asuhareblog

■ 当メディアの記事は、広告による収益を得ています。

wafとは?|エックスサーバーwaf設定のやり方も解説

ブログ始める
WAF(ワフ)ってなんだろう?セキュリティ対策で大事そうだけど、、、。詳しく知りたい。
 
asuhare
OK!wafを詳しく説明するね。それと、エックスサーバーでのwaf設定のやり方もね。
waf知りたい人
お願いしまっす!
waf設定の重要性

wafを設定することで、サイバー攻撃などを防いでくれるの!

なので、waf設定はとっても重要なのよ。

wafを設定することで、今後のブログ運営を安心して行うことが出来るはずよ。

注目!
 
asuhare
当サイトもブログ立ち上げと同時にエックスサーバーでwafの設定は済ませておきました。そのおかげで、当サイト3年目に入りますけど問題なしです。セキュリティー面で重要なポイントなので、設定は必須ですよ。

この記事を読むことで、

  • wafとは何か?
  • エックスサーバーでwaf設定のやり方

を知ることができます。

WAFの設定は、この記事を読むことで確実にわかるので大丈夫です。

WAFを設定していると、設定していないとではセキュリティー面で天と地。必ず設定しておきましょうね。

この記事を書いているぼくは、

こんな人です。

こんなひとです。

重要!エックスサーバーを使用したWAF設定のやり方を解説していきます。
目次

wafとは?

wafとは?

waf(ワフ)とは、Web Application Firewall (ウェブアプリケーションファイアウォール)の略。

ウェブアプリケーションの保護に特化したセキュリティ製品のことなんですね。

ウェブサイトを狙った攻撃から、サイトを守ってくれる存在がwafというわけ。ブログを安心して運営していくうえでセキュリティー対策は欠かせません。

というわけで、waf(ワフ)は、重要なわけなんですね。

最近では、ウェブサイトを狙った攻撃で事故や事件が多発しているようで、なかでも代表的なのがウェブアプリケーションの脆弱性を悪用した攻撃。セキュリティ対策は、非常に重要となるわけですね。

エックスサーバー|waf(ワフ)の仕組み

ハッカーからの攻撃がないか検査・解析などして、存在した場合は遮断するわけですね。この一連の動作をするのがWAF(ワフ)の仕組みです。

WAF(ワフ)の基本防御は、シグネチャ。シグネチャは、検出ルールに基づいて各種データを検査しつつ攻撃を検出します。

シグネチャには2種類あり

  1. ホワイトリスト
     通信内容がルールに基づいていなかった場合に防御
  2. ブラックリスト
     通信内容がルールに一致した場合に防御

上記のとおり。

waf導入で攻撃を防ぐ|エックスサーバー6つの項目から見る

WAF導入で攻撃を防ぐ|エックスサーバー6つの項目から見る
 
asuhare
wafを導入することでセキュリティ対策ができます、ここでもう少し深堀していくね。
必要のない方は、次に進んでいってください。
 

エックスサーバーwaf設定|XSS対策 (クロスサイトスクリプティング)項目①

javascriptなどのスクリプトタグが埋め込まれたアクセスについて検知するのが『XSS対策』です。

【不正アクセス例】

  • クッキーの不正取得、セッションハイジャック
  • フィッシングサイトなどへ誘導など

【ターゲット】

  • 掲示板やブログシステム
  • アプリケーション全般

エックスサーバーwaf設定|SQL対策 (SQLインジェクション)項目②

SQL構文に該当する文字列が挿入されたアクセスについて検知するのが『SQL対策』です。

【不正アクセス例】

  • データベース情報の漏洩や書き換えなど

【ターゲット】

  • データベースを利用した会員サイトやアプリケーション全般

エックスサーバーwaf設定|ファイル対策(ファイル不正アクセス)項目③

.htpasswd .htaccess httpd.conf等、サーバーに関連する設定ファイルが含まれたアクセスを検知するのが『ファイル対策』です。

【不正アクセス例】

  • ファイルに不正アクセスや乗っ取りなど

【ターゲット】

  • 画像アップロード機能付き掲示板
  • ファイル操作がおこなえるアプリケーション全般

エックスサーバーwaf設定|メール対策 (メールの不正送信)項目④

to、cc、bcc等のメールヘッダーに関係する文字列を含んだアクセスを検知するのが『メール対策』です。

【不正アクセス例】

  • 大量メール送信など

【ターゲット】

  • メールを送信する機能を備えたアプリケーション

エックスサーバーwaf設定|コマンド対策 (コマンドアクセス/実行)項目⑤

kill、ftp、mail、ping、ls 等コマンドに関連する文字列が含まれたアクセスを検知するのが『コマンド対策』です。

【不正アクセス例】

  • サーバーの重要な情報の盗み
  • コマンドを不正実行など

【ターゲット】

  • PHPやPerl等で作成されコマンド実行を利用するアプリケーション

エックスサーバーwaf設定|PHP対策(PHP関数の脆弱性)項目⑥

session、ファイル操作に関連する関数のほか脆弱性元になる可能性の高い関数の含まれたアクセスを検知するのが『PHP対策』です。

【不正アクセス例】

  • セッションの書き換えや会員ページへのアクセスや乗っ取り
  • サーバー乗っ取り

【ターゲット】

  • PHPを用いたアプリケーション全般

上記のとおり。

  1. waf設定であっても100%安全を保障するものではありません。
  2. アプリケーション脆弱性に対する最低限の予防策
  3. 最新バージョンのアプリケーションの利用やセキュリティ対応が必要
  4. waf設定を設定したことによる不具合等

wafの設定は自己責任で行いしましょう。

※エックスサーバーwaf設定の変更後は、反映まで1時間程度かかる場合があります。

エックスサーバーwaf設定のやり方|5ステップ

エックスサーバーWAF設定のやり方5ステップ

それではwafの設定のやり方を解説していきます。画像を使いながら説明していきます。

では、はじめて行きましょう♪

エックスサーバーwaf設定|サーバーパネルにログイン①

エックスサーバーのサーバーパネルにログインすると、サーバーパネルが表示されます。

エックスサーバー|サーバーパネルにログイン①

エックスサーバーwaf設定|サーバーパネルでセキュリティー設定②

  1. セキュリティのところの『WAF設定』をクリック
サーバーパネルでセキュリティー設定②

エックスサーバーwaf設定|ドメイン選択画面で設定③

  1. WAF設定したい対象ドメインのところにある『選択する』をクリック
ドメイン選択画面で設定③

エックスサーバーwaf設定|waf設定画面でそれぞれ設定④

設定項目が全部で6つあります。

  1. 全部オフにチェックが入っているので『ONにチェック』をいれます
WAF設定画面でそれぞれ設定④
  1. 『確認画面へ進む』をクリック
WAF設定画面でそれぞれ設定④
  1. 変更前と変更後の設定を確認して、『設定する』をクリック
WAF設定画面でそれぞれ設定④

エックスサーバーwaf設定|WAF設定終了⑤

WAF設定画面でそれぞれ設定④

すると画面が切り替わり設定終了です。

wafとは?|エックスサーバーwaf設定のやり方も解説【まとめ】

wafとは?|エックスサーバーwaf設定のやり方も解説【まとめ】

今回は、waf(ワフ)とは何かを詳しくお伝えしました。

エックスサーバーでwaf6つの設定することによって、サイバー攻撃などを防いでくれますし、今後のブログ運営を安心して行うことが出来ます。

セキュリティー面で重要なポイントなので、設定は必須ですよ。

おわりに重要ポイントをまとめておきますね。

  • XSS対策 (クロスサイトスクリプティング)
  • SQL対策 (SQLインジェクション)
  • ファイル対策(ファイル不正アクセス)
  • メール対策 (メールの不正送信)
  • コマンド対策 (コマンドアクセス/実行)
  • PHP対策(PHP関数の脆弱性)

上記6つの設定が必須ですよ。

 
asuhare
ブログやサイトを運営していくのには、やっぱり最低限のセキュリティ対策は必要でよ。エックスサーバーの場合は、無料でwaf機能が使えるのでコスパよくて安心できますね^^
waf知りたい人
ふむふむ。超絶勉強になった!ありがとね。セキュリティ対策はとっても重要なんだね。

とはいえ、

基本的な最低限の機能なので、100%安全とまではいきません。

waf機能と他のセキュリティ対策とを合せながらブログを運営を行いましょう。

ではではまた。asuhareでした。