Citrix ADC

Web App Firewall プロファイルのエクスポートとインポート

Web App Firewall プロファイルの設定全体(HTML エラーオブジェクト、XML エラーオブジェクト、WSDL スキーマ、XML スキーマ、シグニチャなど、バインドされたすべてのオブジェクトを含む)を複数のアプライアンス間で複製できます。ターゲットプロファイルを選択し、構成をエクスポートしてコンピュータのローカルファイルシステムに保存するか、アーカイブされた構成を転送してサーバに保存することができます。同様に、コンピューターのローカルファイルシステムを参照するか、サーバーからアーカイブをインポートして、以前にエクスポートしたプロファイルを選択し、NetScaler アプライアンスにインポートできます。

プロファイル設定全体をエクスポートし、別のアプライアンスにインポートするオプションは、さまざまなユースケースで役立ちます。たとえば、テストベッドのセットアップで Web App Firewall プロファイルを構成して、期待どおりに動作していることをテストおよび検証できます。問題がなければ、プロファイルをエクスポートし、本番NetScaler アプライアンスにプロファイル構成をインポートできます。この機能は、設定のバックアップにも役立ちます。変更を行う前にプロファイルをエクスポートできるため、必要に応じて設定を既知の状態に簡単にロールバックできます。

あるビルドからエクスポートおよびアーカイブされた Web App Firewall プロファイルは、新しいリリースで導入された変更が互換性の問題を引き起こす可能性があるため、別のビルドを実行しているシステムに復元できません。アーカイブされたプロファイルをエクスポート元のビルドとは異なるビルドに復元しようとすると、ns.log にエラーメッセージが記録されます。

プロファイルのエクスポートおよびインポート機能は、GUI(GUI)とコマンドラインインターフェイス(CLI)の両方で使用できます。GUIは使いやすい Action オプションを提供するので、推奨されます。ボタンをクリックするだけで、プロファイルの構成全体を エクスポート または インポート できます。

CLI を使用したWeb App Firewall プロファイルのエクスポート

CLI を使用してプロファイルを エクスポート する場合は、構成を アーカイブ してから エクスポート する必要があります。プロファイルを インポート するには、アーカイブをNetScaler アプライアンスに インポート してから、 復元 コマンドを実行して構成を抽出する必要があります。プロファイル設定のエクスポート、インポート、および管理には、次の CLI コマンドセットを使用できます。

アーカイブをエクスポートする CLI コマンド:

  • archive appfw profile <name> <archivename> [-comment <string>]
  • export appfw archive <name> <target>

アーカイブをインポートする CLI コマンド:

  • import appfw archive <src> <name> [-comment <string>]
  • restore appfw profile <archivename>

アーカイブを管理するためのCLIコマンド:

  • show appfw archive
  • rm appfw archive <name>

あるアプライアンスからプロファイルをエクスポートし、別のアプライアンスへインポートするには、CLI で 5 つの手順が必要です。最初の 3 つのステップは、プロファイル構成が最初に作成されたソースアプライアンスで実行され、次の 2 つのステップは、プロファイル構成がレプリケートされるターゲットアプライアンスで実行されます。

ソースNetScaler アプライアンスからプロファイルをエクスポートします。

ステップ 1: 構成されたプロファイルのアーカイブを作成します。

手順2: アーカイブをNetScaler ファイルシステムにエクスポートします。

手順3: scpなどのファイル転送ユーティリティを使用して、エクスポートされたアーカイブファイルをNetScalerアプライアンスAからターゲットのNetScalerアプライアンスに転送します。

ターゲットのNetScaler アプライアンスにプロファイルをインポートします。

ステップ4: インポートコマンドを実行して、アーカイブされたファイルをインポートします。NetScalerのローカルファイルシステムからアーカイブをインポートするか、HTTPプロトコルまたはHTTPSプロトコルを使用してURLを使用してサーバーからアーカイブをインポートできます。

手順 5: restore コマンドを実行して、インポートしたアーカイブからプロファイル構成を復元します。

コマンドラインインターフェイスを使用して Web App Firewall プロファイルをエクスポートするには

まず、プロファイルの設定を アーカイブ し、アーカイブをターゲットの場所に エクスポート します。コマンドプロンプトで、次のコマンドを入力します。

archive appfw profile <profileName> <archiveName>

各項目の意味は次の通りです:

  • <profileName> は、アーカイブするプロファイルの名前です。
  • <archiveName> は、作成するアーカイブファイルの名前です。

上記のコマンドを実行すると、アーカイブファイルのインスタンスが 2 つ作成されます。1 つは /var/tmp フォルダにあり、もう 1 つは /var/archive/appfw フォルダにあります。

export appfw archive <archiveName> <target>

各項目の意味は次の通りです:

  • <archiveName> は、エクスポートするアーカイブの名前です。(前のコマンドと同じ名前。
  • <target> は、接頭辞として local: で始まるファイルパスで、その後に<archiveName>が続きます。

エクスポートコマンドを実行すると、エクスポートされたアーカイブファイルがNetScaler アプライアンスのファイルシステムの/var/tmpフォルダーに保存されます。

例:

> archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

上記の 2 つのコマンドが実行されると、/var/tmp フォルダには archived_test_pr ファイルと、エクスポートされたコピー dutA_test_pr が格納され、サイズは同じです。CLI から、シェルにドロップしてフォルダに移動し、これらのファイルが存在することを確認できます。

アーカイブファイルをエクスポートした後、 scp またはその他のファイル転送ユーティリティを使用して、アーカイブファイルのコピーを作成したNetScaler アプライアンスからターゲットのNetScalerアプライアンスに転送できます。

CLI を使用した Web App Firewall プロファイルのインポート

アーカイブされたファイルをソースアプライアンスからターゲットアプライアンスへ正常にスキャンしたら、プロファイルのアーカイブ をインポート し、 restore コマンドを実行してターゲットアプライアンス上でプロファイルの設定を複製できます。

ターゲットアプライアンスにログオンします。シェルと cd を /var/tmp フォルダにドロップし、このアプライアンス上の scp ファイルのサイズがソースアプライアンス上の元のアーカイブファイルのサイズと一致していることを確認します。シェルを終了してコマンドラインに戻ります。

CLI を使用してプロファイルをインポートするには、次の手順を実行します。

コマンドプロンプトで、次のコマンドを入力します。

import appfw archive <src> <name> [-comment <string>]

各項目の意味は次のとおりです。

  • <src> は、そのファイルが作成されたソースアプライアンスから転送された後のアーカイブファイルの場所です。ローカルファイルシステムとファイル名を使用できます。アーカイブをサーバーに配置した場合は、URL を使用してアーカイブされたファイルをインポートできます。パスまたはファイル名にスペースが含まれている場合は、URL を二重引用符で囲みます。
  • <name> は、インポートするアーカイブファイルの名前です。
  • <string> は、アーカイブの目的に関するオプションの説明です。

restore appfw profile <archiveName>

例:

A. ローカルファイルからインポートし、次にリストアします

> import appfw archive local:dutA_test_pr dut2_test_pr

> restore appfw profile dut2_test_pr

B. URLからインポートし、次にリストアします

import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archive restore appfw profile my_archive

この例では、ターゲットNetScaler アプライアンス上のすべてのバインドされたオブジェクト(署名、HTMLエラーページ、緩和ルールなど)とともにtest_prプロファイルを復元します。

次の CLI コマンドを使用して、詳細についての man ページにアクセスできます。

  • man archive appfw profile
  • man export appfw archive
  • man import appfw archive
  • man restore appfw profile
  • man show appfw archive
  • man rm appfw archive

GUI を使用した Web App Firewall プロファイルのエクスポートとインポート

GUI は CLI よりも使いやすくなっています。[Export] をクリックすると、アーカイブ操作とエクスポート操作の両方が実行されます。同様に、[インポート] をクリックすると、インポートとリストアの両方が実行されます。GUI は、ユーティリティにアクセスするコンピュータのローカルファイルシステムにアクセスできます。アーカイブのコピーをエクスポートして、ローカルコンピュータに保存できます。その後、アーカイブファイルをあるアプライアンスから別のアプライアンスに手動で転送しなくても、このコピーをターゲットアプライアンスに直接インポートできます。

GUI を使用して Web App Firewall プロファイルをエクスポートするには、次の手順を実行します。

  1. [設定] > [セキュリティ] > [Web App Firewall] > [プロファイル] に移動します。
  2. 詳細ウィンドウで、エクスポートするプロファイルを選択します。[Actions] をクリックし、[Export] を選択して、コンピュータのローカルファイルシステムにコピーをダウンロードして保存します。

GUI を使用して Web App Firewall プロファイルをインポートするには、次の手順を実行します。

  1. [設定] > [セキュリティ] > [Web App Firewall] > [プロファイル] に移動します。
  2. 詳細ペインで、[操作] をクリックし、[インポート] を選択します。[Web App Firewall プロファイルのインポート] ペインの [インポート元*] 選択ボックスには、次の 2 つのオプションがあります。

URL: URLを指定することで、アーカイブのインポートを選択できます。このオプションを選択すると、 URL 入力ボックスにアーカイブされたファイルの絶対パスを指定する必要があります。

[ファイル]: ローカルの [ファイル] からアーカイブをインポートできます。このオプションを選択すると、 [ローカルファイル] 選択フィールドが表示されます。コンピュータのローカルファイルを参照して、ターゲットアーカイブファイルを選択できます。

[Create] をクリックして、指定したアーカイブをインポートします。インポート操作が正常に完了すると、ターゲットアプライアンスにプロファイル構成が作成されます。

ハイライト

  • プロファイルのエクスポートおよびインポート機能を使用すると、構成手順を繰り返す必要なく、構成全体(プロファイルのすべてのインポートオブジェクトおよび構成済み緩和ルールを含む)を複数のアプライアンスに複製できます。
  • 署名、WSDL、スキーマ、エラーページなどのインポートされたオブジェクトは、アーカイブされた tar ファイルに含まれ、ターゲットアプライアンスにレプリケートされます。
  • カスタマイズされたフィールドタイプは、アーカイブされた tar ファイルに含まれ、ターゲットアプライアンスにレプリケートされます。
  • アーカイブされたプロファイルのポリシーバインディングは、構成が復元されるときにレプリケートされません。アプライアンスにプロファイルをインポートした後、ポリシーを設定してプロファイルにバインドする必要があります。
  • アーカイブファイルの名前は 31 文字までです。プロファイル名と同様に、アーカイブ名は英数字またはアンダースコアで始まり、英数字とアンダースコア(_)、数字(#)、ピリオド(.)、スペース()、 コロン(:)、アットマーク(@)、等号(=)、ハイフン(-)のみを含む必要があります。
  • アーカイブに関連付けられたコメントは、アーカイブされた設定の目的を伝えるのに十分な説明文である必要があります。コメントの最大長は 255 文字です。
  • clear config –force basic`` このコマンドでは、アーカイブされたプロファイルは削除されません。
  • インポートおよびエクスポートプロファイル機能は、高可用性(HA)配置でサポートされます。

デバッグに関するヒント

  • コマンド実行中に /var/log/ns.log を監視し、エラーメッセージがあるかどうかを確認します。
  • 追加のログ(_restore.log、削除.log、インポート.log)は、/var/tmp/フォルダ内に生成されます。これらは、対応する操作中に問題をデバッグするのに役立ちます。これらのログのサイズが 1 MB に達すると、ログメッセージがパージされ、ログファイルが元のサイズの 4 分の 1 に縮小されます。
  • ローカルファイルシステムではなく URL オプションを使用しているときに import コマンドが失敗した場合は、DNS ネームサーバとルート設定が正確に構成されていることを確認します。
  • HTTPS プロトコルを使用してアーカイブをインポートする場合、HTTPS サーバーがクライアント証明書認証を要求すると、コマンドが失敗することがあります。

Web App Firewall プロファイルのエクスポートとインポート