Citrix ADC

XML サービス拒否チェック

XML サービス拒否(XML DoS または XDoS)チェックは、着信 XML 要求を調べ、サービス拒否(DoS)攻撃の特性と一致するかどうかを判断し、そのような要求をブロックします。XML DoS チェックの目的は、攻撃者が XML 要求を使用して Web サーバーまたは Web サイトに対するサービス拒否攻撃を開始するのを防ぐことです。

ウィザードまたは GUI を使用する場合は、[XML サービス拒否チェックの変更] ダイアログボックスの [全般] タブで、[ブロック]、[ログ]、[統計]、および [ラーニング] の各アクションを有効または無効にできます。

コマンドラインインターフェイスを使用する場合は、次のコマンドを入力して XML サービス拒否チェックを設定できます。

  • set appfw profile <name> -xmlDoSAction [**block**] [**log**] [**learn**] [**stats**] [**none**]

個々の XML サービス拒否ルールを設定するには、GUI を使用する必要があります。[XML サービス拒否チェックの変更] ダイアログボックスの [チェック] タブで、ルールを選択し、[開く] をクリックして、そのルールの [XML サービス拒否の変更] ダイアログボックスを開きます。個々のダイアログボックスはルールによって異なりますが、非常に簡単です。ルールを有効または無効にできるものもあれば、テキストボックスに新しい値を入力して数値を変更できるものもあります。

個々の XML サービス拒否規則は次のとおりです。

  • 最大要素深さ

    個々の要素のネストされたレベルの最大数を 256 に制限します。このルールが有効で、Web App Firewall が、最大許容レベル数を超える要素を持つ XML 要求を検出すると、要求をブロックします。レベルの最大数を 1 ~ 65,535 の値に変更できます。

  • 要素名の最大長さ

    各要素名の最大長を 128 文字に制限します。これには、展開された名前空間内の名前が含まれます。この名前には、XML パスと要素名が含まれます。

     {http://prefix.example.com/path/}target_page.xml
    

    ユーザーは、名前の最大長を 1 文字から 65,535 までの任意の値に変更できます。

  • 最大要素数

    XML ドキュメントごとに 1 つのタイプのエレメントの最大数を 65,535 に制限します。要素の最大数を、1 ~ 65,535 の間の任意の値に変更できます。

  • エレメントの子の最大数

    各要素に許可される子の最大数 (他の要素、文字情報、コメントを含む) を 65,535 に制限します。エレメントの子の最大数は、1 ~ 65,535 の間の任意の値に変更できます。

  • 属性の最大数

    各要素に許可される属性の最大数を 256 に制限します。属性の最大数は、1 ~ 256 の間の任意の値に変更できます。

  • 属性名の最大長

    各属性名の最大長を 128 文字に制限します。属性名の最大長は、1 ~ 2,048 の間の任意の値に変更できます。

  • 属性値の最大長さ

    各属性値の最大長を 2048 文字に制限します。属性名の最大長は、1 ~ 2,048 の間の任意の値に変更できます。

  • 最大文字データ長

    各要素の最大文字データ長を 65,535 に制限します。長さは、1 ~ 65,535 の間の任意の値に変更できます。

  • 最大ファイルサイズ

    各ファイルのサイズを 20 MB に制限します。最大ファイルサイズは任意の値に変更できます。

  • 最小ファイルサイズ

    各ファイルの長さが 9 バイト以上である必要があります。最小ファイルサイズは、バイト数を表す任意の正の整数に変更できます。

  • 最大エンティティ拡張数

    エンティティ展開の数を指定された数に制限します。デフォルトは 1024 です。

  • 最大エンティティ拡張深さ

    ネストされたエンティティ拡張の最大数を、指定した数以下に制限します。デフォルトは 32 です。

  • 名前空間の最大数

    XML ドキュメント内の名前空間宣言の数を、指定した数以下に制限します。デフォルトは 16 です。

  • 名前空間 URI の最大長

    各名前空間宣言の URL の長さを、指定した文字数以下に制限します。デフォルトは 256 です。

  • ブロック処理命令

    リクエストに含まれる特別な処理命令をブロックします。このルールには、ユーザーが変更できる値はありません。

  • ブロックDTD

    リクエストに含まれる文書型定義 (DTD) をブロックします。このルールには、ユーザーが変更できる値はありません。

  • ブロック外部エンティティ

    リクエスト内の外部エンティティへの参照をすべてブロックします。このルールには、ユーザーが変更できる値はありません。

  • SOAP アレイのチェック

    次の SOAP 配列チェックを有効または無効にします。

    • SOAP アレイの最大サイズ。接続がブロックされる前の XML 要求内のすべての SOAP 配列の最大合計サイズ。この値は変更できます。デフォルトは 20000000 です。
    • SOAP アレイの最大ランク。接続がブロックされる前の XML 要求内の単一の SOAP 配列の最大ランクまたは次元。この値は変更できます。デフォルトは 16 です。

XML サービス拒否チェック