Citrix ADC

レスポンダーポリシーの既定のアクションの設定

Citrix ADCアプライアンスは、要求がレスポンダーポリシーと一致しない場合、未定義のイベント(UNDEFイベント)を生成します。その後、アプライアンスは、未定義のイベントに割り当てられたデフォルトのアクションを実行します。デフォルトでは、アクションは要求を次の機能(負荷分散、コンテンツフィルタリングなど)に転送します。この既定の動作により、要求が特定のレスポンダーアクションを Web サーバーに送信する必要がないことが保証されます。また、クライアントは、要求したコンテンツへのアクセスを受け取ります。

ただし、Citrix ADCアプライアンスが保護する1つ以上のWebサイトが、無効な要求や悪意のある要求を多数受け取る場合は、クライアント接続をリセットするか、要求を破棄するようにデフォルトのアクションを変更できます。このタイプの構成では、正当な要求と一致する 1 つ以上のレスポンダーポリシーを作成し、それらの要求を元の宛先にリダイレクトするだけです。その後、Citrix ADCアプライアンスは、設定したデフォルトのアクションで指定された他の要求をすべてブロックします。

未定義のイベントには、次のいずれかのアクションを割り当てることができます。

  • NOOP。NOOP アクションは、レスポンダ処理を中止しますが、パケットフローは変更しません。アプライアンスは、応答側のポリシーに一致しない要求を処理し続け、別の機能が介入して要求をブロックまたはリダイレクトしない限り、要求された URL に転送します。このアクションは、Web サーバーへの通常の要求に適しており、既定の設定です。
  • RESET。未定義のアクションがRESETに設定されている場合、アプライアンスはクライアント接続をリセットし、Webサーバーとのセッションを再確立する必要があることをクライアントに通知します。このアクションは、存在しない Web ページに対する繰り返し要求や、保護された Web サイトをハッキングまたはプローブしようとする接続に適しています。
  • DROP。未定義のアクションが DROP に設定されている場合、アプライアンスはクライアントに何らかの形で応答せずに要求をサイレントにドロップします。このアクションは、DDoS 攻撃またはサーバーに対するその他の持続的な攻撃の一部であると思われる要求に適しています。

注: UNDEF イベントは、クライアント要求に対してのみトリガされます。応答に対して UNDEF イベントはトリガーされません。

Citrix ADCコマンドラインを使用して未定義のアクションを設定するには:

コマンドプロンプトで次のコマンドを入力して、未定義のアクションを設定し、構成を確認します。

  • set responder param -undefAction (RESET|DROP|NOOP) [-timeout <msecs>]
  • show responder param

各項目の意味は次のとおりです。

timeout:すべてのポリシーと選択したアクションを中断することなく処理できる最大時間(ミリ秒)。タイムアウトに達すると、評価によって UNDEF が発生し、それ以上の処理は実行されません。

最小値:1

最大値:5000

例:

>set responder param -undefAction RESET -timeout 3900
 Done
> show responder param
Action Name: RESET
Timeout: 3900
 Done
>

GUI を使用して未定義のアクションを設定する

  1. [AppExpert] > [レスポンダー] に移動し、[設定] の [レスポンダーの設定の変更] リンクをクリックします。
  2. [** レスポンダーパラメータの設定**] ページで、次のパラメータを設定します。

    1. グローバル未定義の結果アクション。応答側のポリシーとアクションで未処理の処理処理例外では、未定義の結果アクションが優先されます。[いいえ]、[リセット]、または [ドロップ] を選択します。
    2. タイムアウト。すべてのポリシーと選択したアクションを中断することなく処理できる最大時間(ミリ秒)。タイムアウトに達すると、評価によって UNDEF が発生し、それ以上の処理は実行されません。
  3. [OK] をクリックします。

レスポンダポリシーに未定義のアクションを設定するための GUI プロシージャ」を参照してください。

レスポンダーポリシーの既定のアクションの設定