Citrix ADC

Web App Firewall プロファイルの構成

ユーザー定義の Web App Firewall プロファイルを構成するには、まずセキュリティチェックを構成します。セキュリティチェックは、Web App Firewall ウィザードでは「 ディーププロテクション**」または「高度な保護 」と呼ばれます。一部のチェックでは、使用するためには設定が必要です。安全ではあるが範囲が限定された既定の設定があるものもあります。Web サイトでは、特定のセキュリティチェックのより多くの機能を利用する別の設定が必要か、その恩恵を受ける可能性があります。

セキュリティチェックを構成したら、1 つのセキュリティチェックではなく、Web App Firewall 機能の動作を制御するその他の設定も構成できます。ほとんどの Web サイトを保護するには既定の設定で十分ですが、保護された Web サイトに適しているかどうかを確認するには、これらを確認する必要があります。

注:

プロファイル名の長さとすべてのインポートオブジェクト名の長さは、最大127文字まで設定できます。

Web App Firewall のセキュリティチェックの詳細については、「 高度な保護」を参照してください。

コマンドラインを使用して Web App Firewall プロファイルを構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw profile <name> <arg1> [<arg2> ...]

    各項目の意味は次の通りです:

    • <arg1> = パラメータと関連するオプション。
    • <arg2> = 2 番目のパラメータと関連するオプション。
    • … = 追加のパラメータとオプション。

    特定のセキュリティチェックを設定するときに使用するパラメータの詳細については、「 高度な保護」を参照してください。

  • save ns config

次の例は、pr-basic という名前のプロファイルで HTML SQL インジェクションおよび HTML クロスサイトスクリプティングチェックのブロックを有効にする方法を示しています。このコマンドは、プロファイルに他の変更を加えずにこれらのアクションをブロックできるようにします。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

緩和ルールを Web App Firewall プロファイルにバインドする

Web App Firewall が違反を検出すると、ユーザーは緩和ルールによって適用されたアクションをバイパスできます。緩和ルールは、検出されたセキュリティ違反に適用される例外です。たとえば、開始 URL 緩和ルールは、強制的なブラウジングから保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの URL の拒否ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。

CLI を使用してセキュリティ免除ルールまたは緩和ルールをバインドするには

コマンドプロンプトで入力します。

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

GUI を使用してセキュリティ免除ルールまたは緩和ルールをバインドするには

  1. セキュリティ]> Citrix Web App Firewall]>[プロファイル]に移動します。
  2. 詳細ペインで、プロファイルを選択し、[ 編集] をクリックします。
  3. [Citrix Web App Firewall プロファイル ]ページで、[ 詳細設定 ]セクションの[ 緩和ルール ]をクリックします。
  4. [ 緩和ルール ] セクションで、[ startURL ] をクリックし、[ 編集] をクリックします。
  5. [ 開始 URL 緩和ルール ] ページで、[ 追加] をクリックします。
  6. [ URL 緩和ルールの開始 ] ページで、次のパラメータを設定します。

    1. 有効。このチェックボックスを選択して、緩和ルールを有効にします。
    2. 開始 URL。正規表現の値を入力します。
    3. コメント。緩和ルールについて簡単に説明してください。
  7. [作成]して[閉じる] をクリックします。

バインド緩和ルール

GUI を使用して Web App Firewall プロファイルを構成するには

  1. セキュリティ]> Citrix Web App Firewall]>[プロファイル]に移動します。
  2. 詳細ウィンドウで、構成するプロファイルを選択し、[ 編集] をクリックします。
  3. [ Web App Firewall プロファイルの構成 ] ダイアログボックスの [ セキュリティチェック ] タブで、セキュリティチェックを構成します。

    • チェックに対するアクションを有効または無効にするには、一覧でそのアクションのチェックボックスをオンまたはオフにします。

    • そのチェックに他のパラメータを設定するには、一覧でそのチェックの右端にある青色の山形をクリックします。表示されるダイアログボックスで、パラメータを設定します。これらはチェックごとに異なります。

      チェックを選択し、ダイアログボックスの下部にある [開く] をクリックして、そのチェックの [ 緩和の構成 ] ダイアログボックスまたは [ 規則の構成 ] ダイアログボックスを表示することもできます。これらのダイアログボックスもチェックごとに異なります。ほとんどの場合、[ チェック ] タブと [ 一般 ] タブがあります。チェックが緩和またはユーザー定義規則をサポートしている場合、「 チェック 」(Checks) タブには「 追加 」(Add) ボタンが表示されます。このボタンでは、チェックのリラクゼーションまたは規則を指定できる別のダイアログボックスが開きます。(緩和とは、特定のトラフィックを小切手から除外するルールです)。緩和が既に設定されている場合は、緩和を選択して [ 開く ] をクリックして変更できます。

    • チェックの学習済み例外またはルールを確認するには、チェックを選択し、[ 学習済み違反] をクリックします。[ 学習済み規則の管理 ] ダイアログボックスで、学習した例外または規則を順に選択します。

      • 例外またはルールを編集してリストに追加するには、[ Edit & Deploy] をクリックします。
      • 例外またはルールを変更せずに受け入れるには、[ Deploy] をクリックします。
      • リストから例外または規則を削除するには、[ スキップ] をクリックします。
    • 確認する例外または規則の一覧を更新するには、[ Refresh] をクリックします。

    • ラーニングビジュアライザーを開き、それを使用して学習済みルールを確認するには、[ ビジュアライザー] をクリックします。

    • チェックに一致する接続のログエントリを確認し、チェックを選択して [ログ] をクリックします。この情報を使用して、どのチェックがマッチング攻撃であるかを判断し、それらのチェックのブロックを有効にすることができます。この情報を使用して、正当なトラフィックと一致するチェックを特定することもできます。これにより、正当な接続を許可するように適切な免除を構成できます。ログの詳細については、ログ、 統計、およびレポートを参照してください

    • チェックを完全に無効にするには、リストで、そのチェックの右側にあるすべてのチェックボックスをオフにします。

  4. [ 設定 ] タブで、プロファイル設定を構成します。
    • 以前に作成および設定した一連のシグニチャにプロファイルを関連付けるには、[Common Settings] の [Signatures] ドロップダウンリストでシグニチャのセットを選択します

      注:

      [共通設定] セクションを表示するには、ダイアログボックスの右側のスクロールバーを使用して下にスクロールする必要があります。

    • HTML または XML エラーオブジェクトを設定するには、該当するドロップダウンリストからオブジェクトを選択します。

      注:

      まず、[インポート] ペインで使用するエラーオブジェクトをアップロードする必要があります。エラーオブジェクトのインポートの詳細については、「 インポート」を参照してください。

    • デフォルトの XML コンテンツタイプを構成するには、コンテンツタイプの文字列を [既定の要求] および [既定の応答] テキストボックスに直接入力するか、[許可されたコンテンツタイプの管理] をクリックして許可されたコンテンツタイプのリストを管理します。 »もっと…
  5. 学習機能を使用する場合は、「ラーニング」をクリックし、「 ラーニング機能の構成と使用」の説明に従って、プロファイルの学習設定を構成します
  6. OK をクリックして変更を保存し、[ プロファイル ] ペインに戻ります。
Web App Firewall プロファイルの構成