Citrix ADC

XML サービス拒否チェック

XMLサービス拒否(XML DoSまたはXDoS)チェックは、着信XML要求を調べて、サービス拒否(DoS)攻撃の特性と一致するかどうかを判断します。一致する場合は、それらの要求をブロックします。XML DoSチェックの目的は、攻撃者がXML要求を使用してWebサーバーまたはWebサイトに対してサービス拒否攻撃を開始するのを防ぐことです。

ウィザードまたはGUIを使用する場合、[XMLサービス拒否チェックの変更]ダイアログボックスの[ 全般 ]タブで、[ブロック]、[ログ]、[統計]、および[学習]アクションを有効または無効にできます。

コマンドラインインターフェイスを使用する場合は、次のコマンドを入力して XML サービス拒否チェックを設定できます。

  • set appfw profile <name> -xmlDoSAction [**block**] [**log**] [**learn**] [**stats**] [**none**]

個々の XML サービス拒否ルールを設定するには、GUI を使用する必要があります。[XMLサービス拒否チェック の変更]ダイアログボックスの[チェック]タブで、ルールを選択し、[ 開く ]をクリックして、そのルールの[XMLサービス拒否 の変更]ダイアログボックスを開きます。個々のダイアログボックスはルールごとに異なりますが、単純です。ルールを有効または無効にできるものもあれば、テキストボックスに新しい値を入力して数値を変更できるものもあります。

注:

サービス拒否攻撃に対するLearningEngineの予想される動作は、構成されたアクションに基づいています。アクションが「ブロック」に設定されている場合、エンジンは構成されたバインド値を学習します +1 違反があると、XML解析は停止します。設定されたアクションが「ブロック」として設定されていない場合、エンジンは実際の着信違反長の値を学習します。

個々の XML サービス拒否規則は次のとおりです。

  • 最大要素の深さ。個々の要素のネストされたレベルの最大数を 256 に制限します。このルールが有効で、Web App Firewall が、最大許容レベル数を超える要素を持つ XML 要求を検出すると、要求をブロックします。レベルの最大数を 1 ~ 65,535 の値に変更できます。

  • 要素名の最大長。各要素名の最大長を 128 文字に制限します。これには、展開された名前空間内の名前が含まれます。この名前には、XML パスと要素名が含まれます。

     {http://prefix.example.com/path/}target_page.xml
     <!--NeedCopy-->
    

ユーザーは、名前の最大長を 1 文字から 65,535 までの任意の値に変更できます。

  • 最大 # 要素。XML ドキュメントごとに 1 つのタイプのエレメントの最大数を 65,535 に制限します。要素の最大数を、1 ~ 65,535 の間の任意の値に変更できます。

  • 最大 # エレメントチルドレン。各要素に許可される子の最大数 (他の要素、文字情報、コメントを含む) を 65,535 に制限します。エレメントの子の最大数は、1 ~ 65,535 の間の任意の値に変更できます。

  • 最大 # 属性。各要素に許可される属性の最大数を 256 に制限します。属性の最大数は、1 ~ 256 の間の任意の値に変更できます。

  • 属性名の最大長。各属性名の最大長を 128 文字に制限します。属性名の最大長は、1 ~ 2,048 の間の任意の値に変更できます。

  • 最大属性値の長さ。各属性値の最大長を2048文字に制限します。属性名の最大長は、1 ~ 2,048 の間の任意の値に変更できます。

  • 最大文字データ長。各要素の最大文字データ長を 65,535 に制限します。長さは、1 ~ 65,535 の間の任意の値に変更できます。

  • 最大ファイルサイズ。各ファイルのサイズを 20 MB に制限します。最大ファイルサイズは任意の値に変更できます。

  • 最小ファイルサイズ。各ファイルの長さが9バイト以上である必要があります。最小ファイルサイズは、さまざまなバイトを表す任意の正の整数に変更できます。

  • 最大 # エンティティの拡張。エンティティ展開の数を指定された数に制限します。デフォルトは 1024 です。

  • 最大エンティティ拡張深度。ネストされたエンティティ拡張の最大数を、指定した数以下に制限します。デフォルトは 32 です。

  • 最大 # 名前空間。XML ドキュメント内の名前空間宣言の数を、指定した数以下に制限します。デフォルトは 16 です。

  • 名前空間URIの最大長。各名前空間宣言の URL の長さを、指定した文字数以下に制限します。デフォルトは 256 です。

  • ブロック処理命令。リクエストに含まれる特別な処理命令をブロックします。このルールには、ユーザーが変更できる値はありません。

  • DTDをブロックします。リクエストに含まれる文書型定義 (DTD) をブロックします。このルールには、ユーザーが変更できる値はありません。

  • 外部エンティティをブロックします。リクエスト内の外部エンティティへの参照をすべてブロックします。このルールには、ユーザーが変更できる値はありません。

  • SOAP配列チェック。次の SOAP 配列チェックを有効または無効にします。

    • SOAP アレイの最大サイズ。接続がブロックされる前の XML 要求内のすべての SOAP 配列の最大合計サイズ。この値は変更できます。デフォルトは 20000000 です。
    • SOAP アレイの最大ランク。接続がブロックされる前の XML 要求内の単一の SOAP 配列の最大ランクまたは次元。この値は変更できます。デフォルトは 16 です。
XML サービス拒否チェック