Citrix ADC

よくある質問と導入ガイド

Q:Citrix Web App Firewall がアプリケーションのセキュリティ保護に適した選択肢であるのはなぜですか?

次の機能により、Citrix Web App Firewall は包括的なセキュリティソリューションを提供します。

  • ハイブリッドセキュリティモデル: Citrix ADCハイブリッドセキュリティモデルを使用すると、ポジティブセキュリティモデルとネガティブセキュリティモデルの両方を活用して、アプリケーションに最適な構成を作成できます。
    • ポジティブなセキュリティモデルは 、バッファオーバーフロー、CGI-BIN パラメータ操作、フォーム/隠しフィールドの操作、強制的なブラウジング、クッキーまたはセッションポイズニング、壊れたACL、クロスサイトスクリプティング(クロスサイトスクリプティング)、コマンドインジェクション、SQL インジェクション、エラートリガーセンシティブから保護します情報漏洩、暗号化の安全でない使用、サーバーの設定ミス、バックドアとデバッグオプション、レートベースのポリシー適用、よく知られているプラットフォームの脆弱性、ゼロデイエクスプロイト、クロスサイトリクエストフォージェリ(CSRF)、クレジットカードおよびその他の機密データの漏洩。
    • ネガティブセキュリティモデルは 、リッチセットシグニチャを使用して、L7 および HTTP アプリケーションの脆弱性から保護します。Web App Firewall は、Cenzic、Qualys、Whitehat、および IBM が提供するいくつかのサードパーティ製スキャンツールと統合されています。組み込みの XSLT ファイルにより、ルールを簡単にインポートできます。これは、ネイティブ形式の Snort ベースのルールと組み合わせて使用できます。自動更新機能は、新しい脆弱性の最新の更新プログラムを取得します。

ポジティブ・セキュリティ・モデルは、誰がどのデータにアクセスできるかを完全に制御するオプションを提供するため、セキュリティに対する高いニーズを持つアプリケーションを保護するための好ましい選択肢となる場合があります。あなたが望むものだけを許可し、残りはブロックします。 このモデルには組み込みのセキュリティチェック構成が含まれており、数回のクリックで展開できます。 ただし、セキュリティが厳しくなるほど、処理のオーバーヘッドが大きくなることに注意してください。

カスタマイズしたアプリケーションには、ネガティブセキュリティモデルが適している場合があります。シグニチャを使用すると、複数の条件を組み合わせることができ、一致と指定されたアクションは、すべての条件が満たされた場合にのみトリガーされます。 望まないものだけブロックしてあとは許可する。特定の高速一致パターンを指定の場所に配置すると、処理オーバーヘッドを大幅に削減してパフォーマンスを最適化できます。アプリケーションの特定のセキュリティニーズに基づいて独自のシグニチャルールを追加するオプションにより、独自のカスタムセキュリティソリューションを柔軟に設計できます。

  • リクエストとレスポンス側の検出と保護: 受信したリクエストを検査して疑わしい動作を検出し、適切なアクションを実行できます。また、レスポンスをチェックして、機密データの漏洩を検出して保護できます。
  • HTML、XML、JSON ペイロードの豊富な組み込み保護セット: Web App Firewall は 19 種類のセキュリティチェックを提供します。そのうちの 6 つ (開始 URL や URL の拒否など) は、HTML データと XML データの両方に適用されます。5 つのチェック (フィールドの一貫性とフィールド形式など) は HTML に固有で、8 つ (XML 形式と Web サービスの相互運用性など) は XML ペイロードに固有です。この機能には、豊富なアクションとオプションが含まれています。たとえば、URL クロージャを使用すると、Webサイト内のナビゲーションを制御および最適化して、正当なURLをすべて許可する緩和ルールを設定することなく、強制的なブラウジングから保護できます。応答では、クレジットカード番号などの機密データを削除するか、または除外するかを選択できます。SOAP アレイ攻撃保護、XML サービス拒否 (XDoS)、WSDL スキャン防止、添付ファイルチェック、その他の任意の XML 攻撃のいずれであっても、アプリケーションが Web App Firewall によって保護されている場合、データを保護する鉄製のシールドがあるという安心感があります。シグニチャを使用すると、XPath-Expressions を使用してルールを設定して、JSON ペイロードのヘッダーだけでなく、本文の違反を検出できます。
  • GWT: SQL、クロスサイトスクリプティング、フォームフィールドの一貫性チェック違反から保護するための Google Web Toolkit アプリケーションの保護をサポートします。
  • Javaを使用せずに、ユーザーフレンドリーなグラフィカルユーザーインターフェイス (GUI): 直感的なGUIと事前設定されたセキュリティチェックにより、いくつかのボタンをクリックするだけでセキュリティを簡単に展開できます。ウィザードのプロンプトが表示され、プロファイル、ポリシー、シグニチャ、バインディングなどの必要な要素を作成するように指示されます。HTML5 ベースの GUI には、Java の依存関係はありません。 そのパフォーマンスは、古いJavaベースのバージョンよりも大幅に優れています。
  • 使いやすく自動化可能な CLI: GUI で使用できるほとんどの構成オプションは、コマンドラインインターフェイス (CLI) でも使用できます。CLI コマンドはバッチファイルで実行でき、簡単に自動化できます。
  • REST APIのサポート: Citrix ADC NITRO プロトコルは、Web App Firewall構成を自動化し、セキュリティ違反の継続的な監視に関連する統計を収集するための豊富なREST APIセットをサポートしています。
  • 学習: Web App Firewall のトラフィックを監視してセキュリティを微調整することによって学習する機能は、非常にユーザーフレンドリーです。学習エンジンはルールを推奨するため、正規表現に習熟していない緩和を簡単に展開できます。
  • RegExエディタのサポート: 正規表現は、ルールを統合して検索を最適化したいというジレンマに対する洗練されたソリューションを提供します。 正規表現の力を活用して、URL、フィールド名、シグニチャパターンなどを設定できます。豊富な組み込みの GUI RegEx エディターは、式のクイックリファレンスを提供し、RegEx の精度を検証およびテストする便利な方法を提供します。
  • カスタマイズされたエラーページ: ブロックされたリクエストは、エラー URL にリダイレクトできます。また、サポートされている変数とCitrix Advancedポリシー(高度なPI式)を使用して、クライアントのトラブルシューティング情報を埋め込むカスタマイズされたエラーオブジェクトを表示することもできます。
  • PCI-DSS、統計、およびその他の違反レポート: 豊富なレポートセットにより、PCI-DSS コンプライアンス要件への対応、トラフィックカウンタに関する統計情報の収集、すべてのプロファイルまたは 1 つのプロファイルの違反レポートの表示を簡単に行うことができます。
  • ログ記録とログからのクリックルール: 詳細ロギングは、ネイティブ形式と CEF 形式でもサポートされています。Web App Firewall には、syslog ビューアでターゲットログメッセージをフィルタリングする機能があります。ボタンをクリックするだけで、ログメッセージを選択し、対応する緩和ルールを展開できます。ログメッセージを柔軟にカスタマイズできるほか、Web ログの生成もサポートできます。詳細については、「 Web App Firewall ログ」トピックを参照してください。

  • 違反ログをトレースレコードに含める: トレースレコードにログメッセージを含める機能により、リセットやブロックなどの予期しない動作を簡単にデバッグできます。
  • クローン作成: 便利なインポート/エクスポートプロファイルオプションを使用すると、1つのCitrix ADCアプライアンスのセキュリティ構成を他のCitrix ADCアプライアンスにクローンできます。学習データのエクスポートオプションを使用すると、学習したルールを Excel ファイルに簡単にエクスポートできます。その後、申請する前に、アプリケーションの所有者によってレビューおよび承認を受けることができます。
  • AppExpert テンプレート (構成設定のセット) は、Web サイトに適切な保護を提供するように設計できます。これらのクッキーカッターテンプレートをテンプレートにエクスポートすることで、同様の保護を他のアプライアンスに展開するプロセスを簡素化し、迅速化できます。

詳細については、 AppExpert テンプレートのトピックを参照してください

  • セッションレスセキュリティチェック: セッションレスセキュリティチェックを展開すると、メモリフットプリントを削減し、処理を迅速化するのに役立ちます。
  • 他のCitrix ADC機能との相互運用性: Web App Firewallは、書き換え、URL変換、統合キャッシュ、CVPN、レート制限などの他のCitrix ADC機能とシームレスに機能します。
  • ポリシーでの PI 式のサポート: 高度な PI 式の機能を活用して、アプリケーションのさまざまな部分に異なるレベルのセキュリティを実装するポリシーを設計できます。
  • IPv6 のサポート: Web App Firewall は、IPv4 プロトコルと IPv6 プロトコルの両方をサポートしています。
  • 位置情報ベースのセキュリティ保護: Citrix Advancedポリシー(PI式)を使用して場所ベースのポリシーを構成できる柔軟性があります。これは、組み込みの場所データベースと組み合わせて使用して、ファイアウォール保護をカスタマイズできます。悪意のある要求の発信元を特定し、特定の地理的場所から発信された要求に対して必要なレベルのセキュリティチェック検査を実施できます。
  • パフォーマンス:リクエストサイドストリーミングにより 、パフォーマンスが大幅に向上します。フィールドが処理されるとすぐに、結果のデータはバックエンドに転送され、残りのフィールドの評価は続行されます。処理時間の改善は、大きな投稿を処理する場合に特に重要です。
  • その他のセキュリティ機能: Web App Firewall には、データのセキュリティを確保するのに役立つその他のセキュリティ設定がいくつかあります。たとえば、 機密フィールドを使用すると 、ログメッセージ内の機密情報の漏洩をブロックできます。また、 HTML コメントを削除すると 、クライアントに転送する前に応答から HTML コメントを削除できます。フィールドタイプは 、アプリケーションに送信されるフォームで許可される入力を指定するために使用できます。

Q: Web App Firewall を構成するには何が必要ですか?

以下を実行します:

  • Web App Firewall プロファイルを追加し、アプリケーションのセキュリティ要件に適したタイプ(html、xml、web2.0)を選択します。
  • 必要なセキュリティレベル (基本または詳細) を選択します。
  • 署名や WSDL などの必要なファイルを追加またはインポートします。
  • ファイルを使用するようにプロファイルを設定し、その他の必要な変更をデフォルト設定に加えます。
  • このプロファイルの Web App Firewall ポリシーを追加します。
  • ポリシーをターゲットバインドポイントにバインドし、優先度を指定します。

Q: 選択するプロファイルの種類はどのようにわかりますか?

Web App Firewall プロファイルは、HTML ペイロードと XML ペイロードの両方を保護します。アプリケーションのニーズに応じて、HTML プロファイルまたは XML プロファイルのいずれかを選択できます。アプリケーションが HTML データと XML データの両方をサポートしている場合は、Web2.0 プロファイルを選択できます。

Q: 基本プロファイルと詳細プロファイルの違いは何ですか? どちらが必要かを決めるにはどうすればいいですか?

基本プロファイルとアドバンスプロファイルのどちらを使用するかは、アプリケーションのセキュリティ上の必要性によって異なります。基本プロファイルには、[開始 URL] と [URL の拒否] 緩和ルールの事前設定セットが含まれています。これらの緩和ルールは、許可される要求と拒否される要求を決定します。受信要求は事前設定されたルールと一致し、構成されたアクションが適用されます。ユーザーは、緩和ルールの最小構成でアプリケーションを保護できます。開始 URL ルールは、強制的なブラウジングから保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの URL の拒否ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなどの一般的な攻撃も簡単に検出できます。

名前が示すように、高度な保護は、より高いセキュリティ要件を持つアプリケーション向けです。リラクゼーションルールは、特定のデータのみへのアクセスを許可し、残りのデータをブロックするように構成されています。このポジティブなセキュリティモデルは、基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて、高度なプロファイルは、ブラウジングの制御、クッキーのチェック、さまざまなフォームフィールドの入力要件の指定、フォームの改ざんやクロスサイトリクエストフォージェリ攻撃からの保護により、ユーザーセッションを追跡します。トラフィックを観察し、適切な緩和を推奨するラーニングは、多くのセキュリティチェックでデフォルトで有効になっています。高度な保護は使いやすくなりますが、より厳しいセキュリティを提供すると同時に、より多くの処理が必要になるため、十分な検討が必要です。一部の事前セキュリティチェックでは、キャッシュの使用が許可されていないため、パフォーマンスに影響する可能性があります。

基本プロファイルと詳細プロファイルのどちらを使用するかを決定する際には、次の点に注意してください。

  • 基本プロファイルと詳細プロファイルは、テンプレートを開始したばかりです。基本プロファイルは、いつでも変更して高度なセキュリティ機能を展開できます。また、その逆も可能です。
  • 高度なセキュリティチェックはより多くの処理を必要とし、パフォーマンスに影響を与える可能性があります。アプリケーションに高度なセキュリティが必要でない限り、基本プロファイルから始めて、アプリケーションに必要なセキュリティを強化することができます。
  • アプリケーションで必要でない限り、すべてのセキュリティチェックを有効にするとは限りません。

Q: ポリシーとは何ですか? バインドポイントを選択し、優先度を設定するにはどうすればよいですか?

Web App Firewall ポリシーを使用すると、トラフィックを論理グループに分類して、さまざまなレベルのセキュリティ実装を構成できます。ポリシーのバインドポイントを慎重に選択して、どのトラフィックがどのポリシーと照合されるかを決定します。たとえば、すべての着信リクエストで SQL/クロスサイトスクリプティング攻撃をチェックする場合は、汎用ポリシーを作成し、グローバルにバインドできます。または、機密データを含むアプリケーションをホストする仮想サーバーのトラフィックに、より厳格なセキュリティチェックを適用する場合は、その仮想サーバーにポリシーをバインドできます。

優先順位を慎重に割り当てることで、トラフィック処理が強化されます。より具体的なポリシーには高い優先順位を割り当て、汎用ポリシーには低い優先順位を割り当てます。数値が大きいほど、プライオリティは低くなります。プライオリティ 10 のポリシーは、プライオリティ 15 のポリシーよりも先に評価されます。

異なる種類のコンテンツに対して異なるレベルのセキュリティを適用できます。たとえば、画像やテキストなどの静的オブジェクトに対するリクエストは1つのポリシーを使用してバイパスでき、他の機密コンテンツのリクエストは第2のポリシーを使用して非常に厳しいチェックを受けることができます。

Q: アプリケーションを保護するためのルールを設定するにはどうすればよいですか?

Web App Firewall を使用すると、Web サイトに適したレベルのセキュリティを非常に簡単に設計できます。複数の Web App Firewall ポリシーを異なる Web App Firewall プロファイルにバインドして、アプリケーションにさまざまなレベルのセキュリティチェックインスペクションを実装できます。最初にログを監視して、検出されたセキュリティ上の脅威とトリガーされた違反を確認できます。緩和ルールを手動で追加するか、Web App Firewall の推奨学習済みルールを利用して、必要な緩和をデプロイして誤検出を回避できます。

Citrix Web App Firewall は、 GUIでのビジュアライザのサポートを提供し 、ルール管理を非常に簡単にします。すべてのデータを1つの画面で簡単に表示し、ワンクリックで複数のルールに対してアクションを実行できます。ビジュアライザーの最大の利点は、いくつかのルールを統合するために正規表現を推奨することです。区切り文字とアクション URL に基づいてルールのサブセットを選択できます。ビジュアライザーのサポートは、1) 学習したルールと 2) 緩和ルールの表示に使用できます。

  1. 学習したルールのビジュアライザーには、ルールを編集して緩和として展開するオプションがあります。ルールをスキップ (無視) することもできます。

  2. 展開された緩和のビジュアライザーには、新しいルールを追加するか、既存のルールを編集するオプションがあります。また、ノードを選択し、緩和ビジュアライザーの「有効」または「無効」ボタンをクリックして、 ルールのグループを有効または無効にすることもできます

Q: 署名とは何ですか? 使用するシグニチャはどのようにしてわかりますか

シグニチャは、複数のルールを持つことができるオブジェクトです。各ルールは、指定した一連のアクションに関連付けることができる 1 つ以上のパターンで構成されます。Web App Firewall には、1,300 を超えるシグニチャルールで構成されるデフォルトのシグニチャオブジェクトが組み込まれており、 自動更新機能を使用して新しい脆弱性に対する保護を取得することで 、最新のルールを取得するオプションがあります。他のスキャンツールで作成されたルールもインポートできます。

シグニチャは、パターンマッチングを使用して悪意のある攻撃を検出し、トランザクションのリクエストとレスポンスの両方をチェックするように設定できるため、非常に強力です。これらは、カスタマイズ可能なセキュリティソリューションが必要な場合に推奨されるオプションです。シグニチャの一致が検出されたときに、複数のアクション選択肢(ブロック、ログ、学習、変換など)を使用できます。 デフォルトのシグニチャは、web-cgi、web-coldfusion、web-FrontPage、web-IIS、web-php、ウェブクライアント、web-activex、ウェブシェルショック、ウェブストラットなど、さまざまなタイプのアプリケーションを保護するためのルールをカバーしています。アプリケーションのニーズに合わせて、特定のカテゴリに属するルールを選択して展開できます。

シグネチャの使用に関するヒント:

  • デフォルトのシグニチャオブジェクトのコピーを作成し、それを変更して、必要なルールを有効にし、必要なアクションを設定することができます。
  • シグニチャオブジェクトは、他のシグニチャルールと連携して機能する新しいルールを追加することでカスタマイズできます。
  • シグニチャルールは、Web App Firewall プロファイルで指定されたセキュリティチェックと連動するように構成することもできます。違反を示す一致がシグニチャとセキュリティチェックによって検出された場合、より制限の厳しいアクションが強制されます。
  • シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致した場合にのみ違反にフラグを付けるように設定することで、誤検出を回避できます。
  • ルールのリテラル高速一致パターンを慎重に選択すると、処理時間を大幅に最適化できます。

Q:Web App Firewall は、他のCitrix ADC機能と連携しますか?

Web App FirewallはCitrix ADCアプライアンスに完全に統合されており、他の機能とシームレスに動作します。Web App Firewall と組み合わせて他のCitrix ADCセキュリティ機能を使用して、アプリケーションの最大限のセキュリティを構成できます。たとえば、 AAA-TM を使用して、ユーザの認証、コンテンツへのアクセス許可の確認、無効なログイン試行を含むアクセスのログを記録できます。Rewrite は URL の変更、ヘッダーの追加、変更、削除に使用できます。 Responder を使用すると、カスタマイズされたコンテンツをさまざまなユーザーに配信できます。 ウェブサイトの最大負荷を定義するには、 レート制限を使用してトラフィックを監視し 、レートが高すぎる場合はレートをスロットルします。HTTP サービス拒否 (DoS) 保護は、実際の HTTP クライアントと悪意のある DoS クライアントを区別するのに役立ちます。 Web App Firewall ポリシーを仮想サーバーにバインドすることで、セキュリティチェック検査の範囲を狭めることができます。また、 負荷分散機能を使用して頻繁に使用されるアプリケーションを管理することで 、ユーザーエクスペリエンスを最適化できます。画像やテキストなどの静的オブジェクトに対する要求は、そのようなコンテンツの帯域幅使用を最適化するために、 **統合されたキャッシュまたは圧縮を利用して** 、セキュリティチェック検査をバイパスできます。

Q: ペイロードは、Web App Firewall およびその他のCitrix ADC機能によってどのように処理されますか?

Citrix ADCアプライアンスのL7パケットフローの詳細を示す図は、[ 機能の処理順序 ]セクションにあります。

Q: Web App Firewall デプロイに推奨されるワークフローは何ですか?

Citrix Web App Firewall の最先端のセキュリティ保護を使用する利点がわかったので、セキュリティニーズに最適なソリューションを設計するのに役立つ追加情報を収集できます。Citrix は、次のことを実行することをお勧めします。

  • 環境を知る: 環境を知ることで、ニーズに最適なセキュリティ保護ソリューション (署名、セキュリティチェック、またはその両方) を特定できます。設定を開始する前に、次の情報を収集する必要があります。
    • OS: どんなOS(MS Windows、Linux、BSD、Unix、その他)を持っていますか?
    • Web サーバー: どのウェブサーバー (IIS、Apache、または Citrix ADC エンタープライズサーバー) を実行していますか。
    • アプリケーション:アプリケーションサーバーで実行されているアプリケーションの種類 (ASP.NET、PHP、Cold Fusion、ActiveX、FrontPage、Struts、CGI、Apache Tomcat、ドミノ、WebLogic など)
    • カスタマイズされたアプリケーションまたは既製のアプリケーション(Oracle、SAPなど)がありますか。どのバージョンを使用していますか?
    • SSL: SSLが必要ですか ?その場合、証明書の署名に使用されるキーサイズ(512、1024、2048、4096)は何ですか。
    • Traffic Volume: アプリケーションの平均トラフィックレートはどれくらいですか。トラフィックに季節的または時間的特有の急上りがありますか?
    • サーバーファーム: サーバーはいくつありますか。負荷分散を使用する必要がありますか。
    • データベース: どのタイプのデータベース(MS-SQL、MySQL、Oracle、Postgres、SQLite、nosql、Sybase、Informixなど)を使用していますか?
    • DB Connectivity: どのような種類のデータベース接続 (DSN、ファイルごとの接続文字列、単一ファイル接続文字列) があり、どのドライバが使用されていますか?
  • セキュリティニーズの特定: 最大限のセキュリティ保護が必要なアプリケーションまたは特定のデータ、脆弱性の低いアプリケーション、セキュリティ検査を安全にバイパスできるアプリケーションを評価できます。これは、最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計する際に役立ちます。たとえば、画像、MP3 ファイル、ムービーなどの静的な Web コンテンツに対する要求のセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツの要求に高度なセキュリティチェックを適用する別のポリシーを構成できます。複数のポリシーとプロファイルを使用して、同じアプリケーションの異なるコンテンツを保護できます。
  • ライセンス要件: Citrix は、負荷分散、コンテンツスイッチング、キャッシュ、圧縮、レスポンダー、書き換え、コンテンツフィルタリングなどの豊富な機能を利用して、アプリケーションのパフォーマンスを最適化する統合ソリューションを提供します。必要な機能を特定すると、必要なライセンスを決定するのに役立ちます。
  • Citrix ADCアプライアンスのインストールとベースライン: 仮想サーバーを作成し、それを介してテストトラフィックを実行して、システムを通過するトラフィックの速度と量を把握します。この情報は、キャパシティ要件を特定し、適切なアプライアンス(VPX、MPX、またはSDX)を選択するのに役立ちます。
  • Web App Firewall を展開する: Web App Firewall ウィザードを使用して、簡単なセキュリティ構成を続行します。ウィザードでは、いくつかの画面が表示され、プロファイル、ポリシー、署名、およびセキュリティチェックを追加するように求められます。
    • プロファイル:プロファイルの意味のある名前と適切なタイプ (HTML、XML、または WEB 2.0) を選択します。ポリシーとシグニチャは、同じ名前を使用して自動生成されます。
    • Policy: 自動生成されたポリシーには、すべてのトラフィックが選択され、グローバルにバインドされるデフォルトの式(true)があります。これは、使用する特定のポリシーを念頭に置いていない限り、出発点として適しています。
    • 保護: このウィザードでは、ハイブリッドセキュリティモデルを利用できます。このモデルでは、さまざまな種類のアプリケーションを保護するための豊富なルールセットを提供する既定のシグニチャを使用できます。簡易編集モードでは 、さまざまなカテゴリ (CGI、Cold Fusion、PHP など) を表示できます。1 つ以上のカテゴリを選択して、アプリケーションに適用可能な特定のルールセットを識別できます。選択したカテゴリのすべてのシグニチャルールを有効にするには、[ Action ] オプションを使用します。セキュリティを強化する前にトラフィックを監視できるように、ブロッキングが無効になっていることを確認します。 [ 続行] をクリックします。[ 詳細な保護の指定 ] ウィンドウで、必要に応じて変更を加えて、セキュリティチェック保護を展開できます。ほとんどの場合、初期セキュリティ設定には基本的な保護で十分です。トラフィックをしばらく実行して、セキュリティ検査データの代表的なサンプルを収集します。
    • セキュリティの強化: Web App Firewall をデプロイしてしばらくトラフィックを監視した後、緩和をデプロイしてからブロッキングを有効にすることで、アプリケーションのセキュリティの強化を開始できます。LearningVisualizerClick to Deploy のルールは 、設定を簡単に微調整して適切なレベルのリラクゼーションを思いつくことができる便利な機能です。この時点で、ポリシー式を変更したり、追加のポリシーやプロファイルを構成したりして、さまざまなタイプのコンテンツに必要なセキュリティレベルを実装することもできます。
    • デバッグ: アプリケーションの予期しない動作が発生した場合、Web App Firewall には、デバッグを簡単にするためのさまざまなオプションが用意されています。
      • ログ。正当なリクエストがブロックされた場合は、まず ns.log ファイルをチェックして、予期しないセキュリティー検査違反がトリガーされていないかどうかを確認します。
      • 機能を無効にします。違反は見られなくても、アプリケーションがリセットしたり、部分的な応答を送信したりするなど、予期しない動作が発生する場合は、Web App Firewall のデバッグ機能を無効にできます。問題が解決しない場合は、Web App Firewall が疑わしいものとして除外されます。
      • ログメッセージを含むレコードをトレースします。問題が Web App Firewall に関連しているように見え、より詳細な検査が必要な場合は、nstrace にセキュリティ違反メッセージを含めるオプションがあります。トレースで「Follow TCP stream」を使用すると、ヘッダー、ペイロード、対応するログメッセージなど、個々のトランザクションの詳細を同じ画面に表示できます。この機能の使用方法の詳細については、 付録を参照してください