Citrix ADC

手動設定コマンドラインインターフェイスを使用する

注:

Web App Firewall 機能を手動で構成する必要がある場合は、Citrix ADC GUI手順を使用することをお勧めします。

Web App Firewall 機能は、 Citrix ADC コマンドインターフェイスから構成できます。ただし、重要な例外があります。コマンドインターフェイスからシグニチャを有効にすることはできません。7 つのカテゴリに約 1,000 個のデフォルトシグニチャがあり、このタスクはコマンドインターフェイスには複雑すぎます。コマンドラインから機能を有効または無効にしたり、パラメータを設定することはできますが、手動リラックスは設定できません。適応型学習機能を設定し、コマンドラインから学習を有効にすることはできますが、学習済み緩和または学習済みルールを確認して承認またはスキップすることはできません。コマンドラインインターフェイスは、Citrix ADCアプライアンスおよびWeb App Firewall 使い慣れた上級ユーザーを対象としています。

Citrix ADCコマンドラインを使用してWeb App Firewall を手動で構成するには、任意のtelnetまたはセキュア・シェル・クライアントを使用してCitrix ADCコマンドラインにログオンします。

コマンドラインインターフェイスを使用してプロファイルを作成するには

コマンドプロンプトで、次のコマンドを入力します。

  • add appfw profile <name> [-defaults ( basic | advanced )]
  • set appfw profile <name> -type ( HTML | XML | HTML XML )
  • save ns config

次の例では、基本デフォルトを使用して pr-basic という名前のプロファイルを追加し、HTML のプロファイルタイプを割り当てます。これは、HTML Web サイトを保護するためのプロファイルの適切な初期設定です。

add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config

コマンドラインインターフェイスを使用してプロファイルを構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw profile <name> <arg1> [<arg2> ...]<arg1>はパラメーターを表し、<arg2>は別のパラメーターか<arg1>のパラメーターに割り当てられる値を表します。特定のセキュリティチェックを設定するときに使用するパラメータの説明については、高度な保護およびそのサブトピックを参照してください。その他のパラメータについては、「縦断を作成するためのパラメータ」を参照してください。
  • save ns config

次の例は、基本デフォルトで作成された HTML プロファイルを設定して、単純な HTML ベースの Web サイトの保護を開始する方法を示しています。この例では、ほとんどのセキュリティチェックで統計情報のロギングとメンテナンスを有効にします。ただし、フォールスポジティブ率が低く、特別な設定を必要としないチェックに対してのみ、ブロッキングを有効にします。また、安全でないHTMLや安全でないSQLの変換もオンになります。これにより、攻撃は防止されますが、Webサイトへのリクエストはブロックされません。ロギングと統計を有効にすると、後でログを確認して、特定のセキュリティチェックでブロックを有効にするかどうかを判断できます。

set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config

ポリシーを作成および構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • add appfw policy <name> <rule> <profile>
  • save ns config

次の例では、pl-blog という名前のポリシーを追加し、ホスト blog.example.com との間で送受信されるすべてのトラフィックを代行受信し、そのポリシーをプロファイル pr-blog に関連付けます。

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog

Web App Firewall ポリシーをバインドするには

コマンドプロンプトで、次のコマンドを入力します。

  • bind appfw global <policyName> <priority>
  • save ns config

次の例では、pl-blog という名前のポリシーをバインドし、プライオリティ 10 を割り当てます。

bind appfw global pl-blog 10
save ns config

PE ごとのセッション制限を設定するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw settings <session limit>

次に、PE ごとのセッション制限を設定する例を示します。

> set appfw settings -sessionLimit 500000`

Done

Default value:100000   Max value:500000 per PE