ADC

セキュリティチェックの概要

Web App Firewallの高度な保護(セキュリティチェック)は、保護されているWebサイトやWebサービスに対する複雑な攻撃や未知の攻撃を阻止するために設計された一連のフィルターです。セキュリティチェックでは、ヒューリスティック、ポジティブセキュリティ、およびその他の手法を使用して、シグネチャだけでは検出できない攻撃を検出します。セキュリティチェックを構成するには、Web App Firewall プロファイルを作成して構成します。このプロファイルは、使用するセキュリティチェックと、セキュリティチェックに失敗した要求または応答の処理方法を Web App Firewall に指示するユーザー定義設定の集まりです。プロファイルは、シグニチャオブジェクトとセキュリティ設定を作成するためのポリシーに関連付けられます。

Web App Firewall には 20 のセキュリティチェックがあり、対象となる攻撃の種類や構成の複雑さは大きく異なります。セキュリティチェックは次のカテゴリに分類されます。

  • 一般的なセキュリティチェック。コンテンツを含まない、またはすべての種類のコンテンツに同等に適用される Web セキュリティのあらゆる側面に適用されるチェック。
  • HTML セキュリティチェック。HTML のリクエストとレスポンスを調べるチェック。これらのチェックは、HTML ベースの Web サイト、および HTML と XML が混在するコンテンツを含む Web 2.0 サイトの HTML 部分に適用されます。
  • XML セキュリティチェック。XML 要求と応答を調べるチェック。これらのチェックは、XML ベースの Web サービスと Web 2.0 サイトの XML 部分に適用されます。

セキュリティチェックは、オペレーティングシステムやウェブサーバーソフトウェアの脆弱性への攻撃、SQLデータベースの脆弱性、WebサイトやWebサービスの設計とコーディングのエラー、機密情報をホストしたりアクセスできるサイトのセキュリティ保護の失敗など、さまざまな種類の攻撃から保護します。

すべてのセキュリティチェックには、Web App Firewall がチェックに一致する接続を処理する方法を制御する一連の構成オプション、つまりチェックアクションがあります。すべてのセキュリティチェックでは、3 つのチェックアクションを使用できます。これには、次の種類のアカウントがあります。

  • ブロック。署名に一致する接続をブロックします。デフォルトでは、無効になっています。
  • ログ。後で分析できるように、シグネチャに一致する接続をログに記録します。デフォルトで有効。
  • 統計。シグニチャごとに、一致した接続の数を示す統計情報を保持し、ブロックされた接続の種類に関するその他の特定の情報を提供します。デフォルトでは、無効になっています。

4 つ目のチェックアクションである Learnは、チェックアクションの半分以上で使用できます。保護されている Web サイトまたは Web サービスへのトラフィックを監視し、セキュリティチェックに繰り返し違反する接続を使用して、チェックに対する推奨例外 (緩和) を生成したり、チェックの新しいルールを生成したりします。チェックアクションに加えて、特定のセキュリティチェックには、どの接続がそのチェックに違反しているかを判断するためにチェックが使用するルールを制御するパラメーターや、チェックに違反した接続に対する Web App Firewall の応答を構成するパラメーターがあります。これらのパラメータはチェックごとに異なり、各チェックのドキュメントで説明されています。

セキュリティチェックを構成するには、「Web App Firewall ウィザード」で説明されているように Web App Firewall ウィザードを使用するかGUI を使用した手動構成の説明に従って、セキュリティチェックを手動で構成できます。緩和や規則を手動で入力したり、学習したデータを確認するなど、一部のタスクは、コマンドラインではなく GUI を使用してのみ実行できます。通常、ウィザードを使用するのが最適な構成方法ですが、ウィザードに精通していて、1 回のセキュリティチェック用に構成を調整したいだけの場合は、手動構成の方が簡単な場合もあります。

セキュリティチェックの設定にどの方法を使用するかにかかわらず、各セキュリティチェックでは特定のタスクを実行する必要があります。多くのチェックでは、そのセキュリティチェックのブロックを有効にする前に、正当なトラフィックがブロックされないように例外 (緩和) を指定する必要があります。これを手動で行うには、一定量のトラフィックがフィルタリングされた後にログエントリを確認し、必要な例外を作成します。ただし、通常は学習機能を有効にしてトラフィックを監視し、必要な例外を推奨するほうがはるかに簡単です。

Web App Firewall は、トランザクションの処理中にパケットエンジン (PE) を使用します。各パケットエンジンには 100 K セッションの制限があり、ほとんどの導入シナリオには十分です。ただし、Web App Firewall が大量のトラフィックを処理していて、セッションタイムアウトがより高い値に設定されている場合、セッションが蓄積される可能性があります。有効な Web App Firewall セッションの数が PE あたりの 100 K の制限を超えると、Web App Firewall のセキュリティチェック違反が Security Insight アプライアンスに送信されない可能性があります。セッションタイムアウトを小さい値に下げたり、セッションレス URL クロージャやセッションレスフィールドの一貫性を伴うセキュリティチェックにセッションレスモードを使用したりすると、セッションが蓄積されるのを防ぐのに役立つ場合があります。トランザクションに長いセッションが必要になる可能性があるシナリオでこれが実行可能なオプションでない場合は、より多くのパケットエンジンを搭載したハイエンドプラットフォームにアップグレードすることをお勧めします。

キャッシュされた AppFirewall のサポートが追加され、コアごとの CLI による最大セッション設定は 50K セッションに設定されます。

リクエストとレスポンスのセキュリティチェック

セキュリティチェックのリストは次のとおりです。

チェックをリクエストする

リクエストのセキュリティチェックは次のとおりです。

  • 開始URL
  • URL を拒否する
  • クッキーの一貫性
  • Cookie ハイジャック
  • バターオーバーフロー
  • ポストボディリミット
  • コンテンツタイプ
  • コンテンツタイプ XML ペイロードを推測
  • ファイルアップロードの種類
  • フォームフィールドの一貫性
  • フィールドの書式
  • CSRF フォームタグ付け
  • HTML クロスサイトスクリプティング
  • HTML SQLインジェクション
  • HTML コマンドインジェクション
  • ブロックキーワード-XML
  • XML 形式
  • XML サービス拒否
  • XML クロスサイトスクリプティング
  • XML SQL インジェクション
  • XML アタッチメント
  • XML メッセージ検証
  • JSON サービス拒否
  • JSON クロスサイトスクリプティング
  • JSON SQL インジェクション
  • JSON コマンド・
  • ブロックキーワード-JSON

レスポンスチェック

レスポンスセキュリティチェックは次のとおりです。

  • クレジットカード
  • セーフオブジェクト
  • XML SOAP フォールトフィルタリング
  • Web サービスの相互運用性の一部
セキュリティチェックの概要