CLBのリスニングドメイン名に対してWebセキュリティ保護を実行するようにWAFを設定する
CLBタイプのWeb Application Firewall(WAF)はドメイン名とCLBリスナーをバインドし、CLBリスナーを経由するHTTPまたはHTTPSトラフィックのチェックとブロックを実現するものです。ここではCLBタイプのWAFによって、CLBに追加されたドメイン名のWebセキュリティ保護を行う方法についてご説明します。
前提条件
HTTPリスナーまたはHTTPSリスナーを作成済みであり、ドメイン名に正常にアクセスできること。操作の詳細については、CLBクイックスタートをご参照ください。
CLBタイプのWAFを購入済みであること。購入方法については購入方法をご参照ください。
操作手順
ステップ1:CLBドメイン名設定の確認
ここではドメイン名
www.example.comを保護する場合を例にとります。1. CLBコンソールにログインし、左側ナビゲーションバーのインスタンス管理をクリックします。
2. インスタンス管理ページで所在リージョンを選択し、インスタンスリストで対象のインスタンスの右側にある「操作」列のリスナーの設定をクリックします。
3. リスナー管理タブのHTTP/HTTPSリスナーエリアで、対象のリスナーの左側にある**+**をクリックしてドメイン名の詳細を確認します。
4. CLBドメイン名設定情報が次のようになっていることを確認します。CLBインスタンスのIDが「
lb-f8lm****」、リスナー名が「http-test」、リスナー転送ルールでリスニングするドメイン名がwww.example.com、ドメイン名の保護ステータスが「無効」(ID、名前、ドメイン名はすべて実際のものに準じてください)。ステップ2:WAFにドメイン名を追加し、CLBにバインド
CLBタイプのWAFが保護対象のドメイン名を認識できるようにするためには、CLBがリスニングするドメイン名をWAFに追加し、CLBリスナーにバインドする必要があります。
1. WAFコンソールにログインし、左側ナビゲーションバーでWeb Application Firewall > 保護設定を選択します。
2. 保護設定ページで、CLBタイプタブをクリックします。
3. CLBタブで、ドメイン名の追加をクリックします。
4. ドメイン名の入力タブで、保護したいドメイン名を入力し、次へをクリックします。
5. リスナーの選択タブで、CLBの対応するリージョンを選択し、ステップ1:CLBドメイン名設定の確認で確認したCLBインスタンスを選択し、リスナーの選択をクリックします。
6. ポップアップしたリスナーの選択ダイアログボックスで、ステップ1:CLBドメイン名設定の確認で確認したCLBインスタンスを選択し、OKをクリックします。
7. リスナーの選択タブに戻り、完了をクリックすると、WAFのドメイン名とCLBリスナーとのバインドが完了します。
8. ドメイン名リストページに戻り、ドメイン名、リージョン、バインドしたCLBインスタンスIDおよびリスナーなどの情報が正しいかどうか確認します。
ステップ3:結果の検証
1. ステップ1:CLBドメイン名設定の確認の操作手順を参照し、リスナー管理タブで、表示されたドメイン名の保護ステータスが「有効」、トラフィックモードが「イメージモード」になっていれば、ドメイン保護は有効化されています。
ドメイン名にDNS解決を設定していない場合は、WAFクイックスタートのステップ2:ローカルテストを参照し、WAFによる保護が有効かどうかを検証することができます。
ドメイン名がDNS解決済みであれば、WAFによる保護が有効かどうかの検証は次の手順に従って行うことができます。
2. ブラウザに、アドレス
http://www.example.com/?test=alert(123)を入力してアクセスします。3. WAFコンソールにログインし、左側ナビゲーションバーで 攻撃ログを選択します。
4. ログの照会タグで、保護対象のドメイン名
www.example.comを選択して追加し、照会をクリックします。ログリストの中に、攻撃タイプが「XSS攻撃」のログがあった場合は、WAFがCLBに設定したドメイン名保護が有効になっていることを意味します。フィードバック