ADC

URL チェックを拒否

拒否URLチェックは、ハッカーや悪意のあるコードがよくアクセスするURLへの接続を検査してブロックします。このチェックには、ハッカーや悪意のあるコードの一般的なターゲットであり、正規のリクエストではほとんど出現しない URL のリストが含まれています。URL または URL パターンをリストに追加することもできます。Deny URL チェックは、Web サーバーソフトウェアや多くの Web サイトに存在することが知られているさまざまなセキュリティ上の弱点に対する攻撃を防ぎます。

拒否 URL チェックは開始 URL チェックよりも優先されるため、開始 URL の緩和によって通常であればリクエストの続行が許可される場合でも、悪意のある接続の試みは拒否されます。

「拒否 URL チェックの変更」ダイアログ・ボックスの「一般」タブで、ブロック、ログ、統計の各アクションを有効または無効にできます。

コマンドラインインターフェイスを使用する場合は、次のコマンドを入力して拒否URLチェックを設定できます。

set appfw profile <name> -denyURLAction [**block**] [**log**] [**stats**] [**none**]
<!--NeedCopy-->

独自の拒否URLを作成および構成できるのは、NetScaler GUIのみです。

  1. [ **セキュリティ] > [NetScaler Web App Firewall] **[プロファイル] に移動します。
  2. 拒否 URL を追加するプロファイルを選択し、[ 編集] をクリックします。
  3. NetScaler Web App Firewall プロファイルページで 、「 詳細設定 」セクションから「 緩和ルール 」を選択します。
  4. [ URL を拒否 ] を選択して [ 編集] をクリックします。
  5. URL の拒否ルール 」ページで、「 追加」をクリックします。
  6. 次の詳細を指定し、「 作成」をクリックします。

    • 拒否 URL -拒否 URL を定義する正規表現。
    • コメント -エクスプレッションの説明。
    • リソースID -拒否URLルールを識別するユニークなID。

    URL 表現を拒否

  7. [閉じる] をクリックします。
  8. NetScaler Web App Firewall プロファイルページで 、「 完了」をクリックします。

URL を拒否する表現の例を以下に示します。

  • ユーザーが images.example.com のイメージサーバーに直接アクセスできないようにしてください。

     ^http://images[.]example[.]com$
     <!--NeedCopy-->
    
  • ユーザに CGI (.cgi) または PERL (.pl) スクリプトに直接アクセスさせないでください。

     ^http://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-]*/)*
     [0-9A-Za-z][0-9A-Za-z_.-]*[.](cgi|pl)$
     <!--NeedCopy-->
    
  • 以下は同じ拒否URLで、非ASCII文字をサポートするように変更されています。

     ^http://www[.]example[.]com/(([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*/)*([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*[.](cgi|pl)$
     <!--NeedCopy-->
    

注意:

正規表現は強力です。特に PCRE 形式の正規表現に慣れていない場合は、作成した正規表現をすべて再確認してください。ブロックしたい URL やパターンを正確に定義していることを確認し、それ以外は何も定義していないことを確認してください。ワイルドカード、特にドットとアスタリスク (.*) のメタ文字とワイルドカードの組み合わせを不注意に使用すると、ブロックするつもりのない Web コンテンツへのアクセスがブロックされるなど、望ましくない結果になる可能性があります。

URL チェックを拒否

この記事の概要