ADC

Web App Firewall 構成

NetScaler Webアプリファイアウォール(Web App Firewall)は、次のいずれかの方法を使用して構成できます。

  • Web App Firewall ウィザード。設定プロセスを順を追って説明する一連の画面で構成されるダイアログボックス。
  • NetScaler WebインターフェイスAppExpert テンプレートWebサイトを適切に保護するように設計されたAppExpertテンプレート(構成設定のセット)。この AppExpert テンプレートには、多くの Web サイトを保護するための適切な Web App Firewall 構成設定が含まれています。
  • NetScaler GUI。Web ベースの設定インターフェイス。
  • NetScaler コマンドラインインターフェイス。コマンドライン設定インターフェイス。

Citrix では、Web App Firewall ウィザードを使用することをお勧めします。ほとんどのユーザーは、これがWeb App Firewallを構成する最も簡単な方法であり、間違いを防ぐように設計されています。主にWebサイトの保護に使用する新しいNetScalerまたはVPXがある場合は、Web App Firewallだけでなくアプライアンス全体に適したデフォルト構成を提供するため、Web Interface AppExpertテンプレートの方が適している場合があります。GUIとコマンド・ライン・インタフェースはいずれも、経験豊かなユーザーを対象としています。主に、既存の構成を変更したり、詳細オプションを使用したりします。

Web App Firewall ウィザード

Web App Firewall ウィザードは、簡単な構成の各部分を設定するように求める複数の画面で構成されるダイアログボックスです。次に、Web App Firewall は、提供された情報から適切な構成要素を作成します。これは、Web App Firewall を設定する最も単純で、ほとんどの目的に最適な方法です。

ウィザードを使用するには、任意のブラウザで GUI に接続します。接続が確立されたら、Web App Firewall が有効になっていることを確認し、Web App Firewall ウィザードを実行して、構成情報の入力を求めます。ウィザードを初めて使用するときに、要求された情報をすべて入力する必要はありません。代わりに、デフォルト設定をそのまま使用し、比較的簡単な構成タスクをいくつか実行して重要な機能を有効にしてから、Web App Firewall が構成を完了するのに役立つ重要な情報を収集できるようにすることができます。

たとえば、処理するトラフィックを選択するルールを指定するようにウィザードから求められたら、デフォルトをそのまま使用してすべてのトラフィックを選択できます。シグニチャのリストが表示されたら、シグニチャの適切なカテゴリを有効にして、それらのシグニチャの統計情報の収集を有効にできます。この初期設定では、高度な保護 (セキュリティチェック) をスキップできます。ウィザードは、適切なポリシー、シグニチャオブジェクト、およびプロファイル (まとめてセキュリティ設定) を自動的に作成し、ポリシーをグローバルにバインドします。次に、Web App Firewall は、保護された Web サイトへの接続のフィルタリングを開始し、有効にした 1 つ以上のシグニチャと一致する接続をログに記録し、各シグニチャが一致する接続に関する統計を収集します。Web App Firewall が一部のトラフィックを処理したら、ウィザードを再度実行してログと統計を調べて、有効にしたシグニチャのいずれかが正当なトラフィックと一致するかどうかを確認できます。ブロックするトラフィックを識別しているシグニチャを特定したら、それらのシグニチャのブロックを有効にできます。ウェブサイトやウェブサービスが複雑でなく、SQL を使用せず、機密性の高い個人情報にアクセスできない場合は、この基本的なセキュリティ設定で十分な保護が得られるでしょう。

たとえば、ウェブサイトが動的な場合は、追加の保護が必要になる場合があります。スクリプトを使用するコンテンツには、クロスサイトスクリプティング攻撃に対する保護が必要な場合があります。ショッピングカート、多くのブログ、ほとんどのコンテンツ管理システムなど、SQL を使用する Web コンテンツには、SQL インジェクション攻撃に対する保護が必要な場合があります。社会保障番号やクレジットカード番号などの機密個人情報を収集するウェブサイトやウェブサービスでは、その情報が意図せずに漏洩するのを防ぐ必要がある場合があります。特定の種類の Web サーバーまたは XML サーバーソフトウェアには、そのソフトウェアに合わせた種類の攻撃からの保護が必要な場合があります。もう 1 つの考慮事項として、Web サイトまたは Web サービスの特定の要素には、他の要素とは異なる保護が必要になることがあります。Web App Firewall のログと統計を調べると、必要になる可能性のある追加の保護策を特定するのに役立ちます。

Web サイトと Web サービスに必要な高度な保護を決定したら、ウィザードを再度実行してそれらの保護を設定できます。特定のセキュリティチェックでは、チェックによって正当なトラフィックがブロックされないように、例外 (緩和) を入力する必要があります。手動で行うこともできますが、通常はアダプティブラーニング機能を有効にして、必要な緩和を推奨するほうが簡単です。ウィザードは必要なだけ何度でも使用して、基本的なセキュリティ構成を強化したり、追加のセキュリティ構成を作成したりできます。

このウィザードは、ウィザードを使用しなかった場合に手動で実行する必要のある一部のタスクを自動化します。ポリシー、シグニチャオブジェクト、プロファイルが自動的に作成され、設定名の入力を求められたときに指定した名前が割り当てられます。また、ウィザードは詳細な保護設定をプロファイルに追加し、シグニチャオブジェクトをプロファイルにバインドし、プロファイルをポリシーに関連付け、ポリシーをグローバルにバインドして有効にします。

ウィザードでは実行できないタスクがいくつかあります。ウィザードを使用してポリシーをグローバル以外のバインドポイントにバインドすることはできません。プロファイルを構成の特定の部分のみに適用する場合は、バインディングを手動で設定する必要があります。ウィザードでは、エンジン設定やその他の特定のグローバル設定オプションを設定することはできません。ウィザードでは保護の詳細設定を構成できますが、1 回のセキュリティチェックで特定の設定を変更する場合は、GUI の手動構成画面で変更する方が簡単です。

Web App Firewall ウィザードの使用方法の詳細については、「 Web App Firewall ウィザード」を参照してください。

Citrix WebインターフェイスAppExpert テンプレート

AppExpert テンプレートは、複雑なエンタープライズアプリケーションを構成および管理するための、これまでとは異なるシンプルなアプローチです。GUI の AppExpert ディスプレイはテーブルで構成されています。アプリケーションは左端の列に表示され、そのアプリケーションに適用できるNetScaler機能がそれぞれ右側の列に表示されます。(AppExpert インターフェイスでは、 アプリケーションに関連する機能をアプリケーションユニットと呼びます)。AppExpert インターフェイスでは、各機能を個別に設定しなくても、アプリケーションごとに対象トラフィックを設定し、圧縮、キャッシュ、書き換え、フィルタリング、レスポンダー、Web App Firewall のルールを有効にします。

Web インターフェイス AppExpert テンプレートには、次の Web App Firewall シグネチャとセキュリティチェックのルールが含まれています。

AppExpert テンプレートのインストールと使用の詳細については、 AppExpert アプリケーションとテンプレートを参照してください

GUI

GUI は Web ベースのインターフェイスで、Web App Firewall 機能のすべての設定オプションにアクセスできます。これには、他の設定ツールやインターフェイスでは利用できない高度な設定や管理オプションも含まれます。具体的には、多くの高度な署名オプションはGUIでのみ設定できます。学習機能によって生成された推奨事項は GUI でのみ確認できます。GUIでのみグローバル以外のバインドポイントにポリシーをバインドできます。

GUI の説明については、「 Web App Firewall 構成インターフェイス」を参照してください。GUI を使用して Web App Firewall を構成する方法の詳細については、 GUI を使用した手動設定を参照してください

GUI を使用して Web App Firewall を設定する手順については、GUI を使用した手動設定を参照してください。citrix-adc GUI の詳細については、「 Web App Firewall 構成インターフェイス」を参照してください。

NetScaler コマンドラインインターフェイス

NetScalerコマンドラインインターフェイスは、FreeBSD bashシェルをベースにした修正されたUNIXシェルです。コマンドラインインターフェイスから Web App Firewall を設定するには、他の Unix シェルと同様に、プロンプトでコマンドを入力して Enter キーを押します。Web App Firewallのほとんどのパラメーターとオプションは、NetScalerコマンドラインを使用して構成できます。例外はシグニチャ機能であり、その多くのオプションは GUI または Web App Firewall ウィザードを使用してのみ設定でき、その推奨事項は GUI でのみ確認できる学習機能です。

Citrix ADCコマンドラインを使用してWeb App Firewall を構成する方法については、「 コマンドラインインターフェイスを使用した手動構成」を参照してください。

Web App Firewall 構成