ADC

エンジン設定

エンジン設定は、NetScaler Web App Firewallが処理するすべての要求と応答に影響します。設定は次のとおりです:

  • Cookie 名— NetScalerセッションIDを保存するクッキーの名前。
  • セッションタイムアウト:許可される非アクティブ期間の最大値。この時間にわたってユーザーセッションにアクティビティが表示されない場合、そのセッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。
  • Cookie の暗号化後のプレフィックス— 暗号化された Cookie の暗号化された部分の前に置く文字列。
  • 最大セッション有効期間:セッションをライブ状態に保つことができる最大時間(秒単位)。この期間に達すると、セッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。この設定はセッションタイムアウトより小さくすることはできません。この設定を無効にして、セッションの有効期間が最大にならないようにするには、値をゼロ (0) に設定します。
  • ロギングヘッダー名— ロギング用のクライアント IP を保持する HTTP ヘッダーの名前。
  • 未定義プロファイル:対応するポリシーアクションが未定義と評価されたときに適用されるプロファイル。
  • デフォルトプロファイル:ポリシーに一致しない接続に適用されるプロファイル。
  • インポートサイズ制限:署名、WSDL、スキーマ、HTML、XML エラーページを含む、アプライアンスにインポートされるすべてのファイルの最大バイト数。インポート中に、インポートされたオブジェクトのサイズが原因で、インポートされたすべてのファイルの累積数が設定された制限を超えると、インポート操作は失敗します。また、アプライアンスには次のエラーメッセージが表示されます。「エラー:インポートに失敗しました-インポートされたオブジェクトに設定された合計サイズ制限を超えています」。
  • 学習メッセージレート制限— 学習エンジンが処理する 1 秒あたりの要求と応答の最大数。この制限を超える追加のリクエストやレスポンスは、ラーニングエンジンに送信されません。
  • プロキシサーバー -プロキシサーバーは、ユーザーに代わってインターネットからデータを取得する中間サーバーです。アプライアンスのセキュリティをさらに強化します。プロキシ認証が有効になっているNetScalerアプライアンスは、インターネットからアップデートをダウンロードする前に、プロキシサーバーで認証を行います。これにより、アプライアンスを悪意のあるダウンロードから保護します。次のパラメータを設定します。
    • プロキシサーバー — 最新の AWS シグネチャのダウンロード元となるプロキシサーバーの IP アドレス。
    • プロキシポート -最新の AWS シグネチャのダウンロード元となるプロキシサーバーのポート番号。
    • プロキシユーザー名 -最新の AWS シグネチャのダウンロード元となるプロキシサーバーのポート番号。
    • プロキシパスワード -シグネチャアップデートをダウンロードするためにプロキシサーバを認証するためのパスワード。
  • エンティティのデコード— Web App Firewall のチェックを実行する際に HTML エンティティをデコードします。
  • 不正な形式のリクエストをログに記録する — 無効な形式の HTTP リクエストのロギングを有効にします
  • 設定可能な秘密鍵を使用— Web App Firewall の操作には、設定可能な秘密鍵を使用します。この秘密鍵は、データの署名と検証に使用されます。「UseConfigurableSecretKey」がオンになっている場合は、「set ns EncryptionParams」パラメーターで有効になっているキーを使用する必要があります。
  • 学習データをリセット— 学習したすべてのデータを Web App Firewall から削除します。新しいデータを収集して学習プロセスを再開します。

学習済みデータのリセット 」と「 署名の自動更新」の2つの設定は、コマンドインターフェイスを使用するか、NetScaler GUIを使用してNetScaler Web App Firewallを構成するかによって、場所が異なります。コマンドインターフェイスを使用する場合は、reset appfw learning data コマンドを使用して学習データのリセットを設定します。これはパラメーターを必要とせず、他の機能もありません。シグニチャ自動更新は set appfw settings コマンドで設定できます。-signatureAutoUpdate パラメータは署名の自動更新を有効または無効にし、-signatureURL は更新された署名ファイルをホストする URL を設定します。

NetScaler GUIを使用する場合は、 [セキュリティ] > [NetScaler Web App Firewall] > [エンジン設定] で [学習済みデータのリセット] を構成します。[ 学習データをリセット ] オプションはダイアログボックスの下部にあります。[ **セキュリティ ] > [ NetScaler Web App Firewall ] > [署名] で署名セットごとに署名の自動更新を構成するには、 署名ファイルを選択してマウスの右ボタンをクリックし、[自動更新設定] を選択します。**

通常、 Web App Firewall 設定のデフォルト値は正しいです。ただし、デフォルト設定が他のサーバーと競合したり、ユーザーの接続が途中で切断されたりする場合は、設定を変更する必要があります。

Web App Firewall のセッション制限は、次のコマンドを使用して設定できます。

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

コマンドラインインターフェイスを使用してエンジン設定を行うには

コマンドプロンプトで、次のコマンドを入力します:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>] [–proxyServer <proxy server ip>] [-proxyPort <proxy server port>] [-proxyUsername <username>] [-proxyPassword <password>]
  • save ns config

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096 -proxyServer 10.102.30.112 -proxyPort 3128 -proxyUsername defaultusername -proxyPassword defaultpassword
save ns config
<!--NeedCopy-->

NetScaler GUIを使用してエンジン設定を構成するには

  1. [ セキュリティ ] > [ NetScaler WebApp Firewall] に移動します
  2. 詳細ペインの [設定][ エンジン設定の変更 ] をクリックします。
  3. Web App Firewall エンジン設定ダイアログボックスで 、次のパラメータを設定します。
    • クッキー名
    • セッションタイムアウト
    • クッキーポスト暗号化プレフィックス
    • 最大セッション有効期間
    • ロギングヘッダー名
    • 未定義のプロファイル
    • デフォルトプロファイル
    • インポートサイズ制限
    • ラーニング・メッセージ・レート制限
    • プロキシサーバー
    • プロキシポート
    • プロキシユーザー名
    • プロキシパスワード
    • エンティティデコード
    • 不正な形式のリクエストをログに記録
    • シークレットキーを使う
    • Learn メッセージレート制限
    • シグネチャ自動更新
  4. [OK] をクリックします。

    WAF エンジン設定

エンジン設定