ADC

Web App Firewall ウィザード

ほとんどのウィザードとは異なり、NetScaler Web App Firewall Wizardは初期構成プロセスを簡略化するだけでなく、以前に作成した構成を変更したり、Web App Firewallの設定を維持したりできるように設計されています。一般的なユーザーは、ウィザードを複数回実行し、毎回一部の画面をスキップします。

Web App Firewall ウィザードは、プロファイル、ポリシー、および署名を自動的に作成します。

ウィザードを開く

Web App Firewall ウィザードを実行するには、GUI を開いて次の手順に従います。

  1. [ セキュリティ ] > [ アプリケーションファイアウォール] に移動します。
  2. 詳細ペインの [ はじめに] で、[ アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。

GUI の詳細については、「 Web App Firewall 設定インターフェイス」を参照してください。

ウィザードの画面

Web App Firewall ウィザードでは、次の画面が表形式で表示されます。

1. 名前を指定: この画面では、新しいセキュリティ設定を作成するときに、わかりやすい名前と適切なタイプ (HTML、XML、または WEB 2.0) をプロファイルに指定します。デフォルトのポリシーと署名は、同じ名前を使用して自動生成されます。

[プロファイル名]

名前は文字、数字、または下線記号で始めることができ、1 ~ 31 文字の数字、およびハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア (_) で構成されます。新しいセキュリティ設定が保護するコンテンツが他のユーザーにわかりやすい名前を付けてください。

注:

ウィザードはポリシーとプロファイルの両方にこの名前を使用するため、31 文字に制限されています。手動で作成したポリシーには、最大 127 文字の名前を付けることができます。

既存の構成を変更する場合は、「既存の構成を変更」を選択し、「名前」ドロップダウンリストで、変更する既存の構成の名前を選択します。

注:

このリストには、グローバルまたはバインドポイントにバインドされているポリシーのみが表示されます。バインドされていないポリシーをアプリケーションファイアウォールウィザードを使用して変更することはできません。グローバルまたはバインドポイントに手動でバインドするか、手動で変更する必要があります。(手動で変更する場合は、GUI で)[ アプリケーションファイアウォール ] > [ ポリシー ] > [ ファイアウォール ] ペインでポリシーを選択し、[ 開く] をクリックします。

プロファイルの種類

また、この画面でプロファイルタイプを選択します。プロファイルタイプによって、設定できる高度な保護 (セキュリティチェック) の種類が決まります。特定の種類のコンテンツは特定の種類のセキュリティ脅威に対して脆弱ではないため、利用可能なチェックのリストを制限することで、設定時の時間を節約できます。Web App Firewall プロファイルの種類は次のとおりです。

  • ウェブアプリケーション (HTML)。XML または Web 2.0 テクノロジーを使用しない HTML ベースの Web サイト。
  • XML アプリケーション (XML、SOAP)。任意の XML ベースの Web サービス。
  • ウェブ 2.0 アプリケーション (HTML、XML、REST)。Atom ベースのサイト、ブログ、RSS フィード、Wiki など、HTML と XML ベースのコンテンツを組み合わせた任意の Web 2.0 サイト。

注: Web サイトで使用されているコンテンツの種類が不明な場合は、Web 2.0 アプリケーションを選択して、あらゆる種類の Web アプリケーションコンテンツを確実に保護できます。

2. ルールを指定: この画面では、現在の構成で検査するトラフィックを定義するポリシールール (式) を指定します。ウェブサイトとウェブサービスを保護するための初期設定を作成する場合、デフォルト値の trueをそのまま使用すると、すべての Web トラフィックが選択されます。

このセキュリティ設定で、アプライアンスを経由するすべての HTTP トラフィックではなく、特定のトラフィックを調べたい場合は、検査するトラフィックを指定するポリシールールを記述できます。ルールは、完全に機能するオブジェクト指向プログラミング言語であるCitrix ADC表現言語で記述されています。

注: デフォルトの式の構文に加えて、下位互換性のために、Citrix ADCオペレーティングシステムは、NetScaler Classic、nCoreアプライアンスと仮想アプライアンスでのCitrix ADCクラシック式構文をサポートしています。クラシック式は、NetScaler Clusterアプライアンスおよび仮想アプライアンスではサポートされていません。既存の構成をCitrix ADCクラスターに移行する現在のユーザーは、従来の式を含むポリシーをデフォルトの式の構文に移行する必要があります。

  • Citrix ADC式の構文を使用してWeb App Firewallルールを作成する簡単な説明と便利なルールのリストについては、「 ファイアウォールポリシー」を参照してください。
  • Citrix ADC式の構文でポリシールールを作成する方法の詳細については、「 ポリシーと式」を参照してください。

4. 署名の選択:この画面では、ウェブサイトやウェブサービスを保護するために使用する署名のカテゴリを選択します。

これは必須の手順ではありません。必要であればスキップして、「 ディーププロテクションの指定 」画面に移動してください。Select Signatures 画面をスキップすると、プロファイルと関連するポリシーのみが作成され、署名は作成されません。

[ 新しい署名を作成] または [既存の署名を選択] を選択できます

新しいセキュリティ設定を作成する場合、選択したシグニチャカテゴリは有効になり、デフォルトでは新しいシグニチャオブジェクトに記録されます。新しいシグネチャオブジェクトには、セキュリティ設定の名前として [名前の指定] 画面で入力したのと同じ名前が割り当てられます。

以前にシグニチャオブジェクトを設定していて、そのうちの 1 つを、作成中のセキュリティ設定に関連するシグニチャオブジェクトとして使用する場合は、「 Select Existing Signature 」をクリックし、「Signature」リストからシグニチャオブジェクトを選択します。

既存のセキュリティ設定を変更する場合は、「既存の署名を選択」をクリックして、セキュリティ設定に別の署名オブジェクトを割り当てることができます。

「新しい署名を作成」をクリックすると、編集モードを「 シンプル 」または「 アドバンス」として選択できます。

  1. 署名保護の指定 (簡易モード)

シンプルモードでは、IIS(インターネットインフォメーションサーバー)、PHP、ActiveXなどの一般的なアプリケーションの保護定義のプリセットリストを使用して、署名を簡単に設定できます。Simple モードのデフォルトカテゴリは以下のとおりです。

  • CGI。PERL スクリプト、Unix シェルスクリプト、Python スクリプトなど、あらゆる言語の CGI スクリプトを使用する Web サイトへの攻撃に対する保護。

  • Cold Fusion。アドビシステムズ® ColdFusion® Web 開発プラットフォームを使用する Web サイトへの攻撃からの保護。

  • 表紙。Microsoft® FrontPage® Web 開発プラットフォームを使用する Web サイトへの攻撃に対する保護。

  • PHP。PHP オープンソースの Web 開発スクリプト言語を使用する Web サイトへの攻撃からの保護。

  • クライアント側。Microsoft Internet Explorer、Mozilla Firefox、Opera ブラウザ、Adobe Acrobat Reader など、保護されている Web サイトへのアクセスに使用されるクライアントサイドツールへの攻撃からの保護。

  • Microsoft IIS。Microsoft インターネットインフォメーションサーバー (IIS) を実行する Web サイトへの攻撃からの保護

  • その他。Web サーバーやデータベースサーバーなど、他のサーバー側ツールへの攻撃に対する保護。

この画面では、「署名の選択」画面で選択した署名カテゴリに関連するアクションを選択します。設定できるアクションは以下のとおりです。

  • ブロック
  • ログ
  • 統計情報

デフォルトでは、ログアクションと統計アクションは有効になっていますが、ブロックアクションは有効になっていません。アクションを設定するには、[ 設定] をクリックします。アクションドロップダウンリストを使用して、 選択したすべてのカテゴリのアクション設定を変更できます

  1. 署名保護の指定 (詳細モード)

アドバンスモードでは、シグネチャ定義をより細かく制御でき、より多くの情報が得られます。シグニチャ定義を完全に制御する場合は、詳細モードを使用します。

この画面の内容は、「 シグニチャオブジェクトの構成または変更」で説明されている「シグニチャオブジェクトの変更」(Modify Signatures Object)ダイアログボックスの内容と同じです。この画面では、[ アクション] ドロップダウンリストまたは3つのドットが付いた円として表示されるアクションメニューをクリックして、アクションを構成できます。

7. ディーププロテクションの指定: この画面では、ウェブサイトやウェブサービスの保護に使用する高度な保護 (セキュリティチェックまたは単にチェックとも呼ばれます) を選択します。選択できるチェックは、「名前の指定」画面で選択したプロファイルタイプによって異なります。Web 2.0 アプリケーションプロファイルでは、すべてのチェックを使用できます。

詳細については、「 セキュリティチェックの概要」および「 高度なフォーム保護チェック」を参照してください。

有効化した高度な保護のアクションを設定します。設定できるアクションは次のとおりです。

  • ブロック:署名と一致する接続をブロックします。デフォルトでは、無効になっています。
  • ログ:後で分析できるように、署名と一致する接続を記録します。デフォルトで有効。
  • 統計情報:シグネチャごとに、一致した接続の数を示す統計情報を保持し、ブロックされた接続の種類に関するその他の特定の情報を提供します。デフォルトでは、無効になっています。
  • 学ぶ。このウェブサイトまたはウェブサービスへのトラフィックを観察し、このチェックに繰り返し違反する接続を使用して、チェックの推奨例外やチェックの新しいルールを生成してください。一部のチェックでのみ使用できます。学習機能の詳細については、 学習機能の構成と使用、および学習のしくみ、例外(緩和)を設定する方法、またはチェックの学習ルールを展開する方法については、 GUI を使用した手動設定を参照してください

アクションを構成するには、チェックボックスをクリックして保護を選択し、[アクションの設定] をクリックして必要なアクションを選択します。必要に応じて他のパラメータを選択し、[OK] をクリックして [アクションの設定] ウィンドウを閉じます。

特定のチェックのすべてのログを表示するには、そのチェックを選択し、[ ログ ] をクリックして、[ Web App Firewall ログ] の説明に従って Syslog Viewer を表示します。セキュリティチェックが保護されたWebサイトまたはWebサービスへの正当なアクセスをブロックしている場合は、不要なブロックを示すログを選択し、[ 展開]をクリックして、そのセキュリティチェックの緩和を作成および実装できます。

アクション設定の指定が完了したら、[ 完了 ] をクリックしてウィザードを完了します。

Web App Firewall ウィザードを使用して特定の種類の構成を実行する方法を示す 4 つの手順を次に示します。

新しい構成を作成する

次の手順に従って、アプリケーションファイアウォールウィザードを使用して新しいファイアウォール設定と署名オブジェクトを作成します。

  1. [ セキュリティ ] > [ アプリケーションファイアウォール] に移動します。

  2. 詳細ペインの [ はじめに] で、[ **アプリケーションファイアウォール] をクリックします。ウィザードが開きます。

    wizard

  3. 名前の指定 」画面で、「 **新規構成の作成」を選択します。

  4. 名前」フィールドに名前を入力して 、「 次へ」をクリックします。

  5. ルールを指定 」画面で、もう一度「 次へ 」をクリックします。

  6. 「署名の選択」 画面で、編集モードとして「 **新しい署名と簡易署名の作成** 」を選択し、「 次へ」をクリックします。

  7. [署名保護の指定] 画面で、必要な設定を構成します。 どのシグニチャをブロックすべきか、またシグネチャのブロックを安全に有効化できるタイミングを判断する方法の詳細については、「シグネチャ」を参照してください。

  8. [ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。

  9. 完了したら、[ 完了 ] をクリックしてアプリケーションファイアウォールウィザードを閉じます。

既存の構成を変更

既存の設定と既存のシグニチャカテゴリを変更するには、次の手順に従います。

  1. [ セキュリティ ] > [ アプリケーションファイアウォール] に移動します。
  2. 詳細ペインの [ はじめに] で、[ アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。
  3. 名前の指定 」画面で「既存の構成を変更」を選択し、「 名前 」ドロップダウンリストで、新しい構成で作成したセキュリティ構成を選択して、「 次へ」をクリックします。
  4. [ルールの指定] 画面で、[次へ] をクリックしてデフォルト値「true」のままにします。ルールを変更する場合は、「 カスタムポリシー式を設定する」で説明されている手順に従います。
  5. [署名の選択] 画面で、[既存の署名の選択] をクリックします。「 既存の署名 」ドロップダウンリストから適切なオプションを選択し、「 次へ」をクリックします。「高度な署名保護」画面が表示されます。 注: 既存の署名を選択した場合、「署名保護」のデフォルトの編集モードは「詳細」です。
  6. [署名保護の指定] 画面で必要な設定を行い、[次へ] をクリックします。 どのシグニチャをブロックすべきか、またシグネチャのブロックを安全に有効化できるタイミングを判断する方法の詳細については、「シグネチャ」を参照してください。
  7. [ディープ保護の指定] 画面で設定を構成し、[次へ] をクリックします。
  8. 完了したら、[ 完了 ] をクリックして Web App Firewall ウィザードを閉じます

署名なしで新しい設定を作成する

次の手順に従って、アプリケーションファイアウォールウィザードを使用して [署名の選択] 画面をスキップし、プロファイルと関連するポリシーのみを使用して署名なしで新しい構成を作成します。

  1. [ セキュリティ ] > [ アプリケーションファイアウォール] に移動します。
  2. 詳細ペインの [ はじめに] で、[ アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。
  3. 名前の指定 」画面で、「 新規構成の作成」を選択します。
  4. 名前」フィールドに名前を入力して 、「 次へ」をクリックします。
  5. ルールを指定 」画面で、もう一度「 次へ」をクリックします。
  6. 「署名の選択」 画面で、「 スキップ」をクリックします。
  7. [ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。
  8. 完了したら、[ 完了 ] をクリックしてアプリケーションファイアウォールウィザードを閉じます。

カスタムポリシー表現の設定

次の手順に従って、アプリケーションファイアウォールウィザードを使用して、特定のコンテンツのみを保護する特別なセキュリティ構成を作成します。この場合は、初期設定を変更する代わりに新しいセキュリティ設定を作成します。このタイプのセキュリティ設定にはカスタムルールが必要です。これにより、ポリシーは、選択した Web トラフィックにのみ設定を適用します。

  1. [ セキュリティ ] > [ アプリケーションファイアウォール] に移動します。
  2. 詳細ペインの [ はじめに] で、[ アプリケーションファイアウォールウィザード] をクリックします。
  3. 「名前の指定」画面で、「名前」テキストボックスに新しいセキュリティ構成の名前を入力し、「タイプ」ドロップダウンリストからセキュリティ構成の種類を選択して、「 次へ」をクリックします。
  4. ルールを指定 」画面で、この Web アプリケーションに保護させたいコンテンツのみに一致するルールを入力します。 **よく使うエクスプレッションドロップダウンリストとエクスプレッションエディタを使用して** 、カスタムエクスプレッションを作成します。完了したら、[ 次へ] をクリックします。
  5. 「署名の選択」 画面で編集モードを選択し、「 次へ」をクリックします。
  6. [署名保護の指定] 画面で、必要な設定を構成します。
  7. [ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。
  8. 完了したら、[ 完了 ] をクリックしてアプリケーションファイアウォールウィザードを閉じます
Web App Firewall ウィザード