Citrix ADC

Web App Firewall プロファイルの設定

ユーザ定義の Web App Firewall プロファイルを設定するには、まずセキュリティチェックを構成します。セキュリティチェックは、Web App Firewall ウィザードで ディーププロテクション**または高度な保護 と呼ばれます。一部のチェックでは、それらをまったく使用する場合は、設定が必要です。他のユーザーには、安全ですが、範囲が制限されているデフォルト設定があります。Web サイトには、特定のセキュリティチェックの追加機能を利用する別の設定が必要または恩恵を受ける可能性があります。

セキュリティチェックを構成したら、1 つのセキュリティチェックではなく、Web App Firewall 機能の動作を制御するその他の設定も構成できます。ほとんどの Web サイトを保護するには、既定の構成で十分ですが、保護されている Web サイトに適しているかどうかを確認するために確認してください。

Web App Firewall セキュリティチェックの詳細については、「高度な保護」を参照してください。

コマンドラインを使用して Web App Firewall プロファイルを構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw profile <name> <arg1> [<arg2> ...]

    各項目の意味は次の通りです:

    • <arg1> = パラメータと関連するオプション。
    • <arg2> = 2 番目のパラメータと関連するオプション。
    • … = 追加のパラメータとオプション。

    特定のセキュリティチェックを設定するときに使用するパラメータの説明については、「高度な保護」を参照してください。

  • save ns config

次の例は、pr-basic という名前のプロファイルで、HTML SQL インジェクションおよび HTML クロスサイトスクリプティングチェックのブロックを有効にする方法を示しています。このコマンドを使用すると、プロファイルに他の変更を加えずにこれらのアクションをブロックできます。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

GUI を使用して Web App Firewall プロファイルを構成するには

  1. [セキュリティ] > [アプリケーションファイアウォール] > [プロファイル] に移動します。
  2. 詳細ウィンドウで、構成するプロファイルを選択し、[編集] をクリックします。
  3. [Web App Firewall プロファイルの構成] ダイアログボックスの [セキュリティチェック] タブで、セキュリティチェックを構成します。

    • チェックのアクションを有効または無効にするには、リストで、そのアクションのチェックボックスをオンまたはオフにします。

    • これらのチェックに他のパラメータを設定するには、一覧でそのチェックの右端にある青い山形をクリックします。表示されるダイアログボックスで、パラメータを設定します。これらは小切手によって異なります。

      チェックボックスをオンにして、ダイアログボックスの下部にある [開く] をクリックして、[リラクゼーションを設定] ダイアログボックスまたは [ルールを設定] ダイアログボックスを表示することもできます。これらのダイアログボックスは、チェックによっても異なります。そのほとんどには、[チェック] タブと [一般] タブがあります。チェックが緩和またはユーザー定義規則をサポートしている場合、「チェック」( Checks ) タブには「追加」( Add ) ボタンがあります。このボタンでは、チェックのリラクゼーションまたはルールを指定できます。(緩和とは、特定のトラフィックをチェックから除外するための規則です)。 緩和がすでに設定されている場合は、緩和を選択し、[開く] をクリックして修正できます。

    • 学習した例外またはチェックのルールを確認するには、チェックを選択し、[学習した違反] をクリックします。[学習済みルールの管理] ダイアログボックスで、学習済みの例外またはルールを順に選択します。

      • 例外または規則を編集して一覧に追加するには、[編集と展開] をクリックします。
      • 変更せずに例外またはルールを受け入れるには、「≪ 展開|Deploy|Emdb≫」をクリックします。
      • リストから例外または規則を削除するには、[スキップ] をクリックします。
    • レビューする例外またはルールのリストをリフレッシュするには、「リ フレッシュ」をクリックします。

    • ラーニングビジュアライザを開き、それを使用して学習したルールを確認し、[ビジュアライザ] をクリックします。

    • チェックに一致する接続のログエントリを確認し、チェックを選択して [ログ] をクリックします。この情報を使用して、どのチェックが一致する攻撃であるかを判断し、それらのチェックのブロックを有効にすることができます。この情報を使用して、正当なトラフィックと一致するチェックを特定することもできます。これにより、正当な接続を許可するように適切な免除を構成できます。ログの詳細については、ログ、統計、およびレポートを参照してください。

    • チェックを完全に無効にするには、リストで、そのチェックの右側にあるすべてのチェックボックスをオフにします。

  4. [設定] タブで、プロファイル設定を構成します。
    • 以前に作成および構成したシグニチャセットにプロファイルを関連付けるには、[Common Settings] の下の [Signatures] ドロップダウンリストでシグニチャセットを選択します。

      注:

      必要に応じて、ダイアログボックスの右側にあるスクロールバーを使用して、[共通設定] セクションを表示します。

    • HTML または XML エラーオブジェクトを構成するには、該当するドロップダウンリストからオブジェクトを選択します。

      注:

      まず、[インポート] ペインで使用するエラーオブジェクトをアップロードする必要があります。エラーオブジェクトのインポートの詳細については、「インポート」を参照してください。

    • 既定の XML コンテンツタイプを構成するには、[既定の要求] および [既定の応答] テキストボックスにコンテンツタイプの文字列を直接入力するか、[許可されたコンテンツタイプの管理] をクリックして、許可されたコンテンツタイプのリストを管理します。»その他…
  5. 学習機能を使用する場合は、[Learning] をクリックし、学習機能の設定と使用の説明に従って、プロファイルの学習設定を構成します。
  6. [OK] をクリックして変更を保存し、[プロファイル] ペインに戻ります。

Web App Firewall プロファイルの設定