クラウドWAF(しぇあわふ)をDNS変更無に疎通テストをする設定例¶
[更新: 2021年12月9日]
クラウドWAFサービスを利用する際の設定例を掲載いたします。
しぇあわふとは¶
しぇあわふは、興安計装株式会社様と協業しさくらのクラウドサービス上により提供するクラウドWAFサービスです。WAFとは「Web Application Firewall」 の略称で、ウェブアプリケーションの脆弱性を悪用した攻撃からウェブアプリケーションを保護するセキュリティサービスです。
しぇあわふは、シンプルかつコストパフォーマンスを重視をコンセプトにサービスを提供いたします。提供仕様はDNS指定によりサイトへのアクセスをしぇあわふ経由に変更、検査/遮断・転送により利用が可能な手軽なセキュリティサービスです。
一律のポリシーによりサービス提供をするため、セキュリティルール・ポリシー設定は不要です。また、国別のアクセス・IPアドレスによる通過・遮断設定はお客様により指定を受け賜わることが可能です。
※各機能の詳細やその他の機能など詳細については しぇあわふ サービス仕様書 を参照ください。
注釈
キャンペーン掲載、評価利用は弊社クラウドニュース、マニュアル掲載をご確認ください。
疎通テストの前提条件¶
しぇあわふ、その他のクラウド型のWAFは、下記の方法によりセキュリティのプラットフォーム、またはサービス事業者の専用のホスト機を経由しウェブサーバーへ到達します。
このためアクセスをテストする端末により到達先を指定することでDNSの設定を変更せずサイト表示を確認、またはテスト用のサブドメインによりアクセスを確認、その後に本番利用としてサブドメインを変更されると存じます。本TIPSでは、テスト端末よりhostsファイルを指定に関して解説します。
hostsファイルとは¶
検証者の端末OSは、 WindowsOS10 を使用しました。この為、本内容によりWindowsOSベースによるTCP/IPリソースの名前解決にhostsファイルの設定変更を実施した際の動作に関する要約となります。
1.クライアントは、クエリの対象の名前がクライアントのものであるかどうかを確認開始
2.クライアント端末内のローカルファイル(hostsファイル)を検索
3.クエリが実行、名前解決を実行します。
重要
詳細はOS提供元の企業の規約上、転記・記載は控えさせていただきます。また、動作や詳細が異なる可能性がございます。各種OSが公開するサポート情報、または公開される仕様をご確認ください。
参考設定例¶
前提¶
ここでは動作の設定解説のために下記の設定を行います。
1.クライアント端末のhostsファイルを確認
2.sakura.ad.jpのIPアドレスを指定IPアドレス ``検証用ウェブサーバーアドレス`` へ変更
3.ブラウザアクセスの実行
4.tracerouteによりアドレスを追跡
クライアント端末(Windows10 OS) のhostsファイルを確認¶
Windows10は、hostsファイルを下記に格納されます。対象のフォルダを確認、ファイルが存在することを確認します。
C:\Windows\System32\drivers\etc
注釈
OSのバージョンによりファイルの配置先が異なります、ご注意ください。
sakura.ad.jpのIPアドレスを指定IPアドレスへ変更¶
対象のファイルをテキストエディタなどを使用のうえ確認します。デフォルトでは下記の設定がコメントアウトの状態により表示されます。
# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost<pre>
指定IPアドレスを追記します。ファイルをコピーしバックアップを取得後に下記を最下部に追記します。
検証用ウェブサーバーアドレス www.sakura.ad.jp |
注釈
検証用ウェブサーバーアドレス は事前に検証用に準備したウェブサーバーのIPアドレスを入力しました。
ブラウザアクセスの実行¶
http://sakura.ad.jp/にアクセスしてみます。設定前と設定後によりサイト表示が変わる事が確認出来れば動作が確認できます。
変更前
httpsへリダイレクトされますが、弊社のウェブサイト表示されます。
変更後
変更により検証用ウェブサーバーアドレスへアクセス、サイトが表示されました。
注釈
ブラウザによりhttpsを優先、検索によるhttpsへの修正、または端末のキャッシュの影響を受けます。表示エラーが発生する際は、URLの見直し、キャッシュの削除、サイト表示の再確認を実施ください。
tracerouteによりアドレスを追跡¶
指定IPアドレスによる変更を追跡します。tracerouteのコマンドを使用のうえpowershell、またはコマンドプロンプトにより設定変更後のアドレス返答、表示を確認します。
PoreShellより tracert sakura.ad.jp を入力
変更前
sakura.ad.jp [163.43.24.70] へのルートをトレースしています
経由するホップ数は最大 30 です:
1 * * * 要求がタイムアウトしました。
2 79 ms 93 ms 67 ms 61.211.224.14
3 83 ms 77 ms 87 ms tkwrt2b-wrt1j.bb.sakura.ad.jp [157.17.134.25]
4 197 ms 75 ms 81 ms tkwrt302b-wrt2b.bb.sakura.ad.jp [157.17.131.129]
5 80 ms 81 ms 84 ms tkgrt1s-wrt302b-1.bb.sakura.ad.jp [157.17.138.185]
6 103 ms 96 ms 199 ms tkdrt2b-grt1s-2.bb.sakura.ad.jp [157.17.130.34]
7 75 ms 80 ms 80 ms sac-tk1a-rt11-tkdrt2b-1.bb.sakura.ad.jp [157.17.136.242]
8 75 ms 82 ms 85 ms 192.168.236.1
9 103 ms 71 ms 80 ms vip1a.www.sakura.ad.jp [163.43.24.70]
弊社サイトへの表示を確認しました。
注釈
参考の為、実際はアクセスの際に経路が異なる可能性がございます。
変更後
sakura.ad.jp [ 検証用ウェブサーバーアドレス ] へのルートをトレースしています
経由するホップ数は最大 30 です:
1 * * * 要求がタイムアウトしました。
2 66 ms 52 ms 57 ms localaddress
3 54 ms 59 ms 57 ms localaddress
4 54 ms 60 ms 55 ms localaddress
5 55 ms 57 ms 59 ms localaddress
6 73 ms 56 ms 55 ms localaddress
7 59 ms 51 ms 59 ms localaddress
8 89 ms 72 ms 79 ms 218.100.6.51
9 99 ms 76 ms 78 ms chsrt1b-tkert1.bb.sakura.ad.jp [157.17.138.138]
10 90 ms 75 ms 76 ms sac-tk1b-rt01-chsrt1b.bb.sakura.ad.jp [157.17.138.150]
11 90 ms 70 ms 83 ms sakura.ad.jp [ 検証用ウェブサーバーアドレス ]
指定アドレスによる経路、IPアドレスの表示を確認できました。
注釈
上記は検証者の端末によるアクセス結果の為、表示アドレスは localaddress 、 検証用ウェブサーバーアドレス へマスキングしました。
重要
意図した名前解決が出来ない際は上流のネットワーク構成、または機器などをご確認ください。