ADC

よくある質問と導入ガイド

Q: アプリケーションのセキュリティ保護に Citrix Web App Firewall が推奨されるのはなぜですか?

次の機能を備えたCitrixWeb App Firewallは、包括的なセキュリティソリューションを提供します。

  • ハイブリッドセキュリティモデル: Citrix ADCハイブリッドセキュリティモデルを使用すると、ポジティブなセキュリティモデルとネガティブなセキュリティモデルの両方を活用して、アプリケーションに最適な構成を考え出すことができます。
    • ポジティブセキュリティモデル は、バッファオーバーフロー、CGI-BINパラメータ操作、 Form/Hidden フィールド操作、強制ブラウジング、Cookieまたはセッションポイズニング、ACLの破損、クロスサイトスクリプティング(クロスサイトスクリプティング)、コマンドインジェクション、SQLインジェクション、機密情報の漏洩のトリガーエラー、暗号化の安全でない使用、サーバーの設定ミス、バックドアおよびデバッグオプション、レートベースのポリシー施行、よく知られたプラットフォームの脆弱性、ゼロデイエクスプロイト、クロスサイトリクエスト偽造(CSRF)、およびクレジットカードやその他の機密データの漏洩。
    • ネガティブセキュリティモデル では、L7 および HTTP アプリケーションの脆弱性から保護するために、リッチセットシグニチャを使用します。Web App Firewall は、Cenzic、Qualys、ホワイトハット、IBM が提供するサードパーティ製のスキャンツールと統合されています。組み込みの XSLT ファイルを使用すると、ネイティブフォーマットの Snort ベースのルールと組み合わせて使用できるルールを簡単にインポートできます。自動更新機能は、新しい脆弱性の最新の更新プログラムを取得します。

ポジティブなセキュリティモデルは、どのデータにアクセスできるかを完全に制御できるオプションを提供するため、セキュリティに対する高いニーズを持つアプリケーションを保護するうえで望ましい選択です。あなたが望むものだけを許可し、残りの部分をブロックします。 このモデルには、数回クリックするだけで展開できるセキュリティチェック設定が組み込まれています。 ただし、セキュリティが厳しくなるほど、処理オーバーヘッドは大きくなることに注意してください。

ネガティブなセキュリティモデルは、カスタマイズされたアプリケーションに適しています。シグニチャを使用すると、複数の条件を組み合わせることができます。一致と指定されたアクションは、すべての条件が満たされた場合にのみトリガーされます。 あなたは望ましくないものだけをブロックし、残りを許可します。特定の場所で特定の高速一致パターンを使用すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。アプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションを使用すると、独自のカスタムセキュリティソリューションを柔軟に設計できます。

  • 要求と応答側の検出と保護: 受信要求を検査して不審な動作を検出し、適切なアクションを実行できます。また、応答を確認して、機密データの漏洩を検出して保護することができます。
  • HTML、XML、JSON ペイロード用の豊富な組み込み保護セット: Web App Firewall には 19 種類のセキュリティチェックが用意されています。そのうちの 6 つ(開始 URL や拒否 URL など)は、HTML データと XML データの両方に適用されます。5 つのチェック(フィールドの一貫性、フィールド形式など)は HTML に固有で、8 つのチェック(XML 形式や Web サービスの相互運用性など)は XML ペイロードに固有です。この機能には、豊富なアクションとオプションが含まれています。たとえば、URL クロージャを使用すると、Web サイト内のナビゲーションを制御および最適化し、正当なすべての URL を許可するように緩和ルールを設定しなくても、強制的なブラウジングから保護できます。応答に含まれるクレジットカード番号などの機密データを削除するか、除外するかを選択できます。SOAP Array攻撃保護、XMLサービス拒否(XDoS)、WSDL スキャン防止、添付ファイルのチェック、または任意の数のXML攻撃であっても、アプリケーションがWeb App Firewall によって保護されているときにデータを保護する防御シールドがあることを知っているという安心感があります。シグニチャを使用すると、XPATH-Expressions を使用して本文内の違反や JSON ペイロードのヘッダーを検出するルールを設定できます。
  • GWT: SQL、クロスサイトスクリプティング、およびフォームフィールドの整合性チェック違反から保護するためのGoogle WebToolkitアプリケーションの保護のサポート。
  • Javaフリーのユーザーフレンドリーなグラフィカル・ユーザー・インターフェイス(GUI): 直感的なGUIと事前構成されたセキュリティ・チェックにより、いくつかのボタンをクリックするだけで簡単にセキュリティを展開できます。ウィザードの指示に従って、プロファイル、ポリシー、シグニチャ、バインディングなどの必要な要素を作成します。HTML5ベースのGUIは、任意のJavaの依存関係の自由です。 パフォーマンスは、古いJavaベースのバージョンのパフォーマンスよりも大幅に優れています。
  • 使いやすく、自動化可能なCLI: GUIで利用可能な設定オプションのほとんどは、コマンドラインインターフェイス(CLI)でも利用可能です。CLI コマンドはバッチファイルで実行でき、自動化が容易です。
  • REST APIのサポート: Citrix ADC NITRO プロトコルは、Web App Firewall 構成を自動化し、セキュリティ違反を継続的に監視するための関連する統計を収集するREST APIの豊富なセットをサポートしています。
  • 学習: Web App Firewall は、トラフィックを監視してセキュリティを微調整することで学習できる機能は非常にユーザーフレンドリーです。学習エンジンはルールを推奨しています。これにより、正規表現に習熟しなくても緩和を簡単に展開できます。
  • RegExエディタのサポート: 正規表現は、ルールを統合して検索を最適化したいというジレンマに対するエレガントなソリューションを提供します。 正規表現のパワーを活用して、URL、フィールド名、シグニチャパターンなどを設定できます。豊富な組み込みの GUI RegEx エディタを使用すると、式のクイックリファレンスが提供され、RegEx の精度を検証してテストする便利な方法が提供されます。
  • カスタマイズされたエラーページ: ブロックされたリクエストは、エラーURLにリダイレクトすることができます。また、サポートされている変数とCitrix のデフォルトの構文(高度なPI式)を使用して、クライアントのトラブルシューティング情報を埋め込むカスタマイズされたエラーオブジェクトを表示するオプションもあります。
  • PCI-DSS、統計情報、およびその他の違反レポート: 豊富なレポートにより、PCI-DSS コンプライアンス要件への対応、トラフィックカウンタに関する統計情報の収集、およびすべてのプロファイルまたは 1 つのプロファイルの違反レポートの表示が容易になります。
  • ログからのログとクリック・トゥ・ルール:詳細なログ は、ネイティブおよび CEF 形式でもサポートされています。Web App Firewall では、syslog ビューアで対象のログメッセージをフィルタリングできます。ボタンをクリックするだけで、ログメッセージを選択し、対応する緩和ルールを展開できます。ログメッセージを柔軟にカスタマイズできるほか、Web ログの生成もサポートできます。詳細については、「 Web App Firewall ログ」トピックを参照してください。

  • 違反ログをトレースレコードに含める: トレースレコードにログメッセージを含める機能により、リセットやブロックなどの予期しない動作を簡単にデバッグできます。
  • クローン作成: 便利なインポート/エクスポートプロファイルオプションを使用すると、Citrix ADCアプライアンス間でセキュリティ設定をクローンできます。[学習したデータのエクスポート] オプションを使用すると、学習したルールを Excel ファイルに簡単にエクスポートできます。その後、適用する前に、アプリケーション所有者によってレビューおよび承認を受けることができます。
  • AppExpert テンプレート (構成設定のセット) は、Web サイトに対して適切な保護を提供するように設計できます。これらのクッキーカッターテンプレートをテンプレートにエクスポートすることで、同様の保護を他のアプライアンスに展開するプロセスを簡素化し、迅速化できます。

詳細については、 AppExpert テンプレートのトピックを参照してください

  • セッションレスセキュリティチェック: セッションレスセキュリティチェックを展開すると、メモリフットプリントを削減し、処理を迅速化するのに役立ちます。
  • 他のCitrix ADC機能との相互運用性: Web App Firewall は、書き換え、URL変換、統合キャッシュ、CVPN、レート制限などのCitrix ADCの他の機能とシームレスに動作します。
  • ポリシーでの PI 式のサポート: 高度な PI 式のパワーを活用して、アプリケーションのさまざまな部分に異なるレベルのセキュリティを実装するポリシーを設計できます。
  • IPv6 のサポート: Web App Firewall は IPv4 プロトコルと IPv6 プロトコルの両方をサポートします。
  • 地理位置情報ベースのセキュリティ保護: Citrix のデフォルトの構文(PI式)を使用して、ロケーションベースのポリシーを柔軟に設定できます。このポリシーは、組み込みのロケーションデータベースと組み合わせて使用して、ファイアウォールの保護をカスタマイズできます。悪意のある要求が発信された場所を特定し、特定の地理的な場所から発信された要求に対して、必要なレベルのセキュリティチェック検査を実施できます。
  • パフォーマンス: リクエスト側の ストリーミング により、パフォーマンスが大幅に向上します。フィールドが処理されるとすぐに、結果のデータがバックエンドに転送され、残りのフィールドの評価が続行されます。処理時間の改善は、大きなポストを処理する場合に特に重要です。
  • その他のセキュリティ機能: Web App Firewallには、データのセキュリティを確保するのに役立つその他のセキュリティ設定がいくつかあります。たとえば、 [機密フィールド] を使用すると、ログメッセージ内の機密情報の漏洩をブロックできます。[HTML コメントの削除]を使用すると、応答から HTML コメントを削除してからクライアントに転送できます。フィールドタイプは 、アプリケーションに提出されたフォームで許可される入力を指定するために使用することができます。

Q: Web App Firewall を設定するには何が必要ですか?

以下を実行します:

  • Web App Firewall プロファイルを追加し、アプリケーションのセキュリティ要件に適したタイプ(html、xml、web2.0)を選択します。
  • 必要なセキュリティレベル (基本または詳細) を選択します。
  • 署名や WSDL などの必要なファイルを追加またはインポートします。
  • ファイルを使用するようにプロファイルを設定し、その他の必要な変更をデフォルト設定に加えます。
  • このプロファイルの Web App Firewall ポリシーを追加します。
  • ポリシーをターゲットのバインドポイントにバインドし、優先順位を指定します。

Q: どのプロファイルタイプを選択すべきかを知るにはどうすればよいですか?

Web App Firewall プロファイルは、HTML ペイロードと XML ペイロードの両方を保護します。アプリケーションの必要性に応じて、HTML プロファイルまたは XML プロファイルを選択できます。アプリケーションが HTML データと XML データの両方をサポートしている場合は、Web2.0 プロファイルを選択できます。

Q: 基本プロファイルと詳細プロファイルの違いは何ですか? 必要なものをどのように決めるのですか?

基本プロファイルまたは事前プロファイルを使用するかどうかは、アプリケーションのセキュリティ上の必要性によって異なります。基本プロファイルには、開始URL緩和ルールと拒否URL緩和ルールの事前構成セットが含まれています。これらの緩和規則によって、許可される要求と拒否される要求が決まります。着信要求は事前設定されたルールと一致し、設定されたアクションが適用されます。ユーザーは、緩和規則の最小構成でアプリケーションを保護できます。開始 URL ルールは、強制的な閲覧から保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの [拒否 URL] ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなどの一般的に起動された攻撃も簡単に検出できます。

名前が示すように、高度な保護は、より高いセキュリティ要件を持つアプリケーション用です。リラクゼーションルールは、特定のデータのみへのアクセスを許可し、残りのデータをブロックするように構成されています。この肯定的なセキュリティモデルは、基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて、高度なプロファイルは、ブラウジングの制御、クッキーのチェック、さまざまなフォームフィールドの入力要件の指定、フォームの改ざんやCross-Site Request Forgery攻撃からの保護によってユーザーセッションを追跡します。トラフィックを監視し、適切な緩和を推奨するラーニングは、多くのセキュリティチェックでデフォルトで有効になっています。使いやすくなりますが、高度な保護では、セキュリティが厳しくなるだけでなく、処理能力も増えるため、十分に考慮する必要があります。一部の事前セキュリティチェックでは、キャッシュの使用が許可されていないため、パフォーマンスに影響する可能性があります。

基本プロファイルまたは詳細プロファイルのどちらを使用するかを決定するときは、次の点に注意してください。

  • 基本プロファイルおよび高度なプロファイルは、テンプレートを開始するだけです。基本プロファイルを変更して高度なセキュリティ機能を展開できます。その逆も同様です。
  • 高度なセキュリティー検査では、より多くの処理が必要となり、パフォーマンスに影響を与える可能性があります。アプリケーションに高度なセキュリティが必要でない限り、基本プロファイルから始めて、アプリケーションに必要なセキュリティを強化することができます。
  • アプリケーションで必要な場合を除き、すべてのセキュリティーチェックを有効にする必要はありません。

Q: ポリシーとは何ですか? バインドポイントを選択して優先度を設定するにはどうすればよいですか?

Web App Firewall ポリシーは、さまざまなレベルのセキュリティ実装を設定するために、トラフィックを論理グループに分類するのに役立ちます。ポリシーのバインドポイントを慎重に選択して、どのトラフィックがどのポリシーと一致するかを決定します。たとえば、すべての着信リクエストをチェックする場合 SQL/cross-site スクリプト攻撃では、一般的なポリシーを作成してグローバルにバインドできます。または、機密データを含むアプリケーションをホストする仮想サーバーのトラフィックに、より厳格なセキュリティチェックを適用する場合は、ポリシーをその仮想サーバーにバインドできます。

優先順位を慎重に割り当てると、トラフィック処理が強化されます。より具体的なポリシーには高いプライオリティを、一般的なポリシーには低いプライオリティを割り当てたい場合。数値が大きいほど、プライオリティは低くなります。プライオリティが 10 のポリシーは、プライオリティが 15 のポリシーよりも先に評価されます。

異なる種類のコンテンツに対して異なるレベルのセキュリティを適用できます。たとえば、画像やテキストなどの静的オブジェクトの要求は、1つのポリシーを使用してバイパスでき、他の機密コンテンツに対する要求は、2番目のポリシーを使用して厳密なチェックを受けることができます。

Q: アプリケーションを保護するためのルールの設定はどのようにすればよいですか?

Web App Firewall は、あなたのウェブサイトのためのセキュリティの適切なレベルを設計することが非常に容易になります。複数の Web App Firewall ポリシーをさまざまな Web App Firewall プロファイルにバインドして、アプリケーションにさまざまなレベルのセキュリティチェック検査を実装できます。最初にログを監視して、どのセキュリティ脅威が検出され、どの違反がトリガーされているかを確認できます。緩和ルールを手動で追加するか、Web App Firewall で推奨される学習済みルールを利用して、必要な緩和をデプロイして、誤検出を回避できます。

Citrix Web App Firewall は、GUIで ビジュアライザ をサポートしているため、ルール管理が非常に簡単です。1 つの画面ですべてのデータを簡単に表示し、1 回のクリックで複数のルールに対してアクションを実行できます。ビジュアライザーの最大の利点は、複数のルールを統合するために正規表現を推奨することです。デリミタとアクション URL に基づいて、ルールのサブセットを選択できます。ビジュアライザのサポートは、1) 学習したルールと 2) 緩和ルールの表示に使用できます。

  1. 学習したルールのビジュアライザーには、ルールを編集して緩和として展開するオプションがあります。ルールをスキップ (無視) することもできます。

  2. デプロイされた緩和のビジュアライザーには、新しいルールを追加するか、既存のルールを編集するオプションがあります。ノードを選択し、緩和ビジュアライザの [有効] または [無効] ボタンをクリックして、ルールのグループを有効または 無効にすることもできます。

Q: 署名とは何ですか? どのシグニチャを使用するかを知るにはどうすればよいですか?

シグニチャは、複数のルールを持つことができるオブジェクトです。各ルールは、指定した一連のアクションに関連付けることができる 1 つ以上のパターンで構成されます。Web App Firewall には、1,300 を超えるシグニチャルールで構成される既定のシグニチャオブジェクトが組み込まれています。また、 自動更新 機能を使用して最新のルールを取得して新しい脆弱性から保護することもできます。他のスキャンツールで作成されたルールもインポートできます。

シグニチャは、悪意のある攻撃を検出するためにパターンマッチングを使用し、トランザクションの要求と応答の両方をチェックするように構成できるため、非常に強力です。これらは、カスタマイズ可能なセキュリティソリューションが必要な場合に推奨されるオプションです。シグニチャの一致が検出されると、複数のアクションの選択(ブロック、ログ、学習、変換など)を使用できます。 デフォルトのシグニチャは、web-cgi、web-coldfusion、web-frontpage、web-iis、web-php、web-client、web-activex、web-shell-shock、web-strutsなどのさまざまなタイプのアプリケーションを保護するためのルールをカバーしています。アプリケーションのニーズに合わせて、特定のカテゴリに属するルールを選択してデプロイできます。

署名の使用に関するヒント:

  • デフォルトのシグニチャオブジェクトのコピーを作成し、それを変更して、必要なルールを有効にし、必要なアクションを設定できます。
  • シグニチャオブジェクトは、他のシグニチャルールと連携して機能する新しいルールを追加することでカスタマイズできます。
  • 署名ルールは、Web App Firewall プロファイルに指定されたセキュリティチェックと連動するように設定することもできます。違反を示す一致がシグニチャとセキュリティチェックによって検出された場合、より制限の厳しいアクションが強制されます。
  • シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致したときにだけ違反にフラグを付けるように設定できるため、誤検出を回避できます。
  • ルールに対してリテラル高速一致パターンを慎重に選択すると、処理時間を大幅に最適化できます。

Q: Web App Firewall は、Citrix ADC の他の機能と連携しますか?

Web App Firewall は、Citrix ADCアプライアンスに完全に統合され、他の機能とシームレスに動作します。他のCitrix ADCセキュリティ機能をWeb App Firewall と組み合わせて使用することで、アプリケーションのセキュリティを最大限に高めることができます。たとえば、 AAA-TM を使用して、ユーザーの認証、コンテンツへのアクセス許可の確認、無効なログイン試行を含むアクセスの記録を行うことができます。書き換え を使用すると、URL を変更したり、ヘッダーを追加、変更、削除したりできます。また、 Responder を使用すると、カスタマイズされたコンテンツをさまざまなユーザーに配信できます。 あなたは、トラフィックを監視し、それが高すぎる場合はレートを調整するためにレート 制限 を使用して、あなたのウェブサイトの最大負荷を定義することができます。HTTP サービス拒否 (DoS) 保護は、実際の HTTP クライアントと悪意のある DoS クライアントを区別するのに役立ちます。 Web App Firewall ポリシーを仮想サーバーにバインドすることで、セキュリティチェック検査の範囲を絞り込むことができます。 負荷分散 機能を使用して頻繁に使用するアプリケーションを管理することで、ユーザーエクスペリエンスを最適化できます。画像やテキストなどの静的オブジェクトの要求は、セキュリティチェック検査をバイパスし、 統合されたキャッシュ または 圧縮 を利用して、そのようなコンテンツの帯域幅の使用を最適化できます。

Q: ペイロードは、Web App Firewall およびその他のCitrix ADC機能によってどのように処理されますか?

Citrix ADCアプライアンスのL7パケットフローの詳細を示す図は、[ 機能の処理順序 ]セクションにあります。

Q: Web App Firewall デプロイに推奨されるワークフローは何ですか?

Citrix Web App Firewall の最新のセキュリティ保護を使用する利点がわかったので、セキュリティニーズに最適なソリューションの設計に役立つ追加情報を収集できます。以下をお勧めします:

  • 環境を知る: 環境を知ることで、ニーズに最適なセキュリティ保護ソリューション (署名、セキュリティチェック、またはその両方) を特定できます。構成を開始する前に、次の情報を収集する必要があります。
    • OS: どのようなOSがありますか(MS Windows、Linux、BSD、Unixなど)?
    • Webサーバー: どのWebサーバー(IIS、ApacheまたはCitrix ADCエンタープライズサーバー)を実行していますか?
    • アプリケーション: アプリケーションサーバーで実行されているアプリケーションの種類 (たとえば、ASP.NET、PHP、コールドフュージョン、ActiveX、フロントページ、ストラット、CGI、アパッチTomcat、ドミノ、WebLogic)?
    • カスタマイズされたアプリケーションや既製のアプリケーション(Oracle、SAPなど)がありますか。どのバージョンを使用していますか?
    • SSL: SSLが必要ですか? その場合、証明書の署名にはどのキーサイズ (512、1024、2048、4096) が使用されますか。
    • トラフィック量: アプリケーションの平均トラフィックレートはいくらですか? トラフィックに季節的または時間特有の急増がありますか?
    • サーバーファーム: サーバーはいくつありますか? 負荷分散を使用する必要がありますか。
    • データベース: どのタイプのデータベース(MS-SQL、MySQL、Oracle、Postgres、SQLite、nosql、Sybase、Informixなど)を使用していますか?
    • DB接続: どのような種類のデータベース接続(DSN、ファイルごとの接続文字列、単一のファイル接続文字列)があり、どのドライバが使用されていますか?
  • セキュリティニーズの特定: 最大限のセキュリティ保護を必要とするアプリケーションまたは特定のデータ、脆弱性の低いアプリケーション、およびセキュリティ検査を安全にバイパスできるアプリケーションを評価できます。これにより、最適な構成を考え出すことや、トラフィックを分離するための適切なポリシーとバインドポイントの設計に役立ちます。たとえば、画像、MP3 ファイル、ムービーなどの静的 Web コンテンツに対する要求のセキュリティ検査をバイパスするポリシーを設定し、動的コンテンツに対する要求に高度なセキュリティチェックを適用するように別のポリシーを構成できます。複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。
  • ライセンス要件: Citrix は、負荷分散、コンテンツスイッチング、キャッシュ、圧縮、レスポンダー、書き換え、コンテンツフィルタリングなどの豊富な機能を利用して、アプリケーションのパフォーマンスを最適化する統合ソリューションを提供します。必要な機能を特定することで、必要なライセンスを決定できます。
  • Citrix ADCアプライアンスのインストールとベースライン: 仮想サーバーを作成し、それを介してテストトラフィックを実行して、システムを通過するトラフィックの速度と量を把握します。この情報は、容量要件を特定し、適切なアプライアンス(VPX、MPX、SDX)を選択するのに役立ちます。
  • Web App ファイアウォールの展開: Web App Firewall ウィザードを使用して、簡単なセキュリティ構成を続行します。ウィザードでは、いくつかの画面が表示され、プロファイル、ポリシー、署名、およびセキュリティチェックを追加するように求められます。
    • プロファイル: わかりやすい名前と、プロファイルに適したタイプ (HTML、XML、または WEB 2.0) を選択します。ポリシーとシグニチャは、同じ名前を使用して自動生成されます。
    • [Policy]: 自動生成されたポリシーには、デフォルトの [Expression](true)があります。これにより、すべてのトラフィックが選択され、グローバルにバインドされます。使用する特定のポリシーを念頭に置いておかない限り、これは良い出発点です。
    • 保護: このウィザードでは、ハイブリッドセキュリティモデルを利用できます。ハイブリッドセキュリティモデルでは、さまざまな種類のアプリケーションを保護するための豊富な規則を提供する既定の署名を使用できます。シンプルな 編集モードでは、さまざまなカテゴリ(CGI、Cold Fusion、PHPなど)を表示できます。1 つ以上のカテゴリを選択して、アプリケーションに適用できる特定の規則セットを識別できます。選択したカテゴリのすべてのシグニチャルールを有効にするには、[Action] オプションを使用します。セキュリティを強化する前にトラフィックを監視できるように、ブロッキングが無効になっていることを確認します。 [ 続行] をクリックします。[詳細保護の指定] ウィンドウで、必要に応じて変更を加えてセキュリティチェック保護を展開できます。ほとんどの場合、初期セキュリティ構成では基本的な保護で十分です。セキュリティ検査データの代表的なサンプルを収集するために、しばらくの間トラフィックを実行します。
    • セキュリティの強化: Web App Firewall をデプロイし、しばらくの間トラフィックを観察した後、緩和をデプロイしてからブロックを有効にすることで、アプリケーションのセキュリティを強化することができます。ラーニングビジュアライザー、および クリックしてデプロイルールは、設定を微調整して適切なレベルのリラクゼーションを考え出すことを非常に簡単にできる便利な機能です。この時点で、ポリシー表現を変更したり、追加のポリシーとプロファイルを設定して、さまざまな種類のコンテンツに対して必要なレベルのセキュリティを実装することもできます。
    • デバッグ: アプリケーションの予期しない動作が見られる場合、Web App Firewall には、簡単にデバッグできるさまざまなオプションが用意されています。
      • ログ。正当な要求がブロックされた場合、まず、ns.log ファイルをチェックして、予期しないセキュリティー検査違反がトリガーされているかどうかを確認します。
      • 機能を無効にします。違反は発生しませんが、アプリケーションがリセットまたは部分的な応答を送信するなど、予期しない動作がまだ発生する場合は、Web App Firewall 機能をデバッグ用に無効にできます。問題が解決しない場合は、Web App Firewall が疑わしいものとして除外されます。
      • ログメッセージでレコードをトレースします。問題が Web App Firewall に関連しているように見え、詳細な検査が必要な場合は、セキュリティ違反メッセージを nstrace に含めることができます。トレースで「Follow TCP stream」を使用すると、ヘッダー、ペイロード、対応するログメッセージなど、個々のトランザクションの詳細を同じ画面に表示できます。この機能の使用方法の詳細については、 付録を参照してください