Citrix ADC

Web アプリケーションファイアウォールプロファイルの設定

アプライアンスで構成する必要があるプロファイル設定は次のとおりです。

コマンドプロンプトで、次のように入力します。

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

例:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

各項目の意味は次のとおりです。

無効なパーセント処理。パーセントエンコードされた名前と値を処理する方法を設定します。

使用可能な設定は次のように機能します。

asp_mode-ストリップと解析の無効なパーセント。例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) が取り除かれ、残りのコンテンツが検査され、SQLInjectionチェックのアクションが実行されます。 secure_mode-無効なパーセントコード値を検出し、それを無視します。例:curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz)-が検出され、カウンタが増分され、コンテンツがそのままサーバに渡されます。 apache_mode-このモードは、セキュアモードと同様に動作します。 設定可能な値:apache_mode, asp_mode, secure_mode デフォルト値:secure_mode

optimizePartialReqs。オフ/オン(セーフオブジェクトなし)の場合、Citrix ADCアプライアンスは部分的な要求をバックエンドサーバーに送信します。この部分的な応答は、クライアントに送り返されます。OptimizePartialReqs は、セーフオブジェクトが構成されている場合に意味があります。アプライアンスは、OFFのときにサーバーからの完全な応答要求を送信し、ONのときに部分的な応答のみを要求します。

使用可能な設定は次のとおりです。

ON -クライアントによる部分的な要求は、バックエンドサーバーへの部分的な要求になります。 OFF-クライアントによる部分的な要求は、バックエンドサーバーへの完全な要求に変更されます。 可能な値:ON、OFF デフォルト値:ON

URL デコード要求クッキー。URL デコード要求クッキーをSQLおよびクロスサイトスクリプティングチェックの対象にする前にクッキーをデコードします。

設定可能な値:ON、OFF デフォルト値:OFF

署名ポスト本文の制限 (バイト)。’HTTP_POST_BODY’と指定された場所を持つシグニチャのために検査されるリクエストペイロード(バイト単位)を制限します。

デフォルト値:8096 最小値:0 最大値:4294967295

ポスト本文制限 (バイト)。Web アプリケーションファイアウォールによって検査される要求ペイロード (バイト単位) を制限します。

デフォルト値:20000000 最小値:0 最大値:10ギガバイト

ポストボディ制限アクションPostBodyLimit は、許可する HTTP 本体の最大サイズを指定するときに、エラー設定を反映します。エラー設定を反映するには、1 つまたは複数のボディ制限後のアクションを設定する必要があります。この設定は、転送エンコーディングヘッダーがチャンクされる要求にも適用されます。

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Where, Block-このアクションは、セキュリティチェックに違反する接続をブロックします。これは、設定された HTTP 本文の最大サイズ(本文後制限)に基づいています。このオプションは常に有効にする必要があります。

Log - このセキュリティチェックの違反を記録します。

Stats -このセキュリティー検査の統計を生成します。

InspectQueryContentTypes 次のコンテンツタイプの インジェクションされた SQL およびクロスサイトスクリプトの要求クエリと Web フォームを検査します。

set appfw profile test_profile -inspectQueryContentTypes HTML XML JSON OTHER

可能な値:HTML、XML、JSON、その他

デフォルトでは、このパラメータは「inspectQueryContentTypes: HTML JSON Other」として基本プロファイルと高度なappfwプロファイルの両方に対して設定されます。

エラー URL 式です。Citrix Web App Firewall がエラーURLとして使用するURL。最大長さ:2047。

注:

要求された URL の違反をブロックする場合、エラー URL が署名 URL に似ている場合、アプライアンスは接続をリセットします。

Web アプリケーションファイアウォールプロファイルの設定