ADC

Web App Firewall によるクラスター構成のサポート

注:

NetScaler 11.0バージョンでは、ストライピング構成と部分ストライプ構成用のNetScaler Web App Firewallが導入されました。

クラスターは、単一のシステムとして構成および管理されるNetScalerアプライアンスのグループです。クラスタ内の各アプライアンスはノードと呼ばれます。構成がアクティブなノードの数に応じて、クラスター構成はストライピング構成、部分ストライピング構成、またはスポット構成と呼ばれます。Web App Firewall はすべての構成で完全にサポートされています。

クラスタ構成でのストライプ型および部分的ストライプ型の仮想サーバーのサポートには、主に次の 2 つの利点があります。

  1. セッションフェイルオーバーのサポート:ストライピングされた仮想サーバー構成と部分的にストライピングされた仮想サーバー構成は、セッションフェイルオーバーをサポートします。開始 URL のクローズやフォームフィールドの一貫性などの高度な Web App Firewall セキュリティ機能により、トランザクション処理中のセッションのチェック、維持、使用が可能になります。高可用性構成またはスポットクラスタ構成では、Web App Firewall トラフィックを処理しているノードに障害が発生すると、すべてのセッション情報が失われ、ユーザーはセッションを再確立する必要があります。ストライピングされた仮想サーバー構成では、ユーザーセッションは複数のノードに複製されます。ノードがダウンすると、レプリカを実行しているノードが所有者になります。セッション情報は、ユーザーに目に見える影響を与えることなく維持されます。
  2. スケーラビリティ — クラスタ内のどのノードでもトラフィックを処理できます。クラスターの複数のノードが、ストライピングされた仮想サーバーによって処理される受信要求を処理できます。これにより、Web App Firewall が複数の同時リクエストを処理する能力が向上し、全体的なパフォーマンスが向上します。

セキュリティチェックと署名保護は、クラスター固有のWeb App Firewall構成を追加しなくても導入できます。構成コーディネーター (CCO) ノードで通常の Web App Firewall 構成を実行して、すべてのノードに伝播できます。

注:

セッション情報は複数のノードに複製されますが、ストライプ構成のすべてのノードに複製されるわけではありません。したがって、フェイルオーバー・サポートでは、同時に発生する障害の数には限りがあります。複数のノードで同時に障害が発生した場合、セッションが別のノードに複製される前に障害が発生すると、Web App Firewall はセッション情報を失う可能性があります。

ハイライト

  • Web App Firewall は、クラスター展開におけるスケーラビリティ、高スループット、およびセッションフェイルオーバーのサポートを提供します。
  • Web App Firewall のすべてのセキュリティチェックと署名保護は、すべてのクラスター構成でサポートされています。
  • クラスターではまだキャラクターマップはサポートされていません。学習エンジンは、フィールド形式のセキュリティチェックの学習ルールにフィールドタイプを推奨します。
  • 統計情報と学習したルールは、クラスター内のすべてのノードから集約されます。
  • 分散ハッシュテーブル (DHT) は、セッションをキャッシュし、複数のノードにセッション情報を複製する機能を提供します。仮想サーバーに要求が送信されると、Citrix ADCアプライアンスはDHTにWeb App Firewall セッションを作成し、DHTからセッション情報を取得することもできます。
  • クラスタリングは Advanced および Premium ライセンスでライセンスされます。この機能は、Standard ライセンスでは使用できません。
Web App Firewall によるクラスター構成のサポート

この記事の概要