Citrix ADC

Web App Firewall ポリシー

ファイアウォールポリシーは、プロファイルに関連付けられた規則です。ルールは、Web App Firewall がプロファイルを適用してフィルタリングする要求/応答ペアのタイプを定義する式または式のグループです。ファイアウォールポリシー式は、Citrix ADC式言語で記述されます。この言語は、特定のCitrix ADC機能をサポートするための特別な機能を備えたオブジェクト指向プログラミング言語です。プロファイルは、ルールに一致する要求/応答のペアをフィルタリングするために、Web App Firewall が使用する一連のアクションです。

ファイアウォールポリシーを使用すると、さまざまな種類の Web コンテンツに異なるフィルタリングルールを割り当てることができます。すべてのWebコンテンツが似ているわけではありません。複雑なスクリプトを使用せず、プライベートデータにアクセスして処理しないシンプルな Web サイトでは、基本的なデフォルトで作成されたプロファイルによって提供される保護レベルのみが必要になる場合があります。JavaScript で拡張された Web フォームを含む Web コンテンツや SQL データベースにアクセスする Web コンテンツには、おそらくよりカスタマイズされた保護が必要です。別のプロファイルを作成してそのコンテンツをフィルタリングし、そのコンテンツにアクセスしようとしている要求を決定する別のファイアウォールポリシーを作成できます。次に、作成したプロファイルにポリシー式を関連付け、ポリシーをグローバルにバインドして有効にします。

Web App Firewall はHTTP接続のみを処理するため、Citrix ADC表現言語全体のサブセットを使用します。ここでの情報は、Web App Firewall 構成時に役立つ可能性のあるトピックと例に限定されています。ファイアウォールポリシーの追加情報と手順へのリンクを次に示します。

Web App Firewall は、設定された優先順位と goto式に基づいてポリシーを評価します。ポリシー評価の最後に、true と評価される最後のポリシーが使用され、対応するプロファイルのセキュリティ設定が要求を処理するために呼び出されます。

たとえば、ポリシーが 2 つあるシナリオを考えてみましょう。

  • ポリシー_1 は、式が ns_true の汎用ポリシーであり、基本プロファイルである対応するプロファイル_1 を持ちます。プライオリティは 100 に設定されます。
  • ポリシー_2 は、式=HTTP.REQ.URL.CONTAINS(「XYZ」)でより具体的に指定され、対応するプロファイル_2(事前プロファイルです)があります。移動式は NEXT に設定され、優先度は 95 に設定されます。これは Policy_1 と比較して高い優先度です。

このシナリオでは、処理された要求の URL でターゲット文字列「XYZ」が検出された場合、Policy_1 も一致しているにもかかわらず、高い優先順位を持つように Policy_2 の一致がトリガーされます。ただし、Policy_2 の GoTo 式設定に従って、ポリシー評価は続行され、次のポリシー Policy_1 も処理されます。ポリシー評価の最後に、Policy_1 が true と評価され、Profile_1 で設定された基本的なセキュリティー検査が呼び出されます。

Policy_2 が変更され、GoTo 式が NEXT から END に変更された場合、ターゲット文字列「XYZ」を持つ処理された要求は、優先順位を考慮して Policy_2 の一致をトリガーし、GoTo 式の設定に従って、ポリシー評価は終了します。この時点で。Policy_2 は true と評価され、Profile_2 で設定された高度なセキュリティー検査が呼び出されます。

NEXT END

ポリシー評価は1回のパスで完了します。リクエストに対するポリシー評価が完了し、対応するプロファイルアクションが呼び出されると、リクエストはポリシー評価の別のラウンドを通過しません。

Web App Firewall ポリシー