7.6. Webアプリケーションファイアウォール(WAF)¶
Webアプリケーションファイアウォール(WAF)は、Webアプリケーションに対する攻撃通信を遮断するサービスです。
注釈
- Webアプリケーションファイアウォール(WAF)は、サービス相互接続を経由して利用します。別途、サービス相互接続を申し込む必要があります。
7.6.1. 利用できる機能¶
Webアプリケーションファイアウォール(WAF)では以下の機能を利用できます。
| 機能 | 概要 |
| Webアプリケーションファイアウォール | Webアプリケーションに対する攻撃通信を検知し、影響を与える可能性が高い攻撃通信を遮断する機能。 |
7.6.2. Webアプリケーションファイアウォール機能¶
Webアプリケーションに対する攻撃通信を検知し、影響を与える可能性が高い攻撃通信を遮断します。
注釈
- 検知状況および遮断状況は、弊社が必要と判断した場合に、Emailなどで通知されます。
Webアプリケーションファイアウォール(WAF)を経由した通信のみが検査対象となります。アプリケーションファイアウォール(WAF)を利用する際は、以下のようにルーティングを設定してください。
※ 本項では統合ネットワークアプライアンスをINAと表記します。
- vファイアウォール/INAで、Webアプリケーションファイアウォール(WAF)を接続するために割り振られたIPアドレスブロック宛の通信が、Webアプリケーションファイアウォール(WAF)で利用するサービス相互接続GWにルーティングされるように設定が必要です。
- 検査対象サーバーセグメント上にある仮想サーバーで、仮想サーバーからの通信がWebアプリケーションファイアウォール(WAF)で利用するサービス相互接続GWにルーティングされるように設定が必要です。
- 仮想サーバーのPing監視を実施する場合、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
注釈
- 検査対象サーバーセグメントは、vファイアウォール/INAと直接接続しないでください。
Webアプリケーションファイアウォール(WAF)にて解析可能な通信量は以下のとおりです。
| 項目 | 性能(最大値) | 備考 |
| トラフィック処理能力 | 1 Gbps | 上り/下りの合計値です。 |
| RPS(Request Per Sec) | 75,000 rps | - |
| CPS(Connection Per Sec) | 10,000 cps | - |
Webアプリケーションファイアウォール(WAF)は、アクティブ/スタンバイ構成で構成されます。アクティブ機に障害が発生した場合は、アクティブ機からスタンバイ機への切り替えは自動的に実行されます。
ステージングは、攻撃通信の検知/遮断精度を高めるための工程です。ステージングを実施するかどうかは、Webアプリケーションファイアウォール(WAF)の申し込み時に選択できますが、誤検知を少なくするために実施することを推奨します。
ステージングを実施する場合は、攻撃通信の検知のみが実施され、通信は遮断されないステージング期間(利用開始後1~4週間程度)が設定されます。ステージング期間終了後、Webアプリケーションファイアウォール(WAF)によって遮断対象として検出された通信が、正常通信かどうかを確認してください。確認結果を元に、Webアプリケーションファイアウォール(WAF)の設定が調整されます。
ポリシーは、Webアプリケーションファイアウォール(WAF)での防御ルールです。Webアプリケーションファイアウォール(WAF)の標準は、1つのポリシーで運用します。
Webアプリケーションファイアウォール(WAF)にてSSL通信を復号化して、通信を検査することが可能です。
重要
- クライアントからWebアプリケーションファイアウォール(WAF)に対して、SSLv3プロトコルによる接続はできません。
SSL復号化によるWAFの検査をご用命の場合は、お客様にて証明書を準備頂き、オーダー時にお渡しください。証明書をお渡し頂く際は、以下の点に注意してください。
証明書の取得、更新管理はお客様の責任にて実施してください。
PKCS#12形式フォーマットまたはPEM形式フォーマットで提出してください。
サーバー証明書については、証明書とKeyファイルの両方が必要です。
CAのルート証明書は含めないでください。
- 中間証明書およびクロスルート証明書が必要な場合は、それらの証明書を含めて格納してください。IISなど一部のシステムでは中間証明書等を同時にエクスポートしようとするとルート証明書が含まれてしまう為、その場合はお手数ですが「サーバー証明書」と「中間証明書・クロスルート証明書」を別々にお渡しください。
中間証明書およびクロスルート証明書を個別にお送り頂く場合は、必要な全ての証明書を正しい順序でならべた1つのファイルとしてお渡しください。この場合、PEM形式でお送り頂いても結構です。
- サーバー証明書については、作成する場合、ファイルにパスワードを付与して頂くことを推奨します。(お渡し頂く際に、別途ご連絡ください。)パスワードはPKCS#12形式フォーマットで作成時に指定頂くか、パスワードで暗号化したZIPファイルとしてお渡しください。
7.6.3. 注意事項¶
利用するIPアドレス- サービス相互接続GWとWebアプリケーションファイアウォール(WAF)を接続するために、プレフィックス長が/28~/24のIPアドレスブロックが1つ必要です。検査対象のWebアプリケーションのIPアドレス数+9IPアドレス(サービス提供に必要なIPアドレス数)が確保可能なIPアドレスブロックを選定してください。
- 割り振られたIPアドレスブロックは弊社にて管理し、必要な機器にIPアドレスを割り当てます。
- Webアプリケーションファイアウォール(WAF)を利用する場合、サーバーセグメントおよび Enterprise Cloud サービスと接続し通信を行うお客様ネットワークで以下のアドレス帯は使用できません。
- 172.17.62.0/23
- WAF冗長構成のHAセグメントに設定されたアドレス帯
- 実際の通信量がお申し込みいただいた解析処理量の上限を超えた場合、通信が破棄される場合があります。
- Webアプリケーションファイアウォール(WAF)機能を提供する機器から仮想サーバーに対して、以下のヘルスチェック通信が行われます。仮想サーバーの設定で、通信を許可してください。
- ICMP
- L4ヘルスチェック(3-way handshakeの成立)
- Webアプリケーションファイアウォール(WAF)は、Webアプリケーションへの攻撃通信の検知/遮断機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、Webアプリケーションファイアウォール(WAF)機能を構成する機器の開発元または販売元より提供されるシグネチャ(危険度・攻撃通信判定アルゴリズム)の妥当性を保証するものではありません。
- Webアプリケーションファイアウォール(WAF)機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- Webアプリケーションファイアウォール(WAF)の提供を通じて得られた設定情報
- Webアプリケーションファイアウォール(WAF)の制御などによって得られた情報
- Webアプリケーションファイアウォール(WAF)機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
- メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。