アプリケーションセキュリティとファイアウォール機能

以下は、セキュリティとファイアウォールの機能です。

サービス不能(DoS)攻撃に対する防御

悪意ある分散型サービス不能(DDoS:Distributed Denial of Service)攻撃や、そのほかの悪意ある攻撃をサーバーに達する前に検出して阻止し、ネットワークおよびアプリケーションのパフォーマンスに悪影響を及ぼさないようにします。Citrix ADCアプライアンスは適正なクライアントを特定して、その優先度を引き上げ、疑わしいクライアントが不相応に大量のリソースを消費してサイトをダウンすることがないようにします。アプライアンスは、次のような種類の悪意ある攻撃に対するアプリケーションレベルの保護を提供します。

  • SYNフラッド攻撃
  • パイプライン攻撃
  • ティアドロップ攻撃
  • ランド攻撃
  • 帯域枯渇攻撃
  • ゾンビ接続攻撃

アプライアンスは、これらの接続へのサーバーリソースの割り当てを禁止して、これらの種類の攻撃を積極的に防御します。これによって、これらのイベントに関連するパケットが原因でサーバーに大きな負担がかかることがないようにします。

アプライアンスは、ICMP率の制限と積極的なICMPパケットチェックを使用して、ICMPベースの攻撃からもネットワークリソースを保護します。強力なIP再構築を実行して、さまざまな疑わしい、間違った形式のパケットをドロップし、サイトトラフィックにアクセス制御リスト(ACL:Access Control List)を適用して保護機能を強化します。

詳しくは、「HTTPサービス不能攻撃に対する防御」を参照してください。

コンテンツフィルタリング

レイヤー7レベルで、Webサイトを悪意のある攻撃から保護します。アプライアンスは、HTTPヘッダーに基づくユーザー構成の規則に従って、各着信要求を検査し、ユーザーが構成したアクションを実行します。アクションとして、接続の再設定、要求のドロップ、ユーザーのブラウザーへのエラーメッセージの送信などを設定できます。これにより、不要な要求を除去して、サーバーが攻撃にさらされる危険性を減らすことができます。

この機能は、HTTP GETとPOST要求を分析して、既知の不正なシグニチャを排除できるので、HTTPベースの攻撃からサーバーを防御できます。

詳しくは、「コンテンツフィルタリング」を参照してください。

レスポンダー

高度なフィルタリングのように機能し、アプライアンスからクライアントへの応答を生成するために使用できます。この機能の一般的な用途は、リダイレクト応答、ユーザー定義応答、およびリセットの生成です。

詳しくは、「レスポンダー」を参照してください。

リライト

HTTPヘッダーと本文のテキストを変更します。再書き込み機能を使用して、HTTP要求または応答にHTTPヘッダーを追加したり、個別のHTTPヘッダーを変更したり、HTTPヘッダーを削除したりできます。また、要求と応答のHTTPボディを変更することもできます。

アプライアンスは、要求を受信したり応答を送信したりするときに書き換え規則をチェックして、適切な規則を要求や応答に適用してからWebサーバーまたはクライアントコンピューターに渡します。

詳しくは、「書き換え」を参照してください。

優先度によるキューイング

ユーザー要求に優先度を付けて、要求ボリュームのサージ中に、最も重要なトラフィックが最初に処理されるようにします。要求URL、Cookie、またはその他のさまざまな要因に基づいて、優先度を設定できます。アプライアンスは、構成された優先度に基づいて3層のキューに要求を入れて、サージ中やサイト攻撃中でも、ビジネスクリティカルなトランザクションをスムーズに処理できるようにします。

詳しくは、「優先度によるキューイング」を参照してください。

サージ保護

サーバーへのユーザー要求のフローを調整し、サーバー上のリソースへ同時にアクセスできるユーザー数を制御して、サーバーの容量に達した場合には、追加の要求をキューに入れます。接続を確立できるレートを制御することによって、アプライアンスは、サーバーに渡される要求のサージをブロックし、サイトがオーバーロード状態になるのを防ぎます。

詳しくは、「サージ保護」を参照してください。

Citrix Gateway

Citrix Gateway is a secure application access solution that provides administrators granular application-level policy and action controls to secure access to applications and data while allowing users to work from anywhere. It gives IT administrators a single point of control and tools to help ensure compliance with regulations and the highest levels of information security across and outside the enterprise. At the same time, it empowers users with a single point of access—optimized for roles, devices, and networks—to the enterprise applications and data they need. This unique combination of capabilities helps maximize the productivity of today's mobile workforce.

詳しくは、「Ctirix Gateway」を参照してください。

アプリケーションファイアウォール

保護された各Webサーバーと、そのWebサーバー上のWebサイトに接続するユーザー間のトラフィックをフィルター処理して、クロスサイトスクリプティング攻撃、バッファーオーバーフロー攻撃、SQLインジェクション攻撃、強制的ブラウズなど、ハッカーやマルウェアによる悪用からアプリケーションを保護します。アプリケーションファイアウォールは、Webサーバーセキュリティに対する攻撃や、Webサーバーリソースの悪用の形跡がないかどうか、すべてのトラフィックを調べて適切なアクションを実行し、これらの攻撃を未然に防ぎます。

詳しくは、「アプリケーションファイアウォール」を参照してください。

アプリケーションセキュリティとファイアウォール機能