Citrix ADC

クラスター構成のWeb App Firewall サポート

注:

ストライプ構成と部分的にストライプ構成のためのCitrix Web App Firewall は、Citrix ADC 11.0バージョンで導入されました。

クラスターは、単一のシステムとして構成および管理されるCitrix ADCアプライアンスのグループです。クラスタ内の各アプライアンスをノードと呼びます。構成がアクティブになっているノードの数に応じて、クラスター構成は、ストライプ構成、部分ストライプ構成、またはスポット構成と呼ばれます。Web App Firewall は、すべての構成で完全にサポートされています。

クラスタ構成におけるストライピング仮想サーバと部分的にストライピングされた仮想サーバのサポートの主なメリットは、次のとおりです。

  1. セッションフェールオーバーのサポート:ストライピングされた仮想サーバ構成および部分的にストライプされた仮想サーバ構成では、セッションフェールオーバーがサポートされます。Web App Firewall の高度なセキュリティ機能 (開始 URL の閉鎖、フォームフィールドの一貫性のチェック、維持、トランザクション処理中のセッションの使用など)。高可用性構成またはスポットされたクラスター構成では、Web App Firewall トラフィックを処理しているノードに障害が発生すると、すべてのセッション情報が失われ、ユーザーはセッションを再確立する必要があります。ストライプ仮想サーバ構成では、ユーザー・セッションは複数のノードにまたがってレプリケートされます。ノードがダウンすると、レプリカを実行しているノードが所有者になります。セッション情報は、ユーザーに目に見える影響を与えることなく維持されます。
  2. スケーラビリティ:クラスタ内のすべてのノードがトラフィックを処理できます。クラスタの複数のノードが、ストライピングされた仮想サーバによって処理される着信要求を処理できます。これにより、Web App Firewall の複数の同時要求を処理する能力が向上し、全体的なパフォーマンスが向上します。

セキュリティチェックと署名保護は、追加のクラスター固有の Web App Firewall 構成を必要とせずに展開できます。構成コーディネータ (CCO) ノードで通常の Web App Firewall 構成を行い、すべてのノードに伝播できます。

注:

セッション情報は複数のノードにわたってレプリケートされますが、ストライプ構成のすべてのノードにわたってレプリケートされるわけではありません。したがって、フェールオーバーサポートでは、同時に発生する障害の数に制限があります。複数のノードで同時に障害が発生した場合、セッションが別のノードに複製される前に障害が発生すると、Web App Firewall でセッション情報が失われる可能性があります。

ハイライト

  • Web App Firewall は、クラスターデプロイメントにおけるスケーラビリティ、高スループット、およびセッションフェイルオーバーのサポートを提供します。
  • すべての Web App Firewall セキュリティチェックとシグニチャ保護は、すべてのクラスター構成でサポートされています。
  • キャラクタマップは、クラスタではまだサポートされていません。学習エンジンは、フィールド形式のセキュリティチェックの学習ルールでフィールドタイプを推奨しています。
  • 統計と学習されたルールは、クラスタ内のすべてのノードから集約されます。
  • 分散ハッシュテーブル (DHT) は、セッションのキャッシュを提供し、複数のノード間でセッション情報をレプリケートする機能を提供します。仮想サーバーに要求が送信されると、Citrix ADCアプライアンスはDHTにWeb App Firewall セッションを作成し、DHTからセッション情報を取得することもできます。
  • クラスタリングは、高度なライセンスとプレミアムライセンスでライセンスされます。この機能は、Standard ライセンスでは使用できません。

クラスター構成のWeb App Firewall サポート