護対象オブジェクトに適用されます。
保護ルール: 特定の検出ロジックと応答アクションを定義します。
適用対象: 保護テンプレートの適用対象を指定します。この設定を使用して、特定の保護対象オブジェクトまたは保護対象オブジェクトグループに保護ルールを適用します。
設定プロセス
WAF は、追加されたリソースに対して自動的に保護対象を作成します。これらは ページで確認できます。
ビジネスニーズに基づいて保護モジュールを選択します。例えば、カスタムルール モジュールを使用するには、新しい保護テンプレートを作成する必要があります。詳細については、「保護テンプレートの作成」をご参照ください。
テンプレートを作成した後、それに保護ルールを追加します。詳細については、「保護テンプレートへの保護ルールの追加」をご参照ください。
最後に、保護テンプレートを適用する保護対象を選択します。詳細については、「保護テンプレートの適用対象の設定」をご参照ください。
サポートされる保護モジュール
サポートされる保護モジュールは WAF のエディションによって異なります。例えば、Subscription Basic エディションはピークトラフィックスロットリングをサポートしていません。詳細については、「エディションの比較」をご参照ください。
コア Web 保護 - 一般
保護モジュール | ユースケースと推奨事項 | 初期ステータス |
Alibaba Cloud の組み込みルールセットを活用して、SQL インジェクション、XSS、コード実行、WebShell のアップロード、コマンドインジェクションなどの一般的な Web アプリケーション攻撃から防御します。 デフォルト設定を維持し、誤検知を解決する場合にのみ調整してください。 | 初期のデフォルト保護テンプレートが含まれており、デフォルトで有効になっており、ブロックアクションを使用します。 WAF に追加されたリソースは、デフォルトでこのモジュールによって保護され、攻撃リクエストを自動的にブロックします。 | |
保護ルールグループ (旧バージョンの WAF のみ) 説明 このモジュールはエンジン設定機能にアップグレードされました。詳細については、「お知らせ」をご参照ください。 | Web アプリケーション保護ルールによって参照されるルールグループです。デフォルト設定を維持してください。 | 中、厳格、緩いのルールグループが含まれています。中ルールグループはデフォルトで有効になっています。誤検知または検知漏れが発生した場合は、有効なルールグループを手動で切り替えてください。 |
特定の IP アドレスから頻繁に悪意のあるリクエストが送信されていることを特定した場合は、それらを IP ブラックリストに追加します。 | 初期保護テンプレートはありません。 | |
特定の攻撃 (悪意のある呼び出し、悪意のあるリクエスト、高頻度のスキャンなど) から精密に保護するために、カスタムルールを使用して、柔軟な一致条件とルールアクションでパーソナライズされた保護ポリシーを構築できます。 | ||
ワンクリックで特定の地域からのすべての IP アドレスをブロックします。正当なビジネストラフィックがない場所に最適です。 | ||
スキャン動作とスキャナーの署名を識別して、サイトに対する大規模なスキャン試行をブロックし、侵入リスクを軽減し、不要なトラフィックを削減します。 | Subscription Advanced、Enterprise、Ultimate エディションのみ、デフォルトで有効になっている初期のデフォルト保護テンプレートがあります。他のエディションには初期保護テンプレートはありません。 | |
組み込みのアルゴリズムを使用して HTTP フラッド攻撃を軽減します。より良い保護結果を得るために、これをカスタムルールと組み合わせてください。 |
コア Web 保護 - その他
保護モジュール | ユースケースと推奨事項 | 初期ステータス |
リクエストがブロックされたときに WAF がクライアントに返すブロックページのスタイルとコンテンツをカスタマイズできます。 | 初期保護テンプレートはありません。 | |
保護されたページをロックして、悪意のある改ざんを防ぎます。ロックされたページがリクエストを受信すると、WAF はキャッシュされたページを返します。 | ||
サーバーのレスポンス (エラーページまたはキーワード) に含まれる機密情報 (ID カード番号や銀行カード番号など) をマスクします。 | ||
URL と地域に基づいて QPS を制限したり、スロットリング率を設定したりします。大規模なイベント中のトラフィック急増に適しており、オリジンサーバーの可用性を確保します。 |
ホワイトリスト
ユースケースと推奨事項:他の保護モジュールとは異なり、ホワイトリスト モジュールは、特定の特徴を持つリクエストを許可するために使用されます。有効にすると、一致するリクエストはすべてまたは特定の保護モジュールの検出をバイパスします。既知の信頼できるリクエスト (O&M IP アドレスなど) をホワイトリストに追加してください。
初期ステータス:このモジュールには初期のデフォルトテンプレート (ルールは定義されていません) があり、デフォルトで有効になっています。
高度な保護
保護モジュール | ユースケースと推奨事項 | 初期ステータス |
API セキュリティを有効にして、API (モバイルアプリなど) を不正アクセスやデータ漏洩から保護します。API 資産を自動的に検出し、リスクを特定し、修正提案とコンプライアンスリファレンスを提供します。 | N/A | |
自動化ツールは、データスクレイピング、詐欺、迷惑メール登録、スキャルピング、クーポン乱用、SMS インターフェイス乱用などの問題を引き起こすことがよくあります。ボット管理を有効にした後、トラフィック分析に基づいて精密な保護ポリシーを作成し、コアデータ資産を保護し、サーバーの負荷を軽減できます。 | 初期保護テンプレートはありません。 | |
特定の期間中の重要イベントのセキュリティ保証をサポートし、より精密でカスタマイズされた防御モードを提供します。 | ||
AI アプリケーションがインターネットに公開されており、プロンプトインジェクションや非準拠コンテンツ生成からの保護が必要な場合は、AI アプリケーション保護を有効にします。高リスクのリクエストを自動的に識別し、攻撃をブロックして、安全で準拠したモデル出力を保証します。 |
WAF 保護の無効化
WAF を一時的にバイパスするには、WAF コンソールの 保護対象 ページの右上隅にある WAF 保護ステータス スイッチをオフにします。
スイッチがオフになると、Web サイトへのトラフィックは一時的に WAF 保護エンジンをバイパスし、ログに記録されなくなります。緊急テストなど、WAF の一時停止が必要な操作が完了したら、資産の公開リスクを減らすために、できるだけ早くこのスイッチをオンに戻してください。
課金:従量課金の WAF インスタンスの場合、このスイッチをオフにしても、機能料金、基本リクエスト料金、および API セキュリティトラフィック料金 (API セキュリティが有効な場合) が発生します。
API セキュリティ:API セキュリティモジュールの検出プロセスは、このスイッチの影響を受けません。
サポートされていない機能:この機能は、クラウドネイティブモードで追加された Microservices Engine (MSE) および Function Compute (FC) インスタンスではサポートされていません。ハイブリッドクラウドアクセスの場合、特定のバージョンが必要です。詳細については、アカウントマネージャーにお問い合わせください。
テンプレートタイプによる複数保護テンプレートの柔軟な管理
モジュール内に複数の保護テンプレートを定義して、異なるオブジェクトに独立したルールを適用できます。これらのテンプレートを効率的に管理するには、デフォルト保護テンプレートとカスタム保護テンプレートの 2 つのテンプレートタイプを理解してください。
テンプレートタイプ | 説明 | ユースケース |
デフォルト保護テンプレート |
| グローバルに適用する必要がある一般的な保護ルールを展開します。 |
カスタム保護テンプレート | 手動で指定された保護対象またはグループにのみ適用されます。 | 特定のビジネスシナリオ (ログインや支払いインターフェイスなど) に対して、詳細な保護ルールを展開します。 |
保護対象がどのテンプレートにも含まれていない場合 (すべてのテンプレートで無効として設定されている場合)、WAF によって保護されません。
デフォルト保護テンプレートには
Defaultのマークが付いています。このマークがないテンプレートはカスタム保護テンプレートです。
デフォルト保護テンプレートをサポートするモジュール:コア保護ルール、ホワイトリスト、IP ブラックリスト、カスタムルール、HTTP フラッド保護、カスタムレスポンス、スキャン保護、地域ブロック、ピークトラフィックスロットリング。
デフォルト保護テンプレートをサポートしないモジュール:作成されたすべてのテンプレートはカスタムテンプレートです。適用対象を手動で指定する必要があります。
単一の保護対象への複数テンプレートの適用
以下の保護モジュールは、単一の保護対象またはグループに複数の保護テンプレートを関連付けることをサポートしています。
ホワイトリスト、IP ブラックリスト、カスタムルール、ボット管理、プロンプトインジェクション保護。
複数のテンプレートをサポートする上記のモジュールの場合:保護対象をカスタムテンプレートに関連付けても、デフォルトテンプレートの範囲から削除されません。オブジェクトは、デフォルトテンプレートと関連付けられたすべてのカスタムテンプレートの両方によって同時に保護されます。
複数のテンプレートをサポートしないモジュール (コア保護ルールなど) の場合:保護対象は一度に 1 つのテンプレートにしか関連付けることができません。オブジェクトをカスタムテンプレートに関連付けると、自動的にデフォルトテンプレートの範囲から削除されます。
例 1:新規オブジェクトと既存オブジェクトで異なる保護モード (監視/ブロック) を使用
Web コア保護ルール モジュールを例にとると、初期のデフォルトテンプレートが含まれており、そのデフォルトのルールアクションは ブロック で、新しく追加されたすべての保護対象に自動的に適用されます。
シナリオ:
新しく追加されたオブジェクトには 観察 モード (攻撃をログに記録するがブロックしない) を適用し、既存のオブジェクトには ブロック モードを維持したい場合。
手順:
デフォルト保護テンプレートの アクション を 観察 に設定します。
コア保護ルールテンプレート (カスタム保護テンプレート) を作成し、その アクション を ブロック に設定し、有効対象 を現在保護されているすべてのオブジェクトに設定します。
例 2:特定のオブジェクトに追加のホワイトリストルールを設定
ホワイトリスト モジュールを例にとると、初期のデフォルトテンプレート (ルールは定義されていません) が含まれており、デフォルトですべてのオブジェクトに対して有効になっています。
シナリオ:
すべての保護対象に対して IP1 を許可し、さらに特定の 1 つのオブジェクトに対して IP2 も許可したい場合。
手順:
デフォルトテンプレートで、
IP1を許可するルールを追加します。すべての保護対象/グループがデフォルトで選択されます。IP2を許可するホワイトリストテンプレート (カスタム保護テンプレート) を作成し、有効対象 を特定の保護対象に設定します。
よくある質問
保護対象を手動で設定する必要があるのはどのような場合ですか?
以下の場合には、保護対象を手動で設定する必要があります:
クラウドネイティブモードを使用し、複数のドメインが同じクラウドインスタンスに解決されるが、これらのドメインに異なる保護ルールを設定したい場合は、各ドメインを保護対象として手動で追加する必要があります。詳細については、「保護対象の手動追加」をご参照ください。
WAF Cookie の発行、WAF のデコード、アカウント抽出などの高度な機能を変更する必要がある場合は、保護対象を手動で設定する必要があります。詳細については、「保護対象の高度な保護動作の設定」をご参照ください。
保護が有効であることを確認する方法 (アクティブな保護モジュールの表示)
Protected Object ページに移動し、ターゲットオブジェクトを見つけて、操作 列の View Protection Rule をクリックします。Web コア保護 ページで、オブジェクトの保護ルールを表示します。Web コア保護 ページにテンプレートが表示されない場合、設定は有効ではありません。保護テンプレートの適用対象設定を確認してください。
正当なビジネスリクエストがブロックされた場合はどうすればよいですか?
ページに移動します。時間、クライアント IP、または URL に基づいてリクエストを検索および分析し、ブロックをトリガーした保護モジュールとルールを特定します。
誤検知を解決するには、ログリスト でリクエストを見つけ、操作 列の 誤検知の無視 をクリックしてホワイトリストルールを作成します。
