製品ドキュメント
Citrix WebアプリとAPIの保護
PDFを表示

ポリシー設定

June 24, 2022
寄稿者: 
C

Web アプリケーションファイアウォール (WAF) ポリシーを構成する前に、まず WAF ポリシーを作成する必要があります。

WAF ポリシーを作成する

  1. 左側のナビゲーションパネルで、[構成] をクリックします。
  2. 利用可能な機能のリストから [ポリシー] を選択します。
  3. [ポリシーの作成] ボタンをクリックします。
  4. [ポリシー名] を入力し、WAF プロファイルを選択します。
  5. チェックマークを選択して、WAF プロファイルをポリシーに適用します。
    1. オプションで、URLクエリと投稿フォーム本文でセミコロンフィールドセパレータの使用を有効にすることができます。これは、セミコロン(;)が複数のフィールドを分離していることを単に示します。
  6. 対策セクションには、ユーザーが選択できる一般的な保護タイプと方法のリストが表示されます。各ボット保護手法を展開し、必要な値を設定します。各ボット保護技術対策は、次のステータスのいずれかに設定できます。
    1. Bypass/None — アクションは実行されません。
    2. ブロック — しきい値制限に達すると、違反しているトラフィックはブロックされます。
    3. ログ — 1 つ以上の要求または違反はブロックされませんが、詳細はレビューのために記録されます。
    4. ブロックとログ — 1 つ以上の要求がブロックされ、詳細が保存されます。
  7. 特定の対策は、学習とリラクゼーションのルールを提供します。
    1. 緩和ルール — 基準に一致するトラフィックを許可する値を手動で入力できます。ラーニングが有効になっている場合は、エントリの [+] (プラス) をクリックして、緩和ルールに直接適用できます。
    2. 学習 — データの取得を開始する前に、ボット保護手法ごとに学習を有効にする必要があります。トラフィックがアクティブに監視されると、ブロックされたルールのリストが返され、正確性を確認できます。
  8. 緩和ルールを設定するには、[追加] をクリックし、ポップアップウィンドウに表示されるフィールドに値を入力します。
  9. コミット] をクリックします
    1. [名前] — 構成されている緩和ルールの名前を指定します。
    2. 有効 — ON または OFF のいずれかに設定します。
    3. [名前の正規表現] — [オン] または [オフ] に設定します。
    4. URL — 許可される URL を指定します。
    5. 場所 — ドロップダウンメニューから次のいずれかを選択します。
      1. クッキー
      2. フォームフィールド、
      3. ヘッダー。
  10. [値のタイプ] — ドロップダウンメニューから [ 1] を選択します。 キーワード1。 特殊文字列、 1。 Wildchar。
    1. 値式の正規表現 — ONまたはOFFに設定されていますか?
    2. [値式] — ルールの値式を指定します。
  11. ラーニングを有効にするには、希望する構成の [ON/OFF] オプションを選択します。
  12. [保存] をクリックします。

レスポンダーポリシーを構成する

[ レスポンダーポリシー ] セクションでは、顧客により多くの柔軟性を提供しますが、トラフィック構成を適切に使用して組み込むには、より詳細で詳細な知識が必要です。ただし、適切に使用すると、レスポンダーポリシーは任意のフィールド (値) とオペランドを検査し、選択したアクションを実行できます。

  1. [ポリシー構成] 画面で、[レスポンダーポリシー] タブを選択します。
  2. [開始] ボタンをクリックして、レスポンダーポリシーを追加します。
  3. ポリシーの名前を指定します。
  4. ドロップダウンメニューから [アクションタイプ] を選択します。
    1. Drop
    2. ログ
    3. リダイレクト先
    4. 応答
  5. [応答] フィールドは、選択したアクションによって決まります。
    1. ドロップ。トラフィックがドロップされたため、応答はN/Aです。
    2. ログ。トラフィックはログファイルに保存されるため、応答はN/Aです。
    3. にリダイレクト。リダイレクトする URL を指定します。URL はバックスラッシュ (/) で始まる必要があります。
    4. で応答. 応答に表示するテキストを入力します。
  6. [一致] セクションの横にある矢印を選択して、ポリシーに正確な仕様を設定します。次のフィールドに入力します。
    1. フィールド。オプションのドロップダウンリストからフィールドタイプを選択します。
    2. オペランド。ドロップダウンメニューからフィールドのオペランドタイプを選択します。
    3. [値]。フィールドとオペランドの組み合わせに関連する値を指定します。
    4. さらに一致条件を選択するには、[+] アイコンをクリックします。
  7. レスポンダーポリシーをさらに追加するには、プラスアイコンをクリックします。これにより、構成されている各ポリシーの左上にあるレスポンダーポリシー番号が増加します。また、複数のルールを使用している場合、関連するアクションを実行する前に、すべてのルールが合格/一致する必要があります。
  8. [保存] をクリックします。

ネットワークコントロール

ポリシーの [ ネットワーク制御 ] セクションでは、国タイプ別にトラフィックを地理的 (GEO) でブロックできます。ただし、国全体をブロックするが、特定の IP アドレスの通過を許可する場合は、ネットワークコントロールを設定してブロックすることができます。 [追加] ボタンをクリックして、IP/CIDR アドレスをブロックするか許可するかを指定します。完了したら、[ コミット ] ボタンをクリックします。

ポリシーの [ ネットワーク制御 ] セクションでは、国タイプ別にトラフィックを地理的 (GEO) でブロックできます。ただし、国をブロックして特定のIPアドレスを許可したい場合は、ネットワークコントロールを設定してブロックすることができます。

  1. [ポリシー設定] 画面で、[ネットワーク制御] タブを選択します。
  2. [追加] ボタンをクリックして、ブロックする、または通過を許可する IP アドレスを設定します。
  3. IP アドレスを入力し、[ブロックしない] (IP アドレスの通過を許可する) または [ ブロック] (IP アドレスからのトラフィックをすべて禁止する) を選択します。終了したら [コミット] ボタンをクリックします
  4. トラフィックをブロックする国全体を選択するには、[ブロックする国] ドロップダウンメニューをクリックします。トラフィックをブロックする国をすべて選択します。選択が完了したら、ドロップダウンメニューの外をクリックします。
  5. ブロックされた国のIPアドレスを許可するには、まずブロックする国を選択し、次にその国のIPアドレスを追加して通過を許可し、[ブロックしない] オプションを選択します。許可リストアクションは、ブロックアクションが適用される前に発生します。
  6. [保存] をクリックします。

アラートしきい値

[ Alert Thresholds ] セクションでは、しきい値を設定できます。しきい値に達すると、設定されたルールで発生した違反についてアラートが送信されます。 アラートしきい値を設定するには、[ 追加 ] ボタンをクリックします。ドロップダウンメニューから [ディメンション] を選択し、対応するフィールドを設定します。

さらに明確にするために、指定された時間枠内に発生回数を超えるまで、アラートは送信されません。たとえば、発生率が3で、時間枠が60秒の場合、60秒以内に4回目の違反が発生するまでアラートは送信されません。

ポップアップヘルプウィンドウが開き、ドロップダウンメニューから選択したディメンションの説明が表示されます。

[ アラートのしきい値 ] セクションでは、設定したルールに関連する違反に対してアラートを送信する前に到達する必要があるしきい値を定義できます。 アラートのしきい値は、ディメンション、キー、および指定されたカウントまたは量によって設定されます。しきい値アラートは、ポータルのアラートページに直接提供されるリンクを使用して SLACK に同期でき、電子メール形式で送信されます。アラート通知は、UIポータルのベル (通知) アイコンの下にも表示されます。 アラートしきい値は、ボット保護手法ごとに、 WAFプロファイルセクションにも設定されることに注意してください

  1. [ポリシー構成] 画面で、[アラートのしきい値] タブを選択します。
  2. [追加] をクリックします。

  3. ドロップダウンメニューオプションのリストから [ディメンション] を選択します。各ディメンションを選択すると、ポップアウトウィンドウの上部に簡単な説明が表示されます。

    1. より多くのフィールドは、選択したディメンションタイプによって決まります。
  4. 選択した [ディメンション] タイプに基づいて表示される追加フィールドを入力します。
  5. オカレンスの数を選択します。これにより、違反が発生するために到達しなければならないしきい値制限と、送信される通知が決定されます。
  6. タイムフレームはデフォルトで 60 秒のままです。
  7. アプリケーションセキュリティしきい値のカスタマイズが完了したら、[コミット] ボタンをクリックします。
  8. アラートしきい値の追加が完了したら、[保存] ボタンをクリックします

信頼できる情報源

信頼できるソースセクションは 、トラフィックデータの学習に確実に使用できるIPのリストを設定し、緩和のための推奨事項を生成するのに役立ちます。信頼できるソースが設定されていない場合、すべてのソースからのトラフィックが学習に使用され、緩和のための適切な推奨事項は提供されません。

  1. [ 追加 ] をクリックして、新しい信頼できるソースを設定します。信頼できるソースを有効にするかどうかを選択し、IPアドレス/CIDRを指定します。[説明] フィールドは、フリーテキストを使用して入力できるオプションのフィールドです。
  2. 完了したら [コミット] をクリックします。
  3. [保存] をクリックします。

アセット

[ アセット ] タブには、このポリシーが現在割り当てられているアセットが表示されます。関連するアセットがある場合は、それらを削除できます。これにより、各アセットにプロビジョニングプロセスが実行され、ルールと設定が一時的に無効になる場合があります。

ポリシーに関連付けられているアセットがない場合、[関連するアセット] ドロップダウンメニューに「0 Selected」と表示されます。ポリシーに関連付けるアセットを選択します。

関連付けられているアセットを削除するには、ドロップダウンメニューにカーソルを合わせて、削除するアセットの横にある [-] ボタンをクリックするか、ドロップダウンメニュー内をクリックしてハイライト表示されているアセットをクリックして削除します。

ボット保護技術対策

対策セクションには 、ユーザーが選択できる一般的な保護タイプと方法のリストが表示されます。

  1. 各ボット保護手法を展開し、必要な値を設定します。各ボット保護技術対策は、次のステータスのいずれかに設定できます。

    1. Bypass/None — アクションは実行されません。
    2. ブロック — しきい値制限に達すると、違反しているトラフィックがブロックされます。
    3. ログ — 1 つ以上の要求または違反はブロックされませんが、詳細はレビューのために記録されます。
    4. ブロックしてログ — 1 つ以上のリクエストがブロックされ、詳細がログに記録されます。

  2. 特定の対策は、学習とリラクゼーションのルールを提供します。

    1. 緩和ルール — 基準に一致するトラフィックを許可する値を手動で入力できます。ラーニングが有効になっている場合は、エントリの横にある [+] (プラス) アイコンをクリックして、緩和ルールに直接適用できます。
    2. 学習 — データの取得を開始する前に、ボット保護手法ごとに学習を有効にする必要があります。トラフィックがアクティブに監視されると、ブロックされたルールのリストが返され、正確性を確認できます。
  3. 緩和ルールを設定するには、[追加] ボタンをクリックし、ポップアップウィンドウに表示されるフィールドに値を入力します。終了したら [コミット] をクリックします。
    1. [名前] — 構成されている緩和ルールの名前を指定します。
    2. 有効 — ON または OFF のいずれかに設定します。
    3. [名前の正規表現] — [オン] または [オフ] に設定します。
    4. URL — 許可される URL を指定します。
    5. 場所 — ドロップダウンメニューから次のいずれかを選択します。
      1. クッキー
      2. フォームフィールド、
      3. ヘッダー。
    6. [値のタイプ] — ドロップダウンメニューから次のいずれかを選択します。
      1. キーワード
      2. 特殊文字列、
      3. Wildchar。
    7. 値式は正規表現ですか — ON または OFF に設定
    8. [値式] — ルールの値式を指定します。
  4. ラーニングを有効にするには、希望する構成の [オフ/オン] オプションを選択します。
  5. [保存] をクリックします。

署名

[署名] セクションでは、特定の設定可能なルールを指定して、既知の攻撃から Web サイトを保護するタスクを簡略化できます。シグニチャは、オペレーティングシステム、Web サーバー、Web サイト、XML ベースの Web サービス、またはその他のリソースに対する既知の攻撃のコンポーネントであるパターンを表します。

標準署名

[Standard Signatures] セクションには、一般的な Web 脆弱性から保護するために使用される、事前設定されたリテラルおよび Perl 互換正規表現 (PCRE) キーワードと特殊文字列のセットが表示されます。これらの設定されたシグニチャは、デフォルト設定なので編集できません。

  1. [署名] タブを選択し、[標準署名] オプションを選択します。
  2. [設定済みの署名] セクションには、現在表示または作成中の WAF プロファイルポリシーに選択または追加された署名が表示されます。
    1. 新しいポリシーの場合、このセクションは空です。
  3. [Signatures Pool] セクションに、作成済みの事前設定済みシグニチャのリストが表示されます。矢印またはページ番号オプションを使用してさらに署名を表示したり、特定の署名を検索する場合は [フィルタ] オプションを使用できます。
    1. フィルターオプションは、各フィールド (ID、カテゴリ、説明、参照) で条件を検索し、それに応じて結果を返します。
  4. [表示(View)] アイコンをクリックしてシグニチャプールの概要を簡略表示するか、[追加(Add )] をクリックして、シグニチャプールを設定済みシグニチャセクションに追加します。
  5. 必要な署名を追加したら、[保存] ボタンをクリックします。

カスタム署名

[カスタム署名] セクションでは、攻撃や脆弱性から保護するカスタム署名を作成できます。

  1. [ カスタム署名] を選択します。
  2. [追加] をクリックします。
  3. 署名の [アクションタイプ] を選択します。
    1. ブロックとログ
    2. ログ
    3. なし
  4. 署名のカテゴリタイプを指定します。
  5. カスタム署名の説明を入力します
  6. オプションで、リクエストルールやレスポンスルールを設定できます。
    1. リクエストルールはリクエストに対してのみ検査し、レスポンスルールはレスポンスのみを検査します。
  7. [要求ルール] で、[開始] ボタンをクリックし、ドロップダウンメニューから [エリアタイプ] を選択します。これにより、入力する必要のある追加のフィールドが決まります。
    1. プラスアイコンをクリックして別の行またはエントリを追加するか、マイナスアイコンをクリックして選択した行を削除できます。
  8. [応答ルール] で、[ 開始] をクリックし、ドロップダウンメニューから [エリアタイプ] を選択します。これにより、入力する必要のある追加のフィールドが決まります。
    1. プラスアイコンをクリックして別の行またはエントリを追加するか、マイナスアイコンをクリックして選択した行を削除できます。
  9. リクエストルールまたはレスポンスルールの作成をキャンセルするには、[レスポンスルール] の横にある [ X を許可 ] をクリックして、カスタム署名から削除します。
  10. 署名の設定が完了したら、[コミット] ボタンをクリックします。
  11. WAF プロファイルポリシーの設定が完了したら、[保存] ボタンをクリックします。

CWAAPプロファイルを資産に関連付ける

CWAAPプロファイルを作成したら、次のステップはそれを資産に適用して設定を有効にすることです。

  1. 左側のナビゲーションメニューの [設定] セクションから、[アセット] を選択します。
  2. ポリシーを追加するアセットの鉛筆アイコンを選択します。アセットをまだ作成していない場合は、アセットの作成方法に関するガイドをご覧ください。
  3. [ポリシー]タブをクリックします。
  4. ドロップダウンメニューから、新しく作成したポリシー名を選択します。 a. ポリシー名が表示されない場合は、プロビジョニングに数分かかることがあるため、更新して再試行してください。
  5. [保存] ボタンをクリックします。

CWAAPポリシーがポリシーに適用されたら、プロビジョニングが行われるまで数分待ってください。

WAF ポリシーを編集する

ポリシーを作成すると、既存の設定を簡単に編集できます。ただし、アセットに関連付けられているポリシーを変更すると、プロビジョニング期間が発生し、トラフィック設定に一時的な影響を与える可能性があります。

  1. 左側のナビゲーションメニューの [構成] セクションで、[ポリシー] を選択します。
  2. 編集するポリシーの横にある鉛筆アイコンをクリックします。
  3. 各 [ポリシー設定] タブをナビゲートして変更を行い、いずれかまたはすべてのタブで変更を加えたら [ 保存] ボタンをクリックします。

WAF ポリシーを削除する

資産から CWAAP ポリシーを削除する必要がある場合、いくつかの方法でこれを実行できます。

注:

  1. 左側のナビゲーションメニューの [構成] セクションで、[ポリシー] を選択します。
  2. 削除するポリシーの横にある鉛筆アイコンをクリックします。
  3. [削除] をクリックします。

WAF ポリシーからアセットの関連付けを解除する

ポリシーから、ポリシーが割り当てられているアセットの関連付けを解除したり、WAF プロファイルを無効にしたりできます。

  1. 左側のナビゲーションメニューの [構成] セクションで、[ポリシー] を選択します。
  2. 鉛筆アイコンをクリックしてポリシーを編集します
  3. [ WAF プロファイル ] タブで、「WAF プロファイルをポリシーに適用しますか?」セクションを無視します。これにより、WAF プロファイルが無効になります。

または

  1. [ ポリシー設定 ] 画面で、[ アセット ] タブを選択します。
  2. マイナスアイコンを選択して、選択したアセットを削除します。
  3. [保存] をクリックします。

アセットを編集する

[ Asset ] セクションから、選択したアセットを編集し、ポリシーを削除できます。

  1. 左側のナビゲーションメニューの [設定] セクションから、[ アセット] を選択します。
  2. 編集するアセットの横にある鉛筆アイコンをクリックします
  3. [ ポリシー ] タブを選択します。
  4. ドロップダウンメニューにカーソルを合わせ、[ マイナスアイコン ] をクリックして、関連するポリシーを削除します。
  5. [保存] をクリックします。
ポリシー設定
June 24, 2022
寄稿者: 
C
June 24, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Citrix Systems, Inc. All rights reserved.