Web Application Firewall

Web サイトを Web 攻撃から保護するクラウドファイアウォールサービス

使用を開始する ドキュメント

Web Application Firewall

Web Application Firewall (WAF) は、Web サイトのセキュリティと可用性を確保する、クラウド型 Web アプリケーションファイアウォールのサービスです。

SQL インジェクション、XSS、悪意のある BOT、Web 脆弱性に対するコマンド攻撃から Web サイトを保護します。また、ビッグデータ処理と機械学習の技術によって膨大なアクセス履歴をデータ処理することで、より正確で信頼できる判定を可能にしています。


お客様の声

"WAF により、日々の何千回もの Web アプリケーション攻撃から当社の Web サイトや重要なリソースを保護できています。"


利点

利便性と安定性

  • 簡単なデプロイ: 追加のソフトウェアのインストールや、ハードウェアの増設は不要。すぐに使い始めることができ、数分以内に Web サイトを保護

  • 短い応答時間: ユーザーリクエストに対して、非常に短い時間で応答

  • 高度なモニタリングシステムとサービスシステム:24 時間 365 日、トラフィックを効率的にモニタリング

防御機能

  • 一元的に定義された保護ルール: 誤検知を防ぐため、約 1,000 の保護ルールをすべての Web アプリケーションに対して毎日更新

  • パッチの同期: 新たな脅威が発見された際においても、ゼロデイ攻撃を最大限防ぐため、脆弱性パッチを 24 時間以内に作成し、全リージョンに自動適用

  • 強力な防御: アクセスの攻撃性を判断したり、Web フラッド攻撃の膨大なアクセスを適切に遮断するなど、あらゆる Web 攻撃に対してに強力に防御

ビッグデータの基盤を利用したセキュリティ分析

  • セキュリティ保護: すでに何千もの Web サイトに導入され、日々、数百万の Web 攻撃から保護

  • グローバルな同期: 新しいタイプの攻撃を受けると、全リージョンで保護ルールを同期

  • ビッグデータ学習モデル: ビッグデータ学習モデルを利用することで、誤検知率を低減

高度なモニタリング

  • リアルタイムのメトリック: 不正なアクセスを条件化し、条件にマッチするアクセスを可視化 (新しいルールとアラートを指定して作成可能)。

優れたコストコントロール

  • 月単位パッケージ: 月額サブスクリプションをベースとした豊富なパッケージプランから選択可能

プロダクトの詳細

Web Application Firewall (WAF) は、クラウド型 Web アプリケーションファイアウォールです。組み込みのセキュリティポリシーを使用して、不正な Web リクエストを検知します。WAF は、外部からのアクセスが Web サーバーに届く前に処理が必要になるため、Web サイトの DNS レコードを WAF の IP アドレスに変更します。これにより、Web サーバーへのアクセスは WAF を経由し、あらかじめ危険なリクエストを排除し、安全なリクエストのみを Web サーバーに転送します。

また、多数の不正アクセスを除外するほか、Web サーバーに対する HTTP/HTTPS フラッド攻撃によるパフォーマンス負荷を緩和します。


特徴

一般的な Web 攻撃に対する耐性

保護ルール: OWASP に記載されている一般的な Web 攻撃から保護します。SQL インジェクション、XSS、バックドアの設置、コマンドのインジェクション、無効な HTTP プロトコルリクエスト、一般的な Web サーバーの脆弱性への攻撃、不正アクセスに対して防御します。

Web サイトのステルス化: Web サイトへのアクセスはすべて WAF を経由させることで、Web サイトに直接攻撃されることなく守られます。

ゼロデイパッチの共有: Alibaba グループの大型 EC サイトの保護ルールを共有し、最新の脆弱性に対するパッチを迅速に適用します。これらのパッチは直ちにグローバルで同期され、保護対象のすべての Web サイトを保護します。

HTTP / HTTPS フラッド攻撃、および DDoS 攻撃の防御

DDoS 攻撃の防御: 単一または複数の IP アドレス からの膨大なリクエストなどの DDoS 攻撃に対処します。また、リダイレクトジャンプ認証を提供し、人間のオペレーターとマシンのどちらからアクセスを要求されたのかを判断します。さらに、アクセス制御フィルターを組み合わせることで、異常な Referer および User-Agent フィールドを持つリクエストを検知し、大規模なスローリクエスト攻撃から保護すると共に、異常な応答コード、IP アクセス、URL 配信を識別します。

マルチレイヤー保護: WAF の統合セキュリティモジュールが、一般的な Web 攻撃から保護します。マルチレイヤー保護により、信頼できるトラフィックと悪意のあるトラフィックをより正確に識別ができます。

WAF モード

Warning モード: 保護ルールに一致するリクエストをブロックせず通過させますが、この際に、その内容を記録されます。この記録を後で確認し、意図していない誤検知の保護ルールを修正することができます。このモードは、Web サイトを新規でオープンする際などに使用するモードです。

Protection モード: 設定されたルールに従って検知された攻撃に対して、リクエストを拒否しアクセスを切断します。攻撃者のリクエストは拒否され、接続は切断されます。検知した内容を WAF ログファイルに記録します。

ビッグデータの基盤を利用したセキュリティ

ビッグデータの基盤を利用したセキュリティ、脅威インテリジェンスライブラリ、アクセス分析モデルにおける Alibaba Cloud の技術を最大限に活用して、不正アクセスを識別します。

料金

Web Application Firewall (WAF) の課金方法は、サブスクリプションで、お客様の要件に合わせて、さまざまなパッケージプランが提供されています。

以下の料金は参考情報であり、最終的な金額は、選択したパッケージプランによって異なります。

サブスクリプション

料金の計算方法: 基本パッケージ料金 + オプション(追加ドメイン料金、専用 IP パッケージ料金、追加トラフィック料金)

パッケージプラン:サブスクリプション

詳細:

リージョンバージョン基本パッケージ (JPY/月)追加ドメイン (JPY/月)専用 IP パッケージ (JPY/月)追加トラフィック (JPY/追加の 50Mbps/月)
中国本土以外Pro34,3905,7505,75092,000
Business68,89011,5005,750230,000
Enterprise344,89034,5005,750345,000
中国本土Pro57,39011,5005,75023,000
Business160,89017,2505,75069,000
Enterprise574,89034,5005,750115,000

A) パッケージプランによって、異なる料金が適用されます

B) お客様が必要とするドメインまたは帯域幅の仕様がパッケージプランの仕様を超える場合、追加の拡張料金がかかります

利用イメージ

1. データ漏洩防止

ある企業では、検索エンジンやソーシャルメディアの Web サイトプラットフォームなどの関連サービスを提供しており、ネットワークを介したデータ侵害からの保護を必要としています。その一方でユーザーは、不正行為からユーザーアカウント情報の保護が必要です。

Web Application Firewall (WAF) は、Web 脆弱性のシグネチャセットを用いて、Web 攻撃に対する堅牢な保護機能を提供します。許可されていないファイルのアップロードの検知や、アクセス制御ポリシーの適用により、適切な権限を使用せずにデータにアクセスすることを防止します。

WAF は、悪意のある攻撃から Web サイトを保護し、データの漏洩を防ぎます。さらに、金融、医療、E コマースなど、さまざまな業種のオンラインビジネスに対して HTTPS 暗号化をサポートします。

関連する保護

  • WAF は、SQL インジェクション、XSS、およびその他のリスクの高い Web 攻撃を防止します。

  • 不正な IP アドレス を制限する設定では、Web サイトに頻繁に攻撃する IP アドレスを禁止することができます。

  • 厳格な制限モードを選択すると、より強固なセキュリティ環境を実現することができます。

2. HTTP フラッド攻撃の防止

ある金融機関は、オンライン取引、サポートセンターポータル、モバイルサイト、商品情報やサービス情報など、Web 資産の高可用性を維持するため、大規模なボリューメトリック DDoS 攻撃やデータ侵害攻撃に対する防御を必要としています。その一方でユーザーは、ページの読み込み時間や応答時間の改善を求めながら、個人情報や会社情報を保護したいとも考えています。

WAF は、E コマース 、金融、インターネットサービスなどのビジネスに対する HTTP フラッド攻撃やデータ損失を防止します。

関連する保護

  • 一般的な HTTP フラッド攻撃などの攻撃を効果的に防止します。

  • Web サイトが攻撃を受けた際に、HTTP フラッド攻撃に対する保護の場合、Normal モードに加えて、Emergency モードに切り替えてサーバーのパフォーマンス負荷を減らすことができます。

  • さまざまな攻撃に対しては、適切なアクセス制御によるカスタムルールによって保護します。

3. カスタムセキュリティ保護

あるソーシャルメディア企業は、ビッグデータのハッキング、ユーザー ID の窃盗、およびユーザーエージェントの保護に対処するため、エンタープライズレベルのカスタムセキュリティポリシーを必要としています。WAF はユーザーエージェントルール設定を提供し、DDoS、総当たり攻撃、および個人情報ハッキングから保護します。WAF は、アクセス制御カスタマイズルールを他のルールと組み合わせることで、さまざまなセキュリティソリューションを実現します。ユーザーエージェント、URL、リファラーなどから異常なコンテンツを分析し、セキュリティポリシーを設定します。また、WordPress の Pingback 機能を利用した攻撃から保護し、Web サイト管理のバックグラウンドログオンおよびチェーン保護を提供します。

上記の利用イメージのアーキテクチャ図:

はじめに

コンソールを用いた Web Application Firewall (WAF) の使用

WAF の操作や設定の際に使用する Web ベースのコンソールが用意されています。コンソールでは、ドメイン名、ポート、証明書、秘密鍵の設定や、セキュリティレポート、攻撃の詳細、Web サイトのセキュリティステータスが確認できます。

コンソールから WAF を設定する手順については、クイックスタートガイドをご参照ください。

WAF の操作については、WAF ユーザーガイドをご参照ください。

よくある質問

1. Web Application Firewall (WAF) とは、どのようなサービスですか。

WAF は、定義された条件に基づいてリクエストを許可、ブロック、またはモニタリングすることで、Web アプリケーションを攻撃から保護する Web アプリケーションセキュリティサービスです。定義する条件には、IP アドレス、HTTP ヘッダー、HTTP 本文、URI 文字列、SQL インジェクション、XSS などがあります。

2. WAF では、Alibaba Cloud でホストされていない Web サイトを保護することはできますか。

はい。WAF と CDN を統合することで、Alibaba Cloud でホストされていないお客様にも対応可能です。

3. WAF はどのような業種に適していますか。

E コマース、O2O、金融サービス、オンライン教育、医療、行政などの Web サイトに対して、標準的なセキュリティ保護を提供します。

4. WAF を使用して、アクセス元の IP アドレスを取得する方法を教えてください。

実際のソース IP は、HTTP ヘッダーの X-Forwarded-For (XFF) フィールドに保存されています。

5. WAF は、CDN や Anti-DDoS と組み合わせて使用できますか。

はい。以下のように組合わせて使用することができます。CDN または Anti-DDoS -> WAF -> Web サーバー

7. WAF は、どのような種類の攻撃を防ぐことができますか。

WAF は、SQL インジェクション、HTTP フラッド攻撃、XSS (クロスサイトスクリプティング) などの一般的な攻撃手法から Web サイトを保護します。また、特定のユーザーエージェント、悪意のある BOT など、不正なアクセスをブロックするルールを作成することもできます。