WEB Firewall Selfサービスでは、Webサーバーを保護できるようにWebファイアウォールインスタンスを作成し、運営できるガイドを提供します。 ここではWEB Firewall Selfサービスの使い方を紹介します。
WEB Firewallサービスを利用するには、NHN Cloud Consoleにログインし、サービス一覧からSecurity > WEB Firewallをクリックしてサービスを有効化します。
[参考] * インスタンスが作成されると、すぐに利用料金が発生します。 * WAPPLE SA(PENTA WAF)の最小推奨インスタンス仕様は2vCore / Memory 4GBであり、推奨仕様未満のインスタンスを使用すると正常に動作しない可能性があります。そのため、必ず推奨仕様以上のインスタンスタイプを使用する必要があります。
[注意] * ウェブサービスがWAFを経由して提供されている場合、インスタンスを削除するとサービス障害が発生する可能性があります。 * WAFインスタンスを削除する際は、関連するサービスに注意して削除してください。
WAFインスタンスを作成する際の詳細な手順をガイドします。
[参考]
※ WAPPLE SA(PENTA WAF)の最小推奨インスタンス仕様は2vCore / Memory 4GBであり、推奨仕様未満のインスタンスを使用すると正常に動作しない可能性があります そのため、必ず推奨仕様以上のインスタンスタイプを使用する必要があります。
Throughput (Mbps) | インスタンスタイプ | vCPU | Memory(GB) |
---|---|---|---|
100 | m2.c2m4 | 2 | 4 |
300 | m2.c4m8 | 4 | 8 |
700 | m2.c8m16 | 8 | 16 |
1,500 | m2.c16m32 | 16 | 32 |
[表1. WAF(WAPPLES SA)推奨インスタンスタイプ]
方向 | IPプロトコル | ポート | リモート(CIDR) | 説明 |
---|---|---|---|---|
受信 | TCP | 80 (HTTP) | 0.0.0.0/0 | WAFウェブサービス |
受信 | TCP | 443 (HTTPS) | 0.0.0.0/0 | WAFウェブサービスポート *下記[注意]参考 |
受信 | TCP | 5001 | 管理者IP | WAF 管理コンソール(UI)ポート(管理者IPのみ許可) |
受信 | TCP | 22 (SSH) | 管理者IP | WAF SSH ターミナルポート(管理者IPのみ許可) |
受信 | TCP | 5000 | WAF前端LBのIP | 前端LBのヘルスチェック(health check)ポート |
受信 | TCP | 5984 | WAFのセキュリティグループまたはWAFのIP範囲 | WAF間のポリシー同期 *HA構成時に必要 |
*送信 | 任意 | - | 0.0.0.0/0 | WAFの外部ライセンス、シグネチャ更新などの通信用途 (個別設定が必要な場合[表3. WAF送信リスト])参考 |
[表2. セキュリティグループ設定例]
[参考] * HA構成で設定同期機能を使用する場合、WAF間で5984ポートの許可が必要です。
上記[表2. セキュリティグループ設定例]のWAFの*送信ルールは、例のようにすべての外部通信を許可することを推奨します。送信ルールを個別に許可する必要がある場合は、下記[表3. WAF送信リスト]を参照してください。
方向 | IPプロトコル | ポート | リモート(CIDR) | 説明 |
---|---|---|---|---|
送信 | TCP | 443 (HTTPS) | 218.145.29.166/32 | WAFライセンス更新サーバー |
送信 | TCP | 443 (HTTPS) | 218.145.29.101/32 | WAFライセンス更新サーバー |
送信 | TCP | 5001 | 218.145.29.168/32 | WAFセキュリティルール(custom rule)更新サーバー |
送信 | UDP | 123 | 218.145.29.166/32 | ペンタセキュリティの時間サーバー (変更可能) |
送信 | UDP | 123 | 218.145.29.163/32 | ペンタセキュリティの時間サーバー (変更可能) |
送信 | UDP,TCP | 53 | 164.124.101.2/32 | DNSサーバー - LG U+ (変更可能) |
送信 | UDP,TCP | 53 | 8.8.8.8/32 | DNSサーバー - Google (変更可能) |
*送信 | TCP | 5984 | WAFのセキュリティグループまたはWAFのIP範囲 | WAF間のポリシー同期 *HA構成時に必要 |
[表3. WAF送信リスト]
[注意] * WAFで保護対象サーバー「TCP 443(HTTPS)」ポリシーを設定しない場合、WAFに「TCP 443(HTTPS)」で接続し、管理コンソール(UI)にアクセスできます。したがって、上記のセキュリティグループACLの「受信TCP 443」ルールは、WAFの保護対象サーバーに設定後、セキュリティグループで許可する必要があります。
ブラウザ(Chrome推奨)を使用して、WAFの管理コンソール(UI)にアクセスします。
環境設定 > システム > 時刻同期を設定する
ネットワーク設定 > プロキシIPを設定する
WAFの保護対象を設定する
[参考] * WAFがHTTPSサービスを提供する必要がある場合、[ネットワーク設定 > SSLプロファイル > 証明書追加]を実行した後、各保護対象ウェブサーバーを追加する際にSSL設定を行うことができます。 * 詳細については、以下の「WAF運用」項目に記載されている場所のユーザーマニュアルを参照してください。
[WAFに適用する際の参考] * 顧客のインフラ環境にWAFサービスが適用されるように、ネットワーク経路の変更が必要です。 * 顧客インフラの構成に応じて、WAFのFloating IPへのDNS変更が必要な場合や、WAFのHA構成時に前段ロードバランサーIPへのDNS変更が必要な場合があります。
[参考] * Selfサービスでは使用ガイドのみが提供され、Managedサービスを利用する際には運用代行および24時間セキュリティ監視サービスが提供されます。