Web App Firewall ウィザード
ほとんどのウィザードとは異なり、Citrix Web App Firewall Wizardは、初期構成プロセスを簡素化するだけでなく、以前に作成した構成を変更し、Web AppFirewallのセットアップを維持するように設計されています。一般的なユーザーは、ウィザードを複数回実行し、毎回一部の画面をスキップします。
Web App Firewall ウィザードは、プロファイル、ポリシー、および署名を自動的に作成します。
ウィザードを開く
Web App Firewall ウィザードを実行するには、GUI を開き、次の手順を実行します。
- Security > Application Firewallに移動します。
- 詳細ウィンドウの [は じめに] で、[アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。
GUI の詳細については、「Web App Firewall 設定インターフェイス」を参照してください。
ウィザードの画面
Web App Firewall ウィザードでは、表形式のページに次の画面が表示されます。
1. [名前の指定]: この画面で、新しいセキュリティ構成を作成するときに、プロファイルの意味のある名前と適切なタイプ (HTML、XML、または WEB 2.0) を指定します。デフォルトのポリシーとシグニチャは、同じ名前を使用して自動生成されます。
プロファイル名
名前は、文字、数字、またはアンダースコア記号で始まり、1 ~ 31 の文字、数字、ハイフン (-)、ピリオド (.)、ポンド (#)、スペース ()、アットマーク (@)、等号 (=)、コロン (:)、およびアンダースコア (_) の記号で構成されます。新しいセキュリティ構成で保護されているコンテンツを他のユーザーが簡単に識別できるようにする名前を選択します。
注:
ウィザードでは、ポリシーとプロファイルの両方にこの名前が使用されるため、最大文字数は 31 文字です。手動で作成されたポリシーの名前は、最大 127 文字です。
既存の構成を変更する場合は、[既存の構成の変更] を選択し、[名前] ドロップダウンリストで、変更する既存の構成の名前を選択します。
注:
この一覧には、グローバルまたはバインドポイントにバインドされているポリシーのみが表示されます。アプリケーションファイアウォールウィザードを使用してバインドされていないポリシーを変更することはできません。手動でグローバルまたはバインドポイントにバインドするか、手動で変更する必要があります。(手動で変更する場合は、GUIで) アプリケーションファイアウォール > ポリシー > [ファイアウォール] ペインで、ポリシーを選択し、[開く]をクリックします。
プロファイルの種類
また、この画面でプロファイルの種類を選択します。プロファイルタイプによって、設定可能な高度な保護 (セキュリティチェック) のタイプが決まります。特定の種類のコンテンツは、特定の種類のセキュリティ脅威に対して脆弱ではないため、使用可能なチェックのリストを制限することで、構成中の時間を節約できます。Web App Firewall プロファイルの種類は次のとおりです。
- Web アプリケーション (HTML)。XMLまたはWeb2.0テクノロジーを使用しないHTMLベースのWebサイト。
- XML アプリケーション (XML、SOAP)。任意の XML ベースの Web サービス。
- ウェブ2.0アプリケーション(HTML、XML、REST)。ATOM ベースのサイト、ブログ、RSS フィード、Wiki など、HTML および XML ベースのコンテンツを組み合わせた任意の Web 2.0 サイト。
注: Web サイトで使用されているコンテンツの種類が不明な場合は、[Web 2.0 アプリケーション] を選択して、すべての種類の Web アプリケーションコンテンツを保護できます。
2. [Specify Rule]:この画面で、現在の設定が検査するトラフィックを定義するポリシールール(式)を指定します。Web サイトおよび Web サービスを保護するための初期設定を作成する場合は、デフォルト値の trueを受け入れることができます。これにより、すべての Web トラフィックが選択されます。
このセキュリティ設定で、アプライアンスを介してルーティングされるすべての HTTP トラフィックではなく、特定のトラフィックを調べる場合は、調べるトラフィックを指定するポリシールールを記述できます。ルールは、完全に機能するオブジェクト指向プログラミング言語であるCitrix ADC式言語で記述されています。
注: デフォルトの式構文に加えて、下位互換性を保つため、Citrix ADCオペレーティングシステムでは、Citrix ADC ClassicアプライアンスとnCore eアプライアンスと仮想アプライアンスでは、Citrix ADCクラシック式構文がサポートされています。従来の式は、Citrix ADCクラスタアプライアンスおよび仮想アプライアンスではサポートされません。既存の構成をCitrix ADCクラスターに移行する現在のユーザーは、従来の式を含むポリシーをデフォルトの式の構文に移行する必要があります。
- Citrix ADC式の構文を使用してWeb App Firewall ルールを作成する方法の簡単な説明と便利なルールのリストについては、「ファイアウォールポリシー」を参照してください。
- Citrix ADC式の構文でポリシールールを作成する方法の詳細については、「ポリシーと式」を参照してください。
4. 署名を選択: この画面で、WebサイトおよびWebサービスを保護するために使用する署名のカテゴリーを選択します。
これは必須の手順ではありません。必要に応じて、 [ディープ保護の指定] 画面に移動できます。[Select Signatures] 画面をスキップすると、プロファイルと関連付けられたポリシーのみが作成され、署名は作成されません。
[新しい署名の作成] または [既存の署名の選択] を選択できます。
新しいセキュリティ設定を作成する場合、選択したシグニチャカテゴリは有効になり、デフォルトでは新しいシグニチャオブジェクトに記録されます。新しいシグニチャオブジェクトには、[名前の指定] 画面で入力した名前と同じ名前が割り当てられます。
シグニチャオブジェクトを設定済みで、作成中のセキュリティ設定に関連付けられたシグニチャオブジェクトとして使用する場合は、[Select Existing Signature] をクリックし、[Signatures] リストからシグニチャオブジェクトを選択します。
既存のセキュリティ設定を変更する場合は、[Select Existing Signature] をクリックして、別のシグニチャオブジェクトをセキュリティ設定に割り当てることができます。
[新しい署名の作成] をクリックすると、編集モードとして [簡易] または [詳細] を選択できます。
- 署名保護の指定(簡易モード)
シンプルモードでは、IIS(インターネットインフォメーションサーバー)、PHP、ActiveXなどの一般的なアプリケーションの保護定義のプリセットリストを使用して、署名を簡単に構成できます。シンプルモードのデフォルトのカテゴリは次のとおりです。
-
CGI。PERLスクリプト、Unixシェルスクリプト、Pythonスクリプトなど、任意の言語のCGIスクリプトを使用するWebサイトへの攻撃に対する保護。
-
Cold Fusion. AdobeSystems®ColdFusion®Web開発プラットフォームを使用するWebサイトへの攻撃に対する保護。
-
FrontPage. Microsoft®FrontPage®Web開発プラットフォームを使用するWebサイトへの攻撃に対する保護。
-
PHP. PHPオープンソースのWeb開発スクリプト言語を使用するWebサイトへの攻撃に対する保護。
-
クライアント側。Microsoft Internet Explorer、Mozilla Firefox、Operaブラウザ、Adobe AcrobatReaderなどの保護されたWebサイトへのアクセスに使用されるクライアント側ツールへの攻撃に対する保護。
-
Microsoftの IIS です。Microsoft Internet Information Server(IIS)を実行しているWebサイトへの攻撃に対する保護
-
[その他]。Web サーバーやデータベースサーバーなど、他のサーバー側ツールに対する攻撃に対する保護。
この画面では、[署名の選択] 画面で選択した署名カテゴリに関連付けられたアクションを選択します。設定できるアクションは次のとおりです。
- ブロック
- Log
- Stats
デフォルトでは、[Log] アクションと [Stats] アクションは有効ですが、[Block] アクションは無効です。アクションを構成するには、[設定] をクリックします。[アクション] ドロップダウンリストを使用して、選択したすべてのカテゴリのアクション設定を変更できます。
- 署名保護の指定(詳細モード)
詳細モードでは、シグニチャ定義をより細かく制御でき、さらに多くの情報を提供します。シグニチャ定義を完全に制御する場合は、詳細モードを使用します。
この画面の内容は、シグニチャオブジェクトの設定または変更の説明に従って [署名オブジェクトの修正] ダイアログボックスの内容と同じです。この画面では、[アクション] ドロップダウンリストまたは3つのドットが付いた円として表示されるアクションメニューをクリックして、アクションを構成できます。
7. 深い保護の指定: この画面で、WebサイトおよびWebサービスを保護するために使用する高度な保護(セキュリティチェックまたは単にチェックとも呼ばれます)を選択します。使用できるチェックは、[名前の指定] 画面で選択したプロファイルタイプによって異なります。Web 2.0 アプリケーションプロファイルでは、すべてのチェックを使用できます。
詳細については、セキュリティー検査の概要およびフォーム保護の詳細チェックを参照してください。
有効化した高度な保護のアクションを設定します。設定できるアクションは次のとおりです。
- Block: 署名に一致する接続をブロックします。デフォルトでは、無効になっています。
- Log: 後で分析できるように、シグニチャと一致する接続をログに記録します。デフォルトで有効。
- Stats: シグニチャごとに、一致した接続数を示す統計情報を保持し、ブロックされた接続のタイプに関するその他の情報を提供します。デフォルトでは、無効になっています。
- 学べます。この Web サイトまたは Web サービスへのトラフィックを観察し、このチェックに繰り返し違反する接続を使用して、チェックに推奨される例外またはチェックの新しいルールを生成します。一部のチェックでのみ使用できます。学習機能の詳細については、「学習機能の設定と使用」を参照し、学習機能の仕組み、例外 (緩和) の設定方法、または学習した規則をチェック用に展開する方法については、「GUI を使用した手動設定」を参照してください。
アクションを構成するには、チェックボックスをクリックして保護を選択し、[アクションの設定] をクリックして必要なアクションを選択します。必要に応じて他のパラメータを選択し、[OK] をクリックして [アクションの設定] ウィンドウを閉じます。
特定のチェックのすべてのログを表示するには、そのチェックを選択し、[Logs] をクリックして Syslog Viewer を表示します(Web App Firewall ログを参照)。セキュリティチェックが保護されたWebサイトまたはWebサービスへの正当なアクセスをブロックしている場合は、不要なブロックを示すログを選択し、[展開]をクリックして、そのセキュリティチェックの緩和を作成および実装できます。
アクション設定の指定が完了したら、[完了] をクリックしてウィザードを完了します。
次に、Web App Firewall ウィザードを使用して特定の種類の構成を実行する方法を示す 4 つの手順を示します。
新しい構成を作成する
Applicaiton Firewall ウィザードを使用して、新しいファイアウォール設定とシグニチャオブジェクトを作成する手順は、次のとおりです。
-
Security > Application Firewallに移動します。
-
詳細ペインの [はじめに] で、**[アプリケーションファイアウォール] をクリックします。ウィザードが開きます。
-
[名前の指定] 画面で、[新しい設定 **を作成] を選択します。
-
[名前] フィールドに名前を入力し、[次へ] をクリックします。
-
[ルールの指定] 画面で、もう一度 [次へ] をクリックします。
-
[署名の選択] 画面で、編集モードとして [新しい署名 と 簡易] を選択し、[次へ] をクリックします。
-
[署名保護の指定] 画面で、必要な設定を構成します。ブロッキングで考慮すべきシグニチャと、シグニチャのブロッキングを安全に有効にできるタイミングを決定する方法については、「署名」を参照してください。
-
[ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。
-
完了したら、[完了] をクリックしてアプリケーションファイアウォールウィザードを閉じます。
既存の構成を変更する
既存の設定および既存のシグニチャカテゴリを変更する手順は、次のとおりです。
- Security > Application Firewallに移動します。
- 詳細ウィンドウの [は じめに] で、[アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。
- [名前の指定] 画面で [既存の構成の変更] を選択し、[名前] ボックスの一覧で新しい構成中に作成したセキュリティ構成を選択し、[次へ] をクリックします。
- [ルールの指定] 画面で、[次へ] をクリックしてデフォルト値「true」のままにします。規則を変更する場合は、カスタムポリシーエクスプレッションの設定で説明されている手順に従います。
- [署名の選択] 画面で、[既存の署名の選択] をクリックします。[既存の署名] ドロップダウンリストから適切なオプションを選択し、[次へ]をクリックします。署名保護の詳細画面が表示されます。 注: 既存の署名を選択した場合、署名保護のデフォルトの編集モードは拡張されます。
- [署名保護の指定] 画面で必要な設定を行い、[次へ] をクリックします。ブロッキングの対象となるシグニチャ、およびシグニチャのブロッキングを安全に有効にできるタイミングを決定する方法の詳細については、 署名を参照してください。
- [ディープ保護の指定] 画面で設定を構成し、[次へ] をクリックします。
- 完了したら、[完了] をクリックして Web App Firewall ウィザード を閉じます。
署名なしで新しい設定を作成する
[Application Firewall Wizard] を使用して [Select Signatures] 画面をスキップし、プロファイルおよび関連付けられたポリシーだけを含み、シグニチャは含まない新しい設定を作成する手順は、次のとおりです。
- Security > Application Firewallに移動します。
- 詳細ウィンドウの [は じめに] で、[アプリケーションファイアウォールウィザード] をクリックします。ウィザードが開きます。
- [名前 の指定]画面で、[新しい構成の作成]を選択します。
- [名前] フィールドに名前を入力し、[次へ] をクリックします。
- 指定規則画面 で、再び ネックスtをクリックしてください。
- [署名 の選択]画面で、[スキップ]をクリックします。
- [ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。
- 完了したら、[完了] をクリックして、アプリケーションファイアウォールウィザードを閉じます。
カスタムポリシー式を設定する
アプリケーションファイアウォールウィザードを使用して、特定のコンテンツのみを保護する特殊なセキュリティ構成を作成するには、次の手順に従います。この場合、初期構成を変更するのではなく、新しいセキュリティ構成を作成します。この種類のセキュリティ構成にはカスタム規則が必要です。そのため、ポリシーでは、選択した Web トラフィックにのみ構成が適用されます。
- Security > Application Firewallに移動します。
- 詳細ウィンドウの [は じめに] で、[アプリケーションファイアウォールウィザード] をクリックします。
- [名前の指定] 画面の [名前] ボックスに新しいセキュリティ構成の名前を入力し、[種類] ボックスの一覧からセキュリティ構成の種類を選択して、[次へ] をクリックします。
- [規則の指定] 画面で、この Web アプリケーションで保護するコンテンツのみに一致する規則を入力します。[頻繁に使用するエクスプレッション] ドロップダウンリストと [エクスプレッションエディタ] を使用して、カスタムエクスプレッションを作成します。完了したら、[次へ] をクリックします。
- [署名の選択] 画面で編集モードを選択し、[次へ] をクリックします。
- [署名保護の指定] 画面で、必要な設定を構成します。
- [ディープ保護の指定] 画面で、[アクション 設定] で必要なアクションとパラメータを設定します。
- 完了 したら、[完了]をクリックして アプリケーションファイアウォールウィザードを閉じます。