Citrix ADC

Web App Firewall プロファイルの設定

ユーザ定義の Web App Firewall プロファイルを設定するには、まずセキュリティチェックを構成します。セキュリティチェックは、Web App Firewall ウィザードで ディーププロテクション**または高度な保護 と呼ばれます。一部のチェックでは、それらをまったく使用する場合は、設定が必要です。その他には、安全であるが範囲が制限されているデフォルト構成があります。 Webサイトは、特定のセキュリティチェックのより多くの機能を利用する別の構成を必要とするか、その恩恵を受ける可能性があります。

セキュリティチェックを構成した後、単一のセキュリティチェックではなく、Webアプリファイアウォール機能の動作を制御する他の設定を構成することもできます。ほとんどのWebサイトを保護するにはデフォルトの構成で十分ですが、保護されたWebサイトに適していることを確認するためにそれらを確認する必要があります。

注:

プロファイル名の長さとすべてのインポートオブジェクト名の長さは、最大127文字まで設定できます。

Web App Firewall セキュリティチェックの詳細については、「高度な保護」を参照してください。

コマンドラインを使用して Web App Firewall プロファイルを構成するには

コマンドプロンプトで、次のコマンドを入力します。

  • set appfw profile <name> <arg1> [<arg2> ...]

    各項目の意味は次の通りです:

    • <arg1> = パラメータと関連するオプション。
    • <arg2> = 2 番目のパラメータと関連するオプション。
    • … = 追加のパラメータとオプション。

    特定のセキュリティチェックを設定するときに使用するパラメータの説明については、「高度な保護」を参照してください。

  • save ns config

次の例は、pr-basic という名前のプロファイルで、HTML SQL インジェクションおよび HTML クロスサイトスクリプティングチェックのブロックを有効にする方法を示しています。このコマンドを使用すると、プロファイルに他の変更を加えずにこれらのアクションをブロックできます。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

リラクゼーションルールをWebAppFirewallプロファイルにバインドする

Web App Firewallが違反を検出すると、ユーザーは緩和ルールによって適用されたアクションをバイパスすることができます。緩和ルールは、検出されたセキュリティ違反に適用される例外です。たとえば、開始URL緩和ルールは、強制的なブラウジングから保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの [拒否 URL] ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。

CLIを使用してセキュリティ免除または緩和ルールをバインドするには

コマンドプロンプトで、次のように入力します。

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....

GUIを使用してセキュリティ免除または緩和ルールをバインドするには

  1. Security > Citrix Web App Firewall > Profilesに移動します。
  2. 詳細ペインでプロファイルを選択し、[編集] をクリックします。
  3. [Citrix Web App Firewallプロファイル]ページで、[詳細設定] セクションの[緩和ルール]をクリックします。
  4. [リラクゼーションルール]セクションで、[StartURL]をクリックし、[編集]をクリックします。
  5. [URL緩和ルール の開始]ページで、[追加]をクリックします。
  6. [URL緩和ルール の開始]ページで、次のパラメーターを設定します。

    1. 有効。チェックボックスを選択して、緩和ルールを有効にします
    2. 開始URL。正規表現の値を入力してください
    3. コメント。リラクゼーションルールについて簡単に説明してください。
  7. [作成]して[閉じる] をクリックします。

バインド緩和ルール

GUI を使用して Web App Firewall プロファイルを構成するには

  1. Security > Citrix Web App Firewall > Profilesに移動します。
  2. 詳細ウィンドウで、構成するプロファイルを選択し、[編集] をクリックします。
  3. [Web App Firewall プロファイルの構成] ダイアログボックスの [セキュリティチェック] タブで、セキュリティチェックを構成します。

    • チェックのアクションを有効または無効にするには、リストで、そのアクションのチェックボックスをオンまたはオフにします。

    • これらのチェックに他のパラメータを設定するには、一覧でそのチェックの右端にある青い山形をクリックします。表示されるダイアログボックスで、パラメータを設定します。これらは小切手によって異なります。

      チェックボックスをオンにして、ダイアログボックスの下部にある [開く] をクリックして、[リラクゼーションを設定] ダイアログボックスまたは [ルールを設定] ダイアログボックスを表示することもできます。これらのダイアログボックスは、チェックによっても異なります。そのほとんどには、[チェック] タブと [一般] タブがあります。チェックが緩和またはユーザー定義規則をサポートしている場合、「チェック」( Checks ) タブには「追加」( Add ) ボタンがあります。このボタンでは、チェックのリラクゼーションまたはルールを指定できます。(緩和とは、特定のトラフィックをチェックから除外するための規則です)。 緩和がすでに設定されている場合は、緩和を選択し、[開く] をクリックして修正できます。

    • 学習した例外またはチェックのルールを確認するには、チェックを選択し、[学習した違反] をクリックします。[学習済みルールの管理] ダイアログボックスで、学習済みの例外またはルールを順に選択します。

      • 例外または規則を編集して一覧に追加するには、[編集と展開] をクリックします。
      • 変更せずに例外またはルールを受け入れるには、「展開」をクリックします。
      • リストから例外または規則を削除するには、[スキップ] をクリックします。
    • レビューする例外またはルールのリストをリフレッシュするには、「リ フレッシュ」をクリックします。

    • ラーニングビジュアライザを開き、それを使用して学習したルールを確認し、[ビジュアライザ] をクリックします。

    • チェックに一致する接続のログエントリを確認し、チェックを選択して [ログ] をクリックします。この情報を使用して、どのチェックが一致する攻撃であるかを判断し、それらのチェックのブロックを有効にすることができます。この情報を使用して、正当なトラフィックと一致するチェックを特定することもできます。これにより、正当な接続を許可するように適切な免除を構成できます。ログの詳細については、ログ、統計、およびレポートを参照してください。

    • チェックを完全に無効にするには、リストで、そのチェックの右側にあるすべてのチェックボックスをオフにします。

  4. [設定] タブで、プロファイル設定を構成します。
    • プロファイルを以前に作成および構成したシグニチャのセットに関連付けるには、[共通設定]で、[シグニチャ] ドロップダウンリストからそのシグニチャのセットを選択します。

      注:

      [共通設定] セクションを表示するには、ダイアログボックスの右側にあるスクロールバーを使用する必要があります。

    • HTML または XML エラーオブジェクトを構成するには、該当するドロップダウンリストからオブジェクトを選択します。

      注:

      まず、[インポート] ペインで使用するエラーオブジェクトをアップロードする必要があります。エラーオブジェクトのインポートの詳細については、「インポート」を参照してください。

    • 既定の XML コンテンツタイプを構成するには、[既定の要求] および [既定の応答] テキストボックスにコンテンツタイプの文字列を直接入力するか、[許可されたコンテンツタイプの管理] をクリックして、許可されたコンテンツタイプのリストを管理します。»その他…
  5. 学習機能を使用する場合は、[Learning] をクリックし、学習機能の設定と使用の説明に従って、プロファイルの学習設定を構成します。
  6. [OK] をクリックして変更を保存し、[プロファイル] ペインに戻ります。
Web App Firewall プロファイルの設定