Citrix ADC

Web App Firewall ポリシー

ファイアウォールポリシーは、プロファイルに関連付けられたルールです。ルールは、Web App Firewall がプロファイルを適用してフィルタリングする要求/応答ペアのタイプを定義する式または式のグループです。ファイアウォールポリシー式は、特定のCitrix ADC機能をサポートする特別な機能を備えたオブジェクト指向プログラミング言語であるCitrix ADC式言語で記述されます。プロファイルは、ルールに一致する要求/応答のペアをフィルタリングするために Web App Firewall が使用する一連のアクションです。

ファイアウォールポリシーを使用すると、さまざまな種類の Web コンテンツに異なるフィルタリングルールを割り当てることができます。すべてのウェブコンテンツが似ているわけではありません。複雑なスクリプトを使用せず、プライベートデータにアクセスして処理しない単純な Web サイトは、基本的なデフォルトで作成されたプロファイルによって提供される保護レベルのみを必要とする場合があります。JavaScript で強化された Web フォームを含む Web コンテンツや SQL データベースにアクセスする Web コンテンツには、おそらくよりカスタマイズされた保護が必要です。別のプロファイルを作成してそのコンテンツをフィルタリングし、そのコンテンツへのアクセスを試みている要求を決定できる別のファイアウォールポリシーを作成できます。次に、作成したプロファイルとポリシー式を関連付けて、ポリシーをグローバルにバインドして有効にします。

Web App Firewall はHTTP接続のみを処理するため、Citrix ADC式言語全体のサブセットを使用します。ここで説明する情報は、Web App Firewall の構成時に役立つと思われるトピックと例に限定されています。ファイアウォールポリシーの追加情報と手順へのリンクを次に示します。

Web App Firewall は、設定された優先度と goto の式に基づいてポリシーを評価します。ポリシー評価の最後に、true と評価される最後のポリシーが使用され、対応するプロファイルのセキュリティ設定が呼び出されて要求が処理されます。

たとえば、2 つのポリシーがあるシナリオを考えてみましょう。

  • Policy_1 は、式=NS_TRUE を持つ汎用ポリシーで、基本プロファイルである対応する profile_1 があります。プライオリティは 100 に設定されます。
  • Policy_2 は expression=http.req.url.contains (「XYZ」) でより具体的であり、対応する profile_2 が事前プロファイルです。GoTO 式は NEXT に設定され、優先度は 95 に設定されます。これは Policy_1 よりも高い優先度です。

このシナリオでは、処理されたリクエストの URL でターゲット文字列「XYZ」が検出されると、Policy_1 も一致していても、Policy_2 の一致がより高い優先度を持つため、Policy_2 の一致がトリガーされます。ただし、Policy_2 の goTO 式設定に従って、ポリシーの評価は続行され、次の policy_1 も処理されます。ポリシー評価の最後に、Policy_1 は true と評価され、Profile_1 で設定された基本的なセキュリティチェックが呼び出されます。

Policy_2 が変更され、goTO 式が NEXT から ENDに変更された場合、ターゲット文字列「XYZ」を持つ処理された要求は、優先度の考慮事項により Policy_2 の一致をトリガーし、goTO 式の設定に従って、ポリシーの評価はで終了します。この点。Policy_2 は true と評価され、Profile_2 で設定された高度なセキュリティチェックが呼び出されます。

NEXT END

ポリシー評価は 1 回のパスで完了します。リクエストに対するポリシー評価が完了し、対応するプロファイルアクションが呼び出されると、リクエストはポリシー評価の別のラウンドを通過しません。

Web App Firewall ポリシー