Citrix ADC

HTTP RFC コンプライアンスを強制する

Citrix Web App Firewall は、着信トラフィックでHTTP RFC準拠を検査し、デフォルトでRFC違反がある要求をすべて破棄します。ただし、アプライアンスが RFC 以外のコンプライアンス要求をバイパスまたはブロックしなければならないシナリオもあります。このような場合、グローバルレベルまたはプロファイルレベルでこのような要求をバイパスまたはブロックするようにアプライアンスを設定できます。

グローバルレベルで非 RFC 準拠要求をブロックまたはバイパスする

HTTP モジュールは、要求が不完全または無効であり、そのような要求を WAF で処理できない場合、要求に無効なタグを付けます。たとえば、ホストヘッダーがない着信 HTTP 要求があります。このような無効な要求をブロックまたはバイパスするには、アプリケーションのファイアウォールのグローバル設定で「malformedReqAction」オプションを設定する必要があります。

注:

「malformedReqAction」パラメータで「ブロック」オプションを無効にすると、アプライアンスはRFC以外のコンプライアンス要求をすべてアプリケーションのファイアウォール処理全体をバイパスし、要求を次のモジュールに転送します。

コマンドラインインターフェイスを使用して無効な非 RFC 苦情 HTTP 要求をブロックまたはバイパスするには

無効な要求をブロックまたはバイパスするには、次のコマンドを入力します。

set appfw settings -malformedreqaction <action>

例:

set appfw settings –malformedReqAction block

不正な形式のリクエストアクション設定を表示するには

不正な形式の要求アクション設定を表示するには、次のコマンドを入力します。

show appfw settings

出力:

DefaultProfile:  APPFW_BYPASS UndefAction:  APPFW_BLOCK SessionTimeout:  900     LearnRateLimit:  400     SessionLifetime:  0 SessionCookieName:  citrix_ns_id ImportSizeLimit:  134217728 SignatureAutoUpdate:  OFF SignatureUrl:"https://s3.amazonaws.com/NSAppFwSignatures/SignaturesMapping.xml" CookiePostEncryptPrefix:  ENC GeoLocationLogging:  OFF CEFLogging:  OFF       EntityDecoding:  OFF     UseConfigurableSecretKey:  OFF SessionLimit:  100000    MalformedReqAction:  block log stats
 Done

Citrix ADC GUIを使用して、無効なRFC以外の苦情HTTP要求をブロックまたはバイパスするには

  1. セキュリティ]>[Citrix Web App Firewall]に移動します。
  2. Citrix Web App Firewall]ページで、[設定]の下の[エンジン設定の変更 をクリックします。
  3. [Citrix Web App Firewall設定の構成] ページで、[ブロック]、[ログ]、[統計情報]のいずれかで[不正なリクエスト をログに記録する]オプションを選択します。
  4. [OK] をクリックして [閉じる] をクリックします。

注:

「ブロック」アクションの選択を解除するか、不正な形式の要求アクションを選択しなかった場合、アプライアンスはユーザーを脅かすことなく要求をバイパスします。

プロファイルレベルで非 RFC 準拠要求をブロックまたはバイパスする

他の非 RFC 準拠要求は、プロファイルレベルでブロックまたはバイパスするように設定できます。RFC プロファイルを「ブロック」または「バイパス」モードで設定する必要があります。これにより、Web App Firewall プロファイルに一致する無効なトラフィックは、それに応じてバイパスまたはブロックされます。

注:

「バイパス」モードで RFC プロファイルを設定するときは、「HTML クロスサイトスクリプティング設定」および「HTML SQL インジェクション設定」セクションで変換オプションを無効にする必要があります。このオプションを有効にして rfc プロファイルを「バイパス」モードに設定すると、アプライアンスは「クロスサイトスクリプトの変換」と「SQL特殊文字の変換」の両方が現在オンになっているという警告メッセージを表示します。APPFW_RFC_BYPASSで使用する場合は、オフにすることを推奨しています。」

重要:

また、アプライアンスには「Appfw Security Check enabled は、このプロファイルが設定されている場合、RFC チェックに違反する要求には適用できない可能性があります。RFC 違反を含むリクエストが部分的に変換される可能性があるため、変換設定を有効にすることはお勧めしません。」

コマンドラインインターフェイスを使用して Web App Firewall プロファイルで RFC プロファイルを構成するには

コマンドプロンプトで、次のコマンドを入力します。

set appfw profile <profile_name> -rfcprofile <rfcprofile_name

set appfw profile P1 -rfcprofile APPFW_RFC_BLOCK

デフォルトでは、rfc プロファイルは「ブロック」モードで Web App Firewall プロファイルにバインドされます。

GUI を使用して Web App Firewall プロファイルで RFC プロファイルを構成するには

  1. [セキュリティ] > [アプリケーションファイアウォール] > [プロファイル] に移動します。
  2. [プロファイル] ページでプロファイルを選択し、[編集] をクリックします。
  3. [Web App Firewall プロファイル] ページで、[詳細設定] セクションの [プロファイル** 設定**] をクリックします。
  4. [HTTP 設定] セクションで、APPFW_RFC_BYPASS モードで RFC プロファイルを設定します。 警告メッセージが表示されます。「Appfw Security Check enabledは、このプロファイルが設定されている場合、RFC チェックに違反する要求には適用できない可能性があります。RFC 違反を含むリクエストが部分的に変換される可能性があるため、変換設定を有効にすることはお勧めしません。」