お問い合わせ

資料ダウンロード

クラウドセキュリティ

F5 XC WAAPの特徴を紹介:Aレコード切り替え

F5 XC WAAPの特徴の1つである「Aレコードでの切り替え(適用)ができる」という点について説明します。

みなさん こんにちは

東京エレクトロンデバイスのあつふみです。
今回は、F5 XC WAAPの特徴である「AレコードでF5 XC WAAPの適用ができる」についてご紹介します。
一般的なクラウドWAFの適用方法やAレコードで適用ができるメリットにも触れながらご説明しますので、ぜひ参考にしていただければと思います。
なお、F5 XCについては、過去ブログでJo Nishikawaさんが紹介してますので、ぜひご参照ください。

一般的なクラウドWAFの適用方法

F5 XC WAAPの特徴を話す前に、一般的なクラウドWAFの適用方法についてご説明します。
クラウドWAFを提供しているメーカーはたくさんありますが、クラウドWAFを適用する方法としては、CNAMEレコードによる切り替えが一般的です。
まずは、クラウドWAF適用前後の通信フローを見ながら、一般的なクラウドWAFの適用方法について見ていきたいと思います。
次の図は、一般的な通信(クラウドWAF適用前)イメージです。

通信フローを説明すると、
 ①www.teldevice.co.jpというサイトの名前解決をします。
 ②名前解決の結果が返ってきて、接続先のサーバーのIPアドレスを特定します。
 ③クライアントはサーバーのIPアドレス宛にリクエストを投げます。
のようになります。
では、クラウドWAF適用後の通信はどうなるでしょうか。
次の図は、クラウドWAF適用後の通信イメージです。

 

通信フローを説明すると、
①www.teldevice.co.jpというサイトの名前解決をします。
②名前解決の結果が返ってきます。一般的な通信フローとの違いは、クラウドWAFのCNAMEが返ってくる点です。
最終的にはこのCNAMEの名前解決をし、クラウドWAFのIPアドレスを特定します。
③クライアントはクラウドWAFのIPアドレス宛にリクエストを投げます。
④クラウドWAFは受け取ったリクエストを、サーバーのIPアドレスに転送します。
のようになります。

このように、クラウドWAFは本来のAレコードをCNAMEレコードに切り替えることによって、適用することができます。
CNAME切り替えによる適用が一般的な理由の1つとしては、クラウドWAFのIPアドレスが変わってしまうためです。
クラウドサービスですので、メーカーの都合により定期的にクラウドWAFのIPアドレスが変わってしまうことがあるので、CNAMEレコードによる切り替えが一般的になっています。

F5 XC WAAP(クラウドWAF)Aレコード適用について

これまでご説明したとおり、クラウドWAFはCNAMEレコードの適用が一般的ですが、F5 XC WAAPはAレコードで適用できるという特徴を持っています。
Aレコードの適用は非常に簡単です。
次の図の②のように、Aレコードの値をF5 XC WAAP(クラウドWAF)のIPアドレスに書き換えるだけです。

F5 XC WAAPでは、メーカーから払い出される固定のグローバルIPアドレスをAレコードとして利用することができます。

固定ですので、IPアドレスが変わる心配もありません。

Aレコードで切り替えできる利点

F5 XC WAAPでは、メーカーから払い出される固定のグローバルIPアドレスをAレコードとして利用することができます。
固定ですので、IPアドレスが変わる心配もありません。

これは、RFC1912( 2.4 A CNAME record is not allowed to coexist with any other data.)に記載されています。
具体的に、どういうことかを2つ例を挙げてご説明します。

1. ZoneApexのような場合でもF5 XC WAAPを適用できる

まず、Zone Apexについて説明します。
Zone Apexとは、サブドメインを含まないドメインです。例えば、以下のようなドメインです。
example.com
ドメインの左側に、ホスト名がつかない状態のドメインのことを指します。ネイキッドドメインやルートドメインとも呼ばれます。
また、DNSドメインの設定では、最低でもNSレコードの指定が必要になります。
つまり、Zone APEXには次のようなNSレコードが必須ということになります。
example.com IN NS ns.example.com
このときにCNAMEレコードを登録しようとしても、同じレコード名「example.com」というレコードが既に存在しているため、CNMAEレコードを登録することができないのです。
そのため、このような場合でもF5XC WAAPならAレコードで適用できるということがメリットになります。

2. 同一レコード名がある場合でもF5 XC WAAPを適用できる

1.と同じような考え方ですが、以下のようなレコード構成になっている場合も、CNAMEレコードでの切り替えができません。

www.example.com      IN MX 10 mail.example.com
mail.example.com       IN A         192.0.2.2
www.example.com      IN A         xxx.xxx.xxx.xxx

上述は、www.example.comというレコードに対してMXレコードやAレコードが共存しています。
CNAMEレコードは、同じレコード名があると存在できませんので「www.example.jp CNAME  <CNAME名>」というレコードを登録することはできません。
また、www.example.comというレコード名でTXTレコードなど、他のレコードタイプが存在している場合もNGです。
F5 XC WAAPなら、このような場合でもAレコードで適用することができます。

まとめ

今回は、いくつかあるF5XC WAAPの特徴の中でも「Aレコード切り替え」について説明しました。
F5 XC WAAPは、他にも様々な特徴があるので、次回また紹介したいと思います。

Atsufumi Kumagai

この記事の投稿者Atsufumi Kumagai

TEDエンジニア

この記事をシェア

  • twitter
  • facebook

この記事に関連する製品・サービス

F5 | F5 Distributed Cloud Services(F5 XC)

F5 | F5 Distributed Cloud Services(F5 XC)WAAP

この記事に関連する記事

F5 Distributed Cloud Services ( F5 XC ) とは?

F5 XC API Security のご紹介

F5 XC API Security のご紹介~API Protectionとは?~

F5 XC WAAP の DDoS対策機能のご紹介

F5 XC WAAP の WAF 機能のご紹介

F5 XC WAAPの特徴を紹介:Aレコード切り替え

F5XCでクラウドのネットワークとセキュリティの課題を簡単に解決!
設定や操作イメージを具体的にご紹介

クラウドのネットワークとセキュリティの課題を解決するF5 XCの特徴について

F5とNuitanixのコンテナ基盤ソリューションについて

クラウド利用時のネットワークとセキュリティの課題について

コンテナ技術とTEDのコンテナ基盤ソリューションについて

お問い合わせ

資料ダウンロード