ADC

エンジン設定

エンジン設定は、Citrix Web App Firewallが処理するすべての要求と応答に影響します。設定は次のとおりです:

  • Cookie 名— Citrix ADC セッション ID を格納するクッキーの名前。
  • セッションタイムアウト:許可される非アクティブ期間の最大値。この時間にわたってユーザーセッションにアクティビティが表示されない場合、そのセッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。
  • Cookie の暗号化後のプレフィックス— 暗号化された Cookie の暗号化された部分の前に置く文字列。
  • 最大セッション有効期間:セッションをライブ状態に保つことができる最大時間(秒単位)。この期間に達すると、セッションは終了し、ユーザーは指定された開始ページにアクセスしてセッションを再確立する必要があります。この設定はセッションタイムアウトより小さくすることはできません。この設定を無効にして、セッションの有効期間が最大にならないようにするには、値をゼロ (0) に設定します。
  • ロギングヘッダー名— ロギング用のクライアント IP を保持する HTTP ヘッダーの名前。
  • 未定義プロファイル:対応するポリシーアクションが未定義と評価されたときに適用されるプロファイル。
  • デフォルトプロファイル:ポリシーに一致しない接続に適用されるプロファイル。
  • インポートサイズ制限:署名、WSDL、スキーマ、HTML、XML エラーページを含む、アプライアンスにインポートされるすべてのファイルの最大バイト数。インポート中に、インポートされたオブジェクトのサイズが原因で、インポートされたすべてのファイルの累積数が設定された制限を超えると、インポート操作は失敗します。また、アプライアンスには次のエラーメッセージが表示されます。「エラー:インポートに失敗しました-インポートされたオブジェクトに設定された合計サイズ制限を超えています」。
  • 学習メッセージレート制限— 学習エンジンが処理する 1 秒あたりの要求と応答の最大数。この制限を超える追加のリクエストやレスポンスは、ラーニングエンジンに送信されません。
  • エンティティのデコード— Web App Firewall のチェックを実行する際に HTML エンティティをデコードします。
  • 不正な形式のリクエストをログに記録する — 無効な形式の HTTP リクエストのロギングを有効にします
  • 設定可能な秘密鍵を使用— Web App Firewall の操作には、設定可能な秘密鍵を使用します。この秘密鍵は、データの署名と検証に使用されます。「UseConfigurableSecretKey」がオンになっている場合は、「set ns EncryptionParams」パラメーターで有効になっているキーを使用する必要があります。
  • 学習データをリセット— 学習したすべてのデータを Web App Firewall から削除します。新しいデータを収集して学習プロセスを再開します。

コマンドインターフェイスを使用するか、Citrix ADC GUIを使用してCitrix Web App Firewallを構成するかによって、 学習データのリセットと署名の自動更新という2つの設定が異なる場所にあります。コマンドインターフェイスを使用する場合は、reset appfw learning data コマンドを使用して学習データのリセットを設定します。これはパラメーターを必要とせず、他の機能もありません。シグニチャ自動更新は set appfw settings コマンドで設定できます。-signatureAutoUpdate パラメータは署名の自動更新を有効または無効にし、-signatureURL は更新された署名ファイルをホストする URL を設定します。

Citrix ADC GUIを使用する場合は、[ セキュリティ ]>[Citrix Web App Firewall]>[エンジン設定]で[学習データのリセット]を構成します。[ 学習データをリセット ] オプションはダイアログボックスの下部にあります。「 セキュリティ 」>「 Citrix Web App Firewall 」>「署名」で、署名ファイルを選択してマウスの右ボタンをクリックし、「自動更新設定」を選択して、署名の各セットの署名自動更新を構成します。

通常、 Web App Firewall 設定のデフォルト値は正しいです。ただし、デフォルト設定が他のサーバーと競合したり、ユーザーの接続が途中で切断されたりする場合は、設定を変更する必要があります。

Web App Firewall のセッション制限は、次のコマンドを使用して設定できます。

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

コマンドラインインターフェイスを使用してエンジン設定を行うには

コマンドプロンプトで、次のコマンドを入力します:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config
<!--NeedCopy-->

Citrix ADC GUI を使用してエンジン設定を構成するには

  1. [ セキュリティ ] > [ Citrix Web App Firewall] に移動します
  2. 詳細ペインの [設定][ エンジン設定の変更 ] をクリックします。
  3. Web App Firewall エンジン設定ダイアログボックスで 、次のパラメータを設定します。
    • クッキー名
    • セッションタイムアウト
    • クッキーポスト暗号化プレフィックス
    • 最大セッション有効期間
    • ロギングヘッダー名
    • 未定義のプロファイル
    • デフォルトプロファイル
    • インポートサイズ制限
    • ラーニング・メッセージ・レート制限
    • エンティティデコード
    • 不正な形式のリクエストをログに記録
    • シークレットキーを使う
    • Learn メッセージレート制限
    • シグネチャ自動更新
  4. [OK] をクリックします。

    WAF エンジン設定

エンジン設定