Citrix ADC

エンジン設定

エンジンの設定は、Citrix Web App Firewallが処理するすべての要求と応答に影響します。設定は次のとおりです。

  • クッキー名:Citrix ADCセッションIDを格納するクッキーの名前。
  • セッションタイムアウト:許容される最大非アクティブ期間。この時間の間、ユーザー・セッションにアクティビティが表示されない場合、セッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。
  • cookie 暗号化後のプレフィクス:暗号化された cookie の暗号化部分の前にあるストリング。
  • [Maximum session lifetime]:セッションがライブ状態を維持できる最大時間(秒単位)。この期間に達すると、セッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。この設定は、セッションのタイムアウトより小さくすることはできません。セッションの最大有効期間がないようにこの設定を無効にするには、値をゼロ (0) に設定します。
  • ロギングヘッダー名:クライアント IP を保持する HTTP ヘッダーの名前(ロギング用)。
  • [Undefined profile]:対応するポリシーアクションが undefined として評価されたときに適用されるプロファイル。
  • デフォルトプロファイル:ポリシーに一致しない接続に適用されるプロファイル。
  • Import size limit:シグネチャ、WSDL、スキーマ、HTML、XML エラーページなど、アプライアンスにインポートされたすべてのファイルの最大バイト数。インポート中に、インポートされたオブジェクトのサイズによって、インポートされたすべてのファイルの累積数が構成された制限を超えると、インポート操作は失敗します。アプライアンスは、次のエラーメッセージを表示します。「エラー:インポートに失敗しました-インポートされたオブジェクトに設定された合計サイズ制限を超えています」。
  • 学習メッセージレート制限:ラーニングエンジンが処理する 1 秒あたりの要求および応答の最大数。この制限を超える追加の要求または応答は、学習エンジンに送信されません。
  • エンティティのデコーディング:Web App Firewall チェックの実行時に HTML エンティティをデコードします。
  • 不正な形式の要求のログ:不正な形式の HTTP 要求のロギングを有効にします。
  • 設定可能な秘密キーの使用:Web App Firewall 操作には、設定可能な秘密キーを使用します。この秘密鍵は、データの署名と検証に使用されます。「UseConfigurableSecretKey」がオンになっている場合は、”set ns EncryptionParams」パラメータで有効になっているキーを使用する必要があります。
  • 学習したデータをリセット:学習したデータをすべて Web App Firewall から削除します。新しいデータを収集して学習プロセスを再開します。

学習したデータのリセット ]と[ 署名の自動更新]の2つの設定は、コマンドインターフェイスとCitrix ADC GUIのどちらを使用してCitrix Web App Firewall を構成するかによって異なります。コマンドインターフェイスを使用する場合は、reset appfw learning data コマンドを使用して、学習済みデータのリセットを設定します。これはパラメータを取らず、他の機能を持ちません。シグニチャの自動更新は、set appfw settings コマンドで設定できます。-SignatureAutoUpdate パラメータは、シグニチャの自動更新を有効または無効にします。-signatureURL は、更新されたシグニチャファイルをホストする URL を設定します。

Citrix ADC GUIを使用する場合は、[セキュリティ]>[Citrix Web App Firewall]>[エンジン設定]で学習データをリセットします。[学習済みデータをリセット] オプションは、ダイアログボックスの下部にあります。署名の自動更新を設定するには、[セキュリティ]>[Citrix Web App Firewall]>[署名]で署名ファイルを選択し、マウスの右ボタンをクリックして[自動更新設定]を選択します。

通常、 Web App Firewall 設定のデフォルト値は正しいです。ただし、既定の設定によって他のサーバーとの競合が発生したり、ユーザーの接続が早すぎる場合は、変更する必要があります。

Web App Firewall セッション制限は、次のコマンドを使用して設定できます。

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

コマンドラインインターフェイスを使用してエンジン設定を構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

Citrix ADC GUIを使用してエンジン設定を構成するには

  1. セキュリティ]> [Citrix Web App Firewall]に移動します。
  2. 詳細ウィンドウで、[設定] の [エンジン設定の変更] をクリックします。
  3. [Web App Firewall エンジンの設定] ダイアログボックスで、次のパラメータを設定します。
    • クッキー名
    • セッションのタイムアウト
    • クッキーポスト暗号化プレフィックス
    • 最大セッション寿命
    • ロギングヘッダー名
    • 未定義のプロファイル
    • デフォルトプロファイル
    • 読み込みサイズ制限
    • ラーニングメッセージのレート制限
    • エンティティのデコード
    • 不正な形式の要求をログに記録する
    • シークレットキーを使用
    • ラーニングメッセージレート制限
    • シグニチャの自動更新
  4. [OK] をクリックします。

    WAF エンジンの設定

エンジン設定