Web App Firewall の設定
Citrix Web App Firewall(Webアプリケーションファイアウォール)は、次のいずれかの方法で構成できます。
- Web App Firewall ウィザード。設定プロセスを順を追って実行できる一連の画面で構成されるダイアログボックス。
- Citrix Web インターフェイス AppExpert テンプレート。Webサイトに適切な保護を提供するように設計されたAppExpertテンプレート(構成設定のセット)。このAppExpertテンプレートには、多くのWebサイトを保護するための適切なWeb AppFirewall構成設定が含まれています。
- Citrix ADCのGUIです。Web ベースの設定インターフェイス。
- Citrix ADC コマンドラインインターフェイス。コマンドライン設定インターフェイス。
Web App Firewall ウィザードを使用することをお勧めします。ほとんどのユーザーは、Web App Firewall を設定する最も簡単な方法であると感じられ、間違いを防ぐように設計されています。主にWebサイトを保護するために使用する新しいCitrix ADCまたはVPXがある場合は、Webアプリファイアウォールだけでなくアプライアンス全体に適切なデフォルト構成を提供するため、WebインターフェイスAppExpertテンプレートの方が適している場合があります。 。GUIとコマンド・ライン・インタフェースはいずれも、経験豊かなユーザーを対象としています。主に、既存の構成を変更したり、詳細オプションを使用したりします。
Web App Firewall ウィザード
Web App Firewall ウィザードは、簡単な構成の各部分を構成するように求める複数の画面で構成されるダイアログボックスです。Web App Firewall は、指定した情報から適切な構成要素を作成します。これは、最も簡単で、ほとんどの目的で、Web App Firewall を構成するための最良の方法です。
ウィザードを使用するには、任意のブラウザでGUIに接続します。接続が確立したら、Web App Firewall が有効になっていることを確認してから、Web App Firewall ウィザードを実行して、構成情報の入力を求められます。ウィザードを初めて使用するときに、要求された情報をすべて入力する必要はありません。代わりに、デフォルト設定を受け入れ、比較的簡単な構成タスクを実行して重要な機能を有効にし、Web App Firewall が重要な情報を収集して構成を完了できるようにすることができます。
たとえば、処理するトラフィックを選択するための規則を指定するように求められた場合は、デフォルトを受け入れ、すべてのトラフィックが選択されます。シグニチャのリストが表示されたら、適切なカテゴリのシグニチャを有効にして、それらのシグニチャの統計情報の収集を有効にできます。この初期設定では、高度な保護(セキュリティーチェック)をスキップできます。ウィザードは、適切なポリシー、シグニチャオブジェクト、およびプロファイル(まとめてセキュリティ設定)を自動的に作成し、ポリシーをグローバルにバインドします。Web App Firewall は、保護された Web サイトへの接続のフィルタリングを開始し、有効化した 1 つ以上のシグニチャに一致するすべての接続を記録し、各シグニチャが一致する接続に関する統計を収集します。Web App Firewall が一部のトラフィックを処理した後、ウィザードを再度実行し、ログと統計情報を調べて、有効にしたシグニチャのいずれかが正当なトラフィックと一致するかどうかを確認できます。どのシグニチャがブロックするトラフィックを識別しているかを判断したら、それらのシグニチャのブロッキングを有効にできます。Web サイトまたは Web サービスが複雑でなく、SQL を使用せず、機密性の高い個人情報にアクセスできない場合、この基本的なセキュリティ構成はおそらく十分な保護を提供します。
たとえば、ウェブサイトが動的な場合は、追加の保護が必要になる場合があります。スクリプトを使用するコンテンツでは、クロスサイトスクリプティング攻撃に対する保護が必要な場合があります。ショッピングカート、多くのブログ、ほとんどのコンテンツ管理システムなどの SQL を使用する Web コンテンツでは、SQL インジェクション攻撃に対する保護が必要になる場合があります。社会保障番号やクレジットカード番号などの機密性の高い個人情報を収集するウェブサイトやウェブサービスでは、意図しない情報漏えいに対する保護が必要になる場合があります。特定の種類のWebサーバーまたはXMLサーバーソフトウェアでは、そのソフトウェアに合わせた攻撃から保護する必要があります。もう 1 つの考慮事項は、Web サイトや Web サービスの特定の要素が、他の要素とは異なる保護を必要とする可能性があるということです。Web App Firewall のログと統計情報を調べると、必要な追加の保護を特定するのに役立ちます。
Web サイトおよび Web サービスに必要な高度な保護を決定したら、ウィザードを再度実行してこれらの保護を構成できます。特定のセキュリティチェックでは、チェックで正当なトラフィックがブロックされないように、例外(緩和)を入力する必要があります。手動で行うこともできますが、通常、アダプティブ学習機能を有効にして、必要なリラクゼーションを推奨するほうが簡単です。ウィザードを必要な回数だけ使用して、基本的なセキュリティ構成を強化したり、追加のセキュリティ構成を作成したりできます。
ウィザードを使用すると、ウィザードを使用しなかった場合に手動で実行する必要のあるタスクが自動化されます。ポリシー、シグニチャオブジェクト、およびプロファイルが自動的に作成され、設定名の入力を求められたときに指定した名前が割り当てられます。このウィザードでは、プロファイルに高度な保護設定を追加し、シグニチャオブジェクトをプロファイルにバインドし、プロファイルとポリシーが関連付けられ、ポリシーを Global にバインドしてポリシーを有効にします。
ウィザードでは実行できないタスクがいくつかあります。ウィザードを使用して、グローバル以外のバインドポイントにポリシーをバインドすることはできません。プロファイルを設定の特定の部分にのみ適用する場合は、バインドを手動で設定する必要があります。ウィザードでは、エンジン設定やその他の特定のグローバル構成オプションを構成することはできません。ウィザードでは保護の詳細設定を構成できますが、1 回のセキュリティチェックで特定の設定を変更する場合は、GUI の手動構成画面で変更する方が簡単です。
Web App Firewall ウィザードの使用方法の詳細については、「 Web App Firewall ウィザード」を参照してください。
Citrix WebインターフェイスAppExpert テンプレート
AppExpert テンプレートは、複雑なエンタープライズアプリケーションを構成および管理するための、よりシンプルで異なるアプローチです。GUIのAppExpert表示は、テーブルで構成されています。アプリケーションは左端の列に表示され、そのアプリケーションに適用可能なCitrix ADC機能が右側の列に表示されます。(AppExpert インターフェイスでは、アプリケーションに関連付けられている機能を「 アプリケーション単位」と呼びます)。 AppExpert インターフェイスでは、各アプリケーションの対象トラフィックを設定し、各機能を個別に設定する代わりに、圧縮、キャッシュ、書き換え、フィルタリング、レスポンダー、Web App Firewall のルールを有効にします。
Web インターフェイス AppExpert テンプレートには、次の Web App Firewall シグネチャとセキュリティチェックのルールが含まれています。
- URL チェックを拒否します。セキュリティ上のリスクがあることがわかっているコンテンツ、または指定した他の URL への接続を検出します。
- バッファオーバーフローチェック。保護された Web サーバでバッファオーバーフローを引き起こす試みを検出します。
- クッキーの一貫性チェック。保護されたWebサイトによって設定されたCookieへの悪意のある変更を検出します。
- フォームフィールドの一貫性チェック。保護されたWebサイト上のWebフォームの構造への変更を検出します。
- CSRF フォームタグチェックです。クロスサイトリクエストフォージェリ攻撃を検出します。
- [フィールド形式] チェック。保護されたWebサイトのWebフォームにアップロードされた不適切な情報を検出します。
- HTML SQL インジェクションチェック。不正な SQL コードを挿入する試みを検出します。
- HTML クロスサイトスクリプティングチェック。クロスサイトスクリプティング攻撃を検出します。
AppExpert テンプレートのインストールと使用の詳細については、 AppExpert アプリケーションとテンプレートを参照してください。
Citrix GUI
GUI は、Web アプリケーションファイアウォール機能のすべての設定オプションへのアクセスを提供する Web ベースのインターフェイスです。これには、他の設定ツールやインターフェイスからは利用できない高度な設定や管理オプションが含まれます。特に、多くの高度なシグニチャオプションは GUI でのみ設定できます。学習機能によって生成された推奨事項は、GUI でのみ確認できます。GUIでのみグローバル以外のバインドポイントにポリシーをバインドできます。
GUI の説明については、「 Web App Firewall 構成インターフェイス」を参照してください。GUI を使用して Web App Firewall を構成する方法の詳細については、 GUI を使用した手動設定を参照してください。
GUI を使用して Web App Firewall を設定する手順については、GUI を使用した手動設定を参照してください。citrix-adc GUI の詳細については、「 Web App Firewall 構成インターフェイス」を参照してください。
Citrix ADC コマンドラインインターフェイス
Citrix ADC のコマンドラインインターフェイスは、FreeBSD の bash シェルに基づく修正された UNIX シェルです。コマンドラインインターフェイスから Web App Firewall を設定するには、他の UNIX シェルと同様に、プロンプトでコマンドを入力し、Enter キーを押します。NetScaler コマンドラインを使用して、Web App Firewall ほとんどのパラメータとオプションを構成できます。例外はシグニチャ機能であり、その多くのオプションは GUI または Web App Firewall ウィザードを使用してのみ設定でき、その推奨事項は GUI でのみ確認できる学習機能です。
Citrix ADCコマンドラインを使用してWeb App Firewall を構成する方法については、「 コマンドラインインターフェイスを使用した手動構成」を参照してください。