Web Application Firewall

プロダクト紹介

Web Application Firewallとは

Alibaba Cloud WAF は、Web アプリケーションとの間の HTTP トラフィックをモニタリング、フィルタリング、およびブロックする Web アプリケーションファイアウォールです。 Alibaba Cloud Security の大きなデータ容量に基づいて、Alibaba Cloud WAF は、SQL インジェクション、クロスサイトスクリプティング (XSS)、Webshell、トロイの木馬、不正アクセスなどの一般的な Web 攻撃に対する防御、および大量の HTTP フラッドリクエストの排除に役立ちます。 Web リソースが公開されるのを防ぎ、Web サイトのセキュリティと可用性を保証します。

Alibaba Cloud WAF は簡単にデプロイできます。 Alibaba Cloud WAF をサブスクライブし、WAF コンソールで Web サイトを設定し、WAF Cname アドレスを使用して Web サイトの DNS レコードを更新することで、Web サイトの WAF 保護を有効化できます。 WAF が Web サイトにデプロイされると、Web サイトへのネットワークトラフィックはすべて WAF によって検査されます。 WAF は悪意のあるトラフィックを識別して除外し、有効なトラフィックのみを配信元サーバーに返します。

WAF を始めるには、WAF の学習パスに従います。

利点

Alibaba Cloud Security Web Application Firewall (WAF) には、次の利点があります。

5 分以内に Web サイトのセキュリティを実現

  • ソフトウェアやハードウェアのインストールは不要です。
  • Web サイトの設定やコードを変更はしません。
  • DNS レコードを変更するだけで Web サイトのセキュリティを 5 分以内に実現します。

堅牢な Web 保護機能

  • 毎週定期的に追加および最適化される約 1,000 の組み込みセキュリティ保護ルール。
  • ゼロデイ Web 脆弱性、24 時間防御、およびグローバル同期のパッチ修正。
  • セキュリティの専門家が、脆弱性の調査、ゼロデイ脆弱性の検出、および保護ルールの作成を支援します。
  • ビッグデータプラットフォームを使用してルールを分析および最適化することにより、全体の誤警告率を 1,000 分の 1 パーセント以内に制御します。

専用 Web サイト保護

正確な業務保護、悪意のあるトラフィックの迅速なスクリーニング、管理のバックグラウンド保護、悪意のある IP のブロック、および特定の URL のホワイトリストをサポートします。

ビッグデータセキュリティ機能

  • 毎日何十億ものデータレコードに対してセキュリティ分析を行い、すべてのユーザーに同期させるルールを抽出し、それにより共同防衛を実施します。
  • ビッグデータ分析によって悪意のある IP データベースおよび悪意のあるサンプルデータベースを充実させ、Web サイトの信頼できる情報源を確立します。

迅速な検知と安定した保護

  • 1 ms 以内に攻撃を検出し、遅滞なく直ちに保護を開始します。
  • 新しい保護ルールは 1 分以内にグローバルに同期します。
  • OWASP 攻撃の 10 を超える一般的な脅威をカバーしています。
  • 一年中オンラインで利用可能です。

高信頼性、高可用性サービス

  • 完全に自動化された検出と攻撃ポリシーの照合、リアルタイム保護。
  • 最大 99.99% のクレンジングサービスの可用性。

機能

Alibaba Cloud WAF (Web Application Firewall) は、さまざまな Web 攻撃から Web サイトを保護し、Web サイトのセキュリティと可用性を確保するのに役立ちます。 コア防御機能とビッグデータ機能の両方を利用して、信頼性の高い Web セキュリティを実現します。 Alibaba Cloud WAF は以下の機能を提供します。

リクエストモニタリング

Web サイトに送られる HTTP および HTTPS (WAF Business エディションと Enterprise エディションのみ) リクエストをモニターします。

Web アプリケーション保護

一般的な Web アプリケーション攻撃からの Web サイトの保護
  • SQL インジェクション、XSS 攻撃、Webshell のアップロード、コマンドインジェクション、不正な HTTP プロトコルリクエスト、一般的な Web サーバーの脆弱性攻撃、コアファイルへの不正アクセス、パストラバースなどの一般的な OWASP 脅威に対する防御。 バックドアの隔離とスキャン保護サービスも提供します。
  • Web サイトのステルス化: 攻撃者には見えない Web サイトのアドレスを保持することで、WAF を迂回する直接の攻撃を防ぎます。
  • ゼロデイ脆弱性に対する定期的でタイムリーなパッチ: Alibaba WAF で使用される保護ルールは、試行およびテストされ、最新の脆弱性パッチがカバーされています。タイムリーに更新され、リリース直後にグローバルに同期されます。
  • ユーザーフレンドリーな観察モード: Web サイト上で新たに立ち上げられた業務に観察モードを提供します。 このモードでは、疑わしい攻撃は、業務の誤警告の統計を容易にするために、ブロックアクションの代わりに警告のみを起動します。
HTTP フラッド攻撃に対する保護
  • リダイレクト認証とヒューマンマシン識別を使用して、単一の送信元 IP アドレスからのアクセス頻度を管理します。
  • 正確なアクセス制御ポリシーと例外的なレスポンスコードの認識、URL リクエストの配布、リファラー、およびユーザーエージェントリクエストに基づいて、大規模で低速なリクエスト攻撃を防止します。
  • Alibaba Group のビッグデータセキュリティの利点を最大限に活用することにより、脅威インテリジェンスと信頼できるアクセス分析モデルを確立して悪意のあるリクエストを迅速に特定します。
HTTP ACL ポリシー
  • IP、URL、リファラー、ユーザーエージェントなどの一般的な HTTP フィールドの条件の組み合わせをサポートするユーザーフレンドリな設定コンソールを提供し、正確なアクセス制御ポリシーが形成されます。 アンチリーチ保護、Web サイトのバックエンド保護などもサポートします。
  • 一般的な Web 攻撃防御と HTTP フラッド防御を組み合わせることで、アクセス制御は複数の防御層を作成するのに役立ち、正規のリクエストと悪意のあるリクエストを識別するためのさまざまなニーズに合わせます。
仮想パッチ

Web アプリケーションの脆弱性を修正するためのパッチがリリースされる前に、Web 保護ポリシーを調整して迅速な保護を可能にします

攻撃イベント管理

攻撃イベント、攻撃トラフィック、および攻撃規模の集中管理と分析をサポートします。

信頼性

  • 負荷分散: 複数のデバイス間で負荷分散を行い、クラスターモードでサービスを提供します。 複数の負荷分散ポリシーをサポートします。
  • スムーズな容量拡張: 実際のトラフィックに基づいてクラスターデバイスの数を増減し、サービスの柔軟な容量拡張を行います。
  • 単一問題点なし: 1 台のデバイスが故障したり、修理のためにオフラインになっていても、サービスにはまったく影響がありません。

詳細は、「 Web Application Firewall プロダクトの詳細」ページをご参照ください。

WAF のエディションを選択について

WAF を購入する際は、Business 版または Enterprise 版を使用することをお勧めします。両エディションとも、大抵の Web サイトのサービス規模およびセキュリティ要件を満たします。各エディションの機能と相違点は、次の表のとおりです。

機能 Pro 版 Business 版 Enterprise 版
適用サイトの規模 小規模 Web サイトの場合、一般的なセキュリティ要件のみ満たします。 中規模クラスの法人の Web サイトは、インターネット ユーザーにサービスを提供しており、確実に事業運営できるよう、強化されたデータセキュリティ要件に重点を置きます。 中規模および大規模な法人の Web サイトは、取引規模が大きいため、セキュリティ要件をカスタマイズしています。
一般的な Web 攻撃保護。SQL インジェクションおよび XSS といった攻撃からの保護。
ゼロデイ脆弱性を突いた攻撃に対する保護ルールの自動更新
HTTP flood 攻撃(非 API)の低減
ワンクリック HTTPS 保護
IP アドレスおよびURLのブラックリストとホワイトリスト
指示による Web 攻撃(侵入テストなど)
Web ページ改ざん防止
悪意のある登録
高度な HTTP アクセス制御(UA および Referer といったフィールドに対するきめ細かな制御)
80、8080、443および8443以外のポートの保護 ×
全ログ検索 ×
URL アドレスに対するユーザー定義の頻度でのアクセス制御 ×
位置情報に基づいた IP アドレスによるアクセス制御(ワンクリックで外部アクセスをブロック) × ×
HTTP flood 攻撃(API)軽減 ×
漏洩防止機能(ID カード番号、携帯電話番号、および銀行カード番号などの機密データを保護するため)
セキュリテー専門家によるチケット対応(通常はセキュリテーエンジニアによるチケット対応) × ×
アンチクロールサービス 特定のクロール防止機能(マンマシン識別)。 特定のクロール防止機能(マンマシン識別)。 専門のクロール防止ソリューション。詳細に関しては、チケットを提出してください。
サービスリクエストピーク値(QPS) 2,000 5,000 10,000以上
サービス帯域幅(Mbps) 50 100 200

シナリオ

Alibaba Cloud WAF (Web Application Firewall) は、Alibaba Cloud ユーザーおよび Alibaba Cloud 以外のユーザーにサービスを提供します。

WAF は、金融、電子商取引、O2O Internet+ 、ゲーム、政府、保険など、さまざまな Web サイトの Web アプリケーションセキュリティの保護に適用可能です。

Web Application Firewall を使用すると、次の問題が解決されます。

  • データの漏えいを防ぎ、Web サイトからのコアデータベースの漏えいにつながる可能性のある悪意のあるインジェクションによる侵入を防ぎます。
  • 悪意のある HTTP フラッド攻撃を防止します。 WAF は、大量の悪意のあるリクエストをブロックして、Web サイトの可用性を保護します。
  • コンテンツを改ざんする目的でトロイの木馬が Web ページにアップロードされるのを防ぎ、Web サイトの信頼性を維持します。
  • 既知の Web サイトの最新の脆弱性に対応するための仮想パッチを提供し、必要に応じて迅速に修正します。

FAQ

WAF についてよくある質問

Alibaba Cloud 外部のサーバーで WAF を利用できますか。

はい。WAF では、Alibaba Cloud の内部でも外部でも、インターネットを介してアクセス可能な Web サーバーやアプリケーションが保護されます。 AWS、Azure、その他のクラウドおよびデータセンターで Web サービスが保護されます。

注:中国本土内でアクセスされるドメイン名は、産業情報技術部で ICP ライセンスを申請する必要があります。

WAF はクラウド仮想ホストをサポートしていますか。

WAF の Business および Enterprise エディションは専用仮想ホストをサポートしています。WAF を有効にしてから設定します。

共有ホストは共有 IP アドレスを使用します。つまり、配信元を複数のユーザーが使用するということです。 WAF を個別に設定しないことを推奨します。

HTTP フラッド攻撃を防ぐ方法を教えてください。

WAF では、通常モードと緊急モードで HTTP フラッド保護が提供されます。 実際の状況に基づいて保護モードを切り替えます。 詳細は、「HTTP フラッド保護モードの設定」をご参照ください。

保護効果を高め、誤検知率を下げるために、WAF Business エディションまたは WAF Enterprise エディションを使用して、セキュリティプロフェッショナルをカスタマイズまたはリクエストして、ターゲットとする保護ポリシーをカスタマイズします。 詳細は、「HTTP フラッド保護のカスタマイズ」をご参照ください。

WAF は HTTPS をサポートしていますか。

はい、WAF のすべてエディションで HTTPS 業務とワイルドカードドメイン名を完全にサポートしています。

必要に応じて SSL 証明書とキーをアップロードすると、WAF は HTTPS トラフィックを処理します。 WAF は、リクエストを配信元に戻す前に復号化し、データを調べてから再度暗号化します。

WAF はユーザー定義ポートをサポートしていますか。

WAF の Business および Enterprise エディションは、ユーザー定義の非標準ポートをサポートしています。 Business バージョンは最大 10 個の非標準ポートをサポートしており、Enterprise バージョンは最大 50 個の非標準ポートをサポートしています。

注:詳細は、「サポートされている非標準ポート」をご参照ください。

WAF の QPS 制限は、WAF インスタンス全体でまとめられた QPS を目的としていますか。 それとも 設定した 1 つのドメイン名に対する QPS 上限ですか。

WAF の QPS 制限は、すべての WAF インスタンスに対するものです。 たとえば、WAF の設定で 3 つのドメイン名を保護している場合、3 つのドメイン名の累積 QPS は上限を超えることはできません。 累積した QPS が WAF インスタンスの QPS 制限を超えると、レート制限がトリガーされ、パケット損失が発生する可能性があります。

悪意のある SMS に対するセキュリティが提供されるのは WAF のどのエディションですか。

WAF のすべてのエディションで悪意のある SMS に対するセキュリティが提供されます。 詳細は、「WAF エディションの選択方法」をご参照ください。

WAF の配信元 IP アドレスを ECS の内部ネットワーク IP アドレスに設定できますか。

WAF では、トラフィックはパブリックネットワークを介して配信元に返されます。 内部ネットワーク IP アドレスの直接入力はサポートしておりません。

WAF は CDN または Anti-DDoS IP と一緒に接続できますか。

WAF は CDN および Anti-DDoS サービスと完全に互換性があります。 基本アーキテクチャ: クライアント > Anti-DDoS > CDN > WAF > SLB > 配信元

Anti-DDoS または CDN とサービスを組み合わせるには、WAF の CNAME を Anti-DDoS または CDN 用配信元として入力する必要があります。 このアクションは、トラフィックが Anti-DDoS または CDN を通過した後に WAF に向けます。 その後、WAF はトラフィックを配信元に返します。

詳細は、「WAF と Anti-DDoS Pro の同時デプロイ」および「WAF で CDN を使用」をご参照ください。

WAF は 1 つのドメイン名の下で複数の配信元 IP アドレスを保護できますか。

はい。 個々のドメイン保護で、最大 20 個の配信元 IP が保持されます。 これらの IP はコンマで区切ります。 複数の配信元を 1 つのドメインに追加する場合、WAF はラウンドロビン方式に基づいてリクエストを負荷分散し、すべての配信元に対してヘルスチェックを実行します。 WAF がどの配信元からの応答も得られなかった場合、WAF は通常の状態に戻るまでその配信元へのリクエストの転送を停止します。

複数の配信元が設定されている場合、WAF はどのように負荷を割り当てますか。

複数の配信元 IP アドレスを設定した場合、WAF は自動的にポーリングを使用して負荷分散を実行し、リクエストにアクセスします。

WAF はヘルスチェックをサポートしていますか。

WAF では、デフォルトでヘルスチェックは有効です。 WAF はすべての配信元 IP アドレスのアクセスステータスを確認します。 配信元 IP アドレスが応答しない場合、WAF は、IP アドレスのアクセスステータスが完全に回復するまで、リクエストを配信元 IP アドレスに転送しません。

WAF はセッション持続性をサポートしていますか。

はい、WAF はセッション持続性をサポートしています。 ただし、テクニカルサポートチームにチケットを送信して機能を有効にする必要があります。

WAF の 配信元 IP アドレスの変更中に、遅延が生じることはありますか。

特にありません。 WAF が保護する配信元 IP アドレスが変更されると、その変更は 1 分以内に有効になります。

変更した設定が WAF コンソールで有効になるのはいつですか。

概ね、変更した構成は 1 分以内に有効になります。

WAF の配信元 back-to-source IP アドレスとは何ですか。

Alibaba Cloud WAF コンソール の [管理] > [Web サイト設定] ページで、 back-to-source IP アドレスが表示されます。 詳細は、「WAF back-to-source IP アドレスの表示方法」をご参照ください。

WAF では back-to-source IP アドレスはセキュリティグループに自動的に追加されますか。

いいえ、WAF では back-to-source IP アドレスはセキュリティグループに自動的に追加されません。 配信元が他のファイアウォールまたはホストセキュリティ保護ソフトウェアと一緒にデプロイされている場合は、WAF back-to-source IP アドレスをホワイトリストに手動で追加することを推奨します。

詳細は、「配信元サーバーの保護」をご参照ください。

WAF の back-to-source を有効にするのに、クライアント IP アドレスからのアクセスをすべて許可する必要がありますか。

いいえ。サービスタイプによって WAF back-to-source IP アドレスまたはすべてのクライアントの IP アドレスしか許可できないためです。

Web サービスについては、WAF back-to-source IP のみ許可して配信元を保護することを推奨します。

HTTP フラッド攻撃の送信元 IP アドレスは WAF コンソールに表示されますか。

WAF Enterprise エディションの場合、サービス分析ページで HTTP フラッド攻撃の送信元 IP アドレスの全ログを表示します。

WAF が使用する帯域幅トラフィックを照会する方法を教えてください。

WAF コンソールの概要ページで、使用されている帯域幅トラフィック照会を示します。

WAF の HTTP ACL ポリシー内の IP フィールドは、ネットワークセグメントのエントリをサポートしていますか。

はい、WAF は HTTP ACL ポリシーの IP フィールドの IP ネットワークセグメントのエントリをサポートしています。

悪意のある IP ペナルティ機能を無効にした後、無効にした IP アドレスはどのくらいで回復しますか。

無効にした IP アドレスは、悪意のある IP ペナルティ機能が無効になると 6 分後にリリースされます。

WAF が提供する Anti-DDoS 機能の特徴は何ですか。

  • WAF は各ユーザーに独立した IP アドレスを提供します。 これらの IP アドレスも Anti-DDoS ブラックホールポリシーの対象となり、ECS や Server Load Balancerと整合性があります。
  • WAF のブラックホールしきい値は、現在のリージョンの ECS デフォルトしきい値と同じです。

Anti-DDoS Pro を購入して、Web サイトを DDoS 攻撃から保護します。

WAF は HTTPS 双方向認証をサポートしていますか。

いいえ。 WAF は HTTPS 双方向認証をサポートしておりません。

WAF は Websocket と HTTP 2.0 または SPDY プロトコルをサポートしていますか。

WAF は WebSocket プロトコルをすでにサポートしています。 ただし、現在、HTTP 2.0 と SPDY プロトコルはサポートしておりません。

WAF ではどの SSL プロトコルがサポートされていますか。

サポートしている SSL プロトコル
  • TLSv1
  • TLSv1.1
  • TLSv1.2
SSL 暗号スイートの例
"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!
                    aNULL:! eNULL:! EXPORT:! DES:! MD5:! PSK:! RC4"