Web サイトに Alibaba Cloud WAF をデプロイすることは、Web サイト設定の作成後に DNS レコード (CNAME または A タイプ) を更新して、検査のために WAF に Web リクエストをリダイレクトすることを指します。

CNAME レコードまたは A レコードを使用して Web トラフィックをリダイレクトします。 CNAME を使用することを推奨します。 CNAME を使用すると、ノードの障害やマシンの障害の場合に、ノードの切り替えやトラフィックを送信元へのリダイレクトさえもサポートされます。

次の内容は、Web サイト専用の Alibaba Cloud WAF のデプロイに適用します。つまり、Web サイトは CDN、DDoS 保護、およびその他のプロキシサービスを使用しません。 その他のシナリオについては、以下のドキュメントをご参照ください。

(推奨) CNAME レコードを編集して WAF をデプロイ

前提条件
  • Web サイト設定が正常に作成されています。 詳細は、「Web サイト設定」をご参照ください。
  • WAF CNAME アドレスを入手します。
    1. Alibaba Cloud WAF コンソールにログインします。
    2. ページ上部でリージョン [中国本土]、[国際] を選択します。
    3. 管理 > Web サイト設定 ページで、操作するドメイン名の上にポインタを移動します。 [CName のコピー] ボタンが表示されます。
    4. [CName のコピー] をクリックして WAF CNAME アドレスをクリップボードにコピーします。
      A レコードを更新して Webトラフィックを WAF にリダイレクトする場合は、この CNAME アドレスに ping を送信して対応する WAF IP アドレスを取得します。 詳細は、「WAF デプロイメントガイド」をご参照ください。 一般に、WAF IP アドレスはほとんど変わりません。
  • DNS ホストのシステムでドメインの DNS 設定を更新する権限があります。
  • オプション:(オプション) Alibaba Cloud WAF IP アドレスのホワイトリストへの登録。配信元 Web サーバーが Alibaba Cloud 以外のセキュリティソフトウェア (Fortinet FortiGate など) を有効にしている場合は、ソフトウェアで WAF IP アドレスをホワイトリストに登録して、WAF から返される正規のトラフィックがブロックされないようにする必要があります。 詳細は、「Alibaba Cloud WAF IP アドレスのホワイトリストへの登録」をご参照ください。
  • オプション:(オプション) ローカルコンピューターでのリダイレクトチェックの実行 DNS 設定を変更する前に、リダイレクトチェックを実行して、設定がすべて正しいことを確認します。 これにより、誤った設定による業務中断を回避します。 詳細は、「ローカルコンピューターでのリダイレクトチェックの実行」をご参照ください。

手順

次の手順では、Alibaba Cloud DNSCNAME レコードを更新する方法を説明します。 ドメインが Alibaba Cloud DNS でホストされている場合は、次の手順に従います。 それ以外の場合は、DNS ホストのシステムにログインして変更を加える必要があります。

  1. Alibaba Cloud DNS コンソールにログインします。
  2. 操作するドメインを選択して、[設定] をクリックします。
  3. 操作する ホスト (ホスト名) を選択し、[編集] をクリックします。
    abc.com を例に取ります。 次のようにホスト名を選択します。
    • www : www で始まるサブドメインと一致します。この場合は www.abc.com です。
    • @ : ルートドメインに一致します。この場合は abc.com です。
    • * : ルートドメインとすべてのサブドメインの両方を含むワイルドカードドメイン名に一致します。この場合は blog.abc.comwww.abc.comabc.com などです。
  4. [レコードの編集] ダイアログボックスで、次の操作を行います。
    • タイプ: CNAME を選択します。
    • : WAF CNAME アドレスを入力します。
    • 他の設定はそのままにします。 TTL 値を 10 分に設定することを推奨します。 TTL 値が大きいほど、DNS の伝達は遅くなります。
    DNS レコードの編集に関する注意事項:
    • ホスト名の場合、CNAME レコードは一意です。 WAF CNAME アドレスに編集する必要があります。
    • 異なるレコードタイプは互いに矛盾します。 たとえば、ホスト名の場合、CNAME レコードを A レコード、MX レコード、または TXT レコードと共存させることはできません。 レコードタイプを直接変更できない場合は、まず競合するレコードを削除してから新しい CNAME レコードを追加します。
      削除と追加のプロセス全体を短時間で実行する必要があります。 そうでない場合、ドメインにアクセスできなくなります。
    • MX レコードが使用されている場合は、A レコードを使用して Web トラフィックを WAF にリダイレクトできます。 詳細は、「WAF デプロイメントガイド」をご参照ください。
  5. [OK] をクリックして DNS 設定を完了し、DNS 変更が有効になるのを待ちます。
  6. オプション:(オプション) DNS 設定を確認します。 ドメインに ping を送信するか、 の DNS Check を使用して DNS 変更が有効かどうかを検証します。
    設定が有効になるまでにある程度時間がかかります。 検証に失敗した場合は、約 10 分待ってから再度検証します。
  7. DNS 解決ステータスを確認します。
    1. Alibaba Cloud WAF コンソールにログインします。
    2. 管理 > Web サイト設定 ページで、ドメイン名の DNS 解決ステータス を確認します。
      • Normal: Alibaba Cloud WAF は正常にデプロイされ、Web トラフィックは WAF によってモニタリングされています。
      • Exception:"CNAME 解決が検出されませんでした"、"トラフィックなし"、または "DNSチェックに失敗しました" の例外メッセージの場合、DNS 設定が正しくない可能性があります。
        この場合は、DNS 設定を確認します。 DNS 設定が正しいことを確認したら、1 時間待ってから DNS 解決ステータスを更新します。 詳細は、「DNS 解決ステータスの例外」をご参照ください。
        ここでの例外は、WAF が正しくデプロイされていないことを示しています。 Web サイトへのアクセスは影響を受けません。

配信元の保護

配信元サーバーの IP アドレスが公開されると、攻撃者はそれを悪用して Alibaba Cloud WAF を迂回し、配信元を直接攻撃を開始する可能性があります。 このような攻撃を防ぐために、ECS セキュリティグループまたは SLB ホワイトリストを設定して、Alibaba Cloud WAF の IP アドレスから送信されていない Web リクエストをすべてブロックすることを推奨します。 詳細は、「配信元サーバーの保護」をご参照ください。

A レコードを編集して WAF をデプロイ

A レコードの方法は、以下の違いを除いて CNAME と同じです。
  • 前提条件: WAF CNAME アドレスを取得したら、以下を実行して関連 WAF IP アドレスを取得します。
    1. Windows オペレーティングシステムで、cmd コマンドラインツールを開きます。
    2. 次のコマンドを実行します。ping “copied WAF Cname address”
    3. 結果に WAF IP アドレスを表示します。
  • 手順: 手順 4 レコードの編集で、以下を行います。
    • タイプ: A を選択します。
    • : WAF IP アドレスを入力します。
    • 他の設定はそのままにします。