Web App Firewall プロファイルのエクスポートとインポート
Web App Firewall プロファイルの構成全体(HTML エラーオブジェクト、XML エラーオブジェクト、WSDL または XML スキーマ、署名などのバインドされたすべてのオブジェクトを含む)を複数のアプライアンスに複製できます。ターゲットプロファイルを選択して構成をエクスポートし、コンピューターのローカルファイルシステムに保存することも、アーカイブされた構成を転送してサーバーに保存することもできます。同様に、コンピューターのローカルファイルシステムを参照するか、サーバーからアーカイブをインポートして、以前にエクスポートしたプロファイルを選択してNetScalerアプライアンスにインポートできます。
プロファイル構成全体をエクスポートしてから別のアプライアンスにインポートするオプションは、さまざまな用途で役立ちます。たとえば、テストベッドセットアップで Web App Firewall プロファイルを構成して、期待どおりに動作していることをテストおよび検証したい場合があります。問題がなければ、プロファイルをエクスポートして、本番環境のNetScalerアプライアンスにプロファイル構成をインポートできます。この機能は構成のバックアップにも役立ちます。変更を加える前にプロファイルをエクスポートできるので、必要に応じて設定を既知の状態に簡単にロールバックできます。
注
あるビルドからエクスポートおよびアーカイブされた Web App Firewall プロファイルは、新しいリリースで導入された変更によって互換性の問題が発生する可能性があるため、別のビルドを実行しているシステムに復元することはできません。アーカイブされたプロファイルを、エクスポート元のビルドとは異なるビルドに復元しようとすると、ns.log にエラーメッセージが記録されます。
プロファイルのエクスポートおよびインポート機能は、GUI (GUI) とコマンドラインインターフェイス (CLI) の両方で使用できます。 GUI を使用することをおすすめします。 使いやすいアクションオプションが用意されているからです 。ボタンをクリックするだけで、プロファイルの構成全体を エクスポート または インポート できます。
CLI Web App Firewall プロファイルのエクスポート
CLI を使用してプロファイルを エクスポート する場合は、構成を アーカイブ してから エクスポート する必要があります。 プロファイルをインポートするには 、 アーカイブをNetScalerアプライアンスにインポートしてから 、 復元コマンドを実行して構成を抽出する必要があります 。次のCLIコマンドセットは、プロファイル構成のエクスポート、インポート、管理に使用できます。
アーカイブをエクスポートする CLI コマンド:
archive appfw profile <name> <archivename> [-comment <string>]export appfw archive <name> <target>
アーカイブをインポートする CLI コマンド:
import appfw archive <src> <name> [-comment <string>]restore appfw profile <archivename>
アーカイブを管理する CLI コマンド:
show appfw archiverm appfw archive <name>
あるアプライアンスからプロファイルをエクスポートして別のアプライアンスへインポートするには、CLIで5つのステップが必要です。最初の 3 つのステップは、プロファイル構成が最初に作成されたソースアプライアンスで実行され、次の 2 つのステップは、プロファイル構成が複製されるターゲットアプライアンスで実行されます。
ソースNetScalerアプライアンスからプロファイルをエクスポートします。
ステップ 1: 設定したプロファイルのアーカイブを作成します。
手順2: アーカイブをNetScalerファイルシステムにエクスポートします。
手順3: scpなどのファイル転送ユーティリティを使用して、エクスポートしたアーカイブファイルをNetScalerアプライアンスAからターゲットのNetScalerアプライアンスに転送します。
ターゲットのNetScalerアプライアンスにプロファイルをインポートします。
ステップ 4: インポートコマンドを実行して、アーカイブされたファイルをインポートします。NetScalerのローカルファイルシステムからアーカイブをインポートすることも、HTTPまたはHTTPSプロトコルを使用してURLを使用してサーバーからアーカイブをインポートすることもできます。
ステップ 5: 復元コマンドを実行して、インポートしたアーカイブからプロファイル構成を復元する
コマンドラインインターフェイスを使用して Web App Firewall プロファイルをエクスポートするには:
まず、 プロファイルの設定をアーカイブし 、 そのアーカイブを目的の場所にエクスポートします 。コマンドプロンプトで、次のコマンドを入力します。
archive appfw profile <profileName> <archiveName>
各項目の意味は次のとおりです:
-
<profileName>は、アーカイブするプロファイルの名前です。 -
<archiveName>は、作成するアーカイブファイルの名前です。
上記のコマンドを実行すると、アーカイブファイルの 2 つのインスタンスが作成されます。1 つは /var/tmp フォルダーにあり、もう 1 つは /var/archive/appfw フォルダーにあります。
export appfw archive <archiveName> <target>
各項目の意味は次のとおりです:
-
<archiveName>は、エクスポートするアーカイブの名前です。(前のコマンドと同じ名前。 -
<target>は、接頭辞として local: で始まるファイルパスで、その後に<archiveName>が続きます。
エクスポートコマンドを実行すると、エクスポートされたアーカイブファイルがNetScalerアプライアンスのファイルシステムの/var/tmpフォルダーに保存されます。
例:
> archive appfw profile test_pr archived_test_pr
> export appfw archive archived_test_pr local:dutA_test_pr
上記の 2 つのコマンドを実行すると、/var/tmp フォルダーには archived_test_pr ファイルとエクスポートされたコピー Duta_Test_PR が格納されます。これらはサイズが同じです。CLIからシェルにドロップしてフォルダに移動し、これらのファイルがそこにあることを確認できます。
アーカイブファイルをエクスポートしたら、 scpなどのファイル転送ユーティリティを使用して 、アーカイブファイルのコピーを、ファイルが作成されたNetScalerアプライアンスからターゲットのNetScalerアプライアンスに転送できます。
CLI Web App Firewall プロファイルのインポート
ソースアプライアンスからターゲットアプライアンスにアーカイブファイルを正常にscpできたら、 プロファイルのアーカイブをインポートし 、 復元コマンドを実行してプロファイルの構成をターゲットアプライアンスに複製する準備が整います 。
ターゲットアプライアンスにログインします。シェルにドロップし、cd を /var/tmp フォルダにドロップして、このアプライアンスの scp ファイルのサイズがソースアプライアンス上の元のアーカイブファイルのサイズと一致することを確認します。シェルを終了してコマンドラインに戻ります。
CLI を使用してプロファイルをインポートするには:
コマンドプロンプトで、次のコマンドを入力します。
import appfw archive <src> <name> [-comment <string>]
各項目の意味は次のとおりです。
-
<src>は、アーカイブファイルが作成されたソースアプライアンスから転送された後のアーカイブファイルの場所です。ローカルファイルシステムとファイル名を使用できます。アーカイブをサーバーに置いた場合は、URL を使用してアーカイブファイルをインポートできます。パスまたはファイル名にスペースが含まれている場合は、URL を二重引用符で囲みます。 -
<name>は、インポートするアーカイブファイルの名前です。 -
<string>アーカイブの目的に関するオプションの説明です。
restore appfw profile <archiveName>
例:
A。ローカルファイルからのインポートと復元:
> import appfw archive local:dutA_test_pr dut2_test_pr
> restore appfw profile dut2_test_pr
B。URLからインポートし、次にリストアします。
import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archiverestore appfw profile my_archive
この例では、test_prプロファイルとすべてのバインドされたオブジェクト(署名、HTMLエラーページ、緩和ルールなど)をターゲットのNetScalerアプライアンスに復元します。
次の CLI コマンドを使用してマニュアルページにアクセスすると、詳細を確認できます。
- メインアーカイブappfwプロファイル
- man エクスポート appfw アーカイブ
- man import appfw archive
- appfw プロファイルのリストア
- man show appfw archive
- man rm appfw archive
GUI による Web App Firewall プロファイルのエクスポートとインポート
GUI は CLI よりも使いやすいです。[エクスポート] をクリックすると、 ユーティリティはアーカイブ操作とエクスポート操作の両方を実行します。 同様に、[インポート] をクリックすると、インポートと復元の両方が実行されます。GUI は、ユーティリティにアクセスするコンピュータのローカルファイルシステムにアクセスできます。アーカイブのコピーをエクスポートして、ローカルコンピューターに保存できます。その後、このコピーをターゲットアプライアンスに直接インポートできます。アーカイブファイルをあるアプライアンスから別のアプライアンスに手動で転送する必要はありません。
GUI を使用して Web App Firewall プロファイルをエクスポートするには:
- [設定] > [セキュリティ] > [Web App Firewall] > [プロファイル] に移動します。
- 詳細ペインで、エクスポートするプロファイルを選択します。[ アクション ] をクリックし、[ エクスポート ] を選択して、コピーをダウンロードしてコンピューターのローカルファイルシステムに保存します。
GUI を使用して Web App Firewall プロファイルをインポートするには:
- [設定] > [セキュリティ] > [Web App Firewall] > [プロファイル] に移動します。
- 詳細ペインで、[操作] をクリックし、[インポート] を選択します。[Web App Firewall プロファイルのインポート] ペインの [インポート元*] 選択ボックスには、次の 2 つのオプションがあります。
URL: URLを指定してアーカイブをインポートできます。このオプションを選択した場合は、URL 入力ボックスにアーカイブファイルの絶対パスを指定する必要があります。
ファイル:ローカルファイルからアーカイブをインポートすることを選択できます。このオプションを選択すると、ローカルファイル選択フィールドが表示されます 。コンピューターのローカルファイルをブラウズして、対象のアーカイブファイルを選択できます。
「 作成 」をクリックして、指定したアーカイブをインポートします。インポート操作が正常に完了すると、ターゲットアプライアンスにプロファイル構成が作成されます。
ハイライト
- プロファイルのエクスポートとインポートの機能を使用すると、構成手順を繰り返すことなく、構成全体(すべてのインポートオブジェクトとプロファイルに設定された緩和ルールを含む)を複数のアプライアンスに複製できます。
- シグネチャ、WSDL、スキーマ、エラーページなどのインポートされたオブジェクトは、アーカイブされた tar ファイルに含まれ、ターゲットアプライアンスに複製されます。
- カスタマイズされたフィールドタイプはアーカイブされた tar ファイルに含まれ、ターゲットアプライアンスに複製されます。
- 構成を復元しても、アーカイブされたプロファイルのポリシーバインディングは複製されません。アプライアンスにプロファイルをインポートしたら、ポリシーを設定してプロファイルにバインドする必要があります。
- アーカイブファイルの名前は、最大 31 文字です。プロファイル名と同様に、アーカイブ名は英数字またはアンダースコアで始まり、英数字とアンダースコア (_)、数字 (#)、ピリオド (.)、スペース ()、 コロン (:)、アット (@)、等号 (=)、またはハイフン (-) のみを含む必要があります。
- アーカイブに関連するコメントは、アーカイブされた設定の目的を伝えるのに十分な説明が必要です。コメントの最大許容長は 255 文字です。
-
clear config –force basicこのコマンドでは、アーカイブされたプロファイルは削除されません。 - プロファイルのインポートおよびエクスポート機能は、高可用性 (HA) 展開でサポートされています。
デバッグに関するヒント
- コマンド実行中に /var/log/ns.log を監視して、エラーメッセージが表示されるかどうかを確認します。
- その他のログ (_restore.log、remove.log、import.log) は /var/tmp/フォルダーに生成されます。対応する操作中に問題をデバッグするのに役立ちます。これらのログのサイズが 1 MB に達すると、ログメッセージは消去され、ログファイルが元のサイズの 4 分の 1 に縮小されます。
- ローカルファイルシステムの代わりに URL オプションを使用しているときにインポートコマンドが失敗した場合は、DNS ネームサーバーとルートの設定が正確に設定されていることを確認してください。
- HTTPS プロトコルを使用してアーカイブをインポートする場合、HTTPS サーバーがクライアント証明書認証を要求すると、コマンドが失敗することがあります。