Citrix ADC

URL チェックを拒否

[URL の拒否] チェックは、ハッカーや悪意のあるコードによってよくアクセスされる URL への接続を調べてブロックします。このチェックには、ハッカーや悪意のあるコードの共通ターゲットであり、正当なリクエストに現れることはほとんどない URL のリストが含まれます。リストに URL または URL パターンを追加することもできます。[URL の拒否] チェックは、Web サーバソフトウェアまたは多くの Web サイトに存在する既知のさまざまなセキュリティ上の弱点に対する攻撃を防止します。

[URL の拒否] チェックは、開始 URL チェックよりも優先されるため、通常、開始 URL の緩和によって要求が続行される場合でも、悪意のある接続の試行を拒否します。

[拒否 URL チェックの変更] ダイアログボックスの [全般] タブで、[ブロック]、[ログ]、[統計] の各アクションを有効または無効にできます。

コマンドラインインターフェイスを使用する場合は、次のコマンドを入力して、拒否 URL チェックを設定できます。

  • set appfw profile <name> -denyURLAction [**block**] [**log**] [**stats**] [**none**]

独自の拒否 URL を作成して設定するには、GUI を使用する必要があります。[拒否 URL チェックの変更] ダイアログボックスの [チェック] タブで、[追加] をクリックして [拒否 URL の追加] ダイアログボックスを開くか、既存のユーザー定義の拒否 URL を選択して [開く] をクリックして [拒否 URL の変更] ダイアログボックスを開きます。どちらのダイアログボックスも、拒否 URL の作成と構成に同じオプションを提供します。

URL の拒否 (Deny URL) 式の例を次に示します。

  • images.example.com のイメージサーバに直接アクセスすることをユーザに許可しないでください。

     ^http://images[.]example[.]com$
    
  • ユーザーがCGI(.cgi)またはPERL(.pl)スクリプトに直接アクセスすることを許可しないでください。

     ^http://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-]\*/)\*
     [0-9A-Za-z][0-9A-Za-z_.-]*[.](cgi|pl)$
    
  • 非ASCII文字をサポートするように変更された、同じ拒否 URL は次のとおりです。

     ^http://www[.]example[.]com/(([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])\*/)\*([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*[.](cgi|pl)$
    

注意:

正規表現は強力です。特に、PCRE形式の正規表現に精通していない場合は、記述した正規表現を再確認してください。ブロックするURLやパターンを正確に定義していることを確認し、それ以外は何も定義しないでください。ワイルドカード、特にドットとアスタリスク (.*) メタキャラクタとワイルドカードの組み合わせを不注意に使用すると、ブロックする意図がない Web コンテンツへのアクセスをブロックするなど、望ましくない結果が生じる可能性があります。

URL チェックを拒否