This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Web アプリケーションファイアウォールプロファイルの設定
アプライアンスで構成する必要があるプロファイル設定は次のとおりです。
コマンドプロンプトで入力します。
add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]
例:
add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]
各項目の意味は次のとおりです。
無効なパーセント処理。パーセントエンコードされた名前と値を処理する方法を設定します。
使用可能な設定は次のように機能します。
asp_mode-ストリップと解析の無効なパーセント。例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) が取り除かれ、残りのコンテンツが検査され、SQLInjectionチェックのアクションが実行されます。
secure_mode-無効なパーセントコード値を検出し、それを無視します。例:curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz)-が検出され、カウンタが増分され、コンテンツがそのままサーバに渡されます。
apache_mode-このモードは、セキュアモードと同様に動作します。
設定可能な値:apache_mode, asp_mode, secure_mode
デフォルト値:secure_mode
optimizePartialReqs。オフ/オン(セーフオブジェクトなし)の場合、Citrix ADCアプライアンスは部分的な要求をバックエンドサーバーに送信します。この部分的な応答は、クライアントに送り返されます。OptimizePartialReqs は、セーフオブジェクトが構成されている場合に意味があります。アプライアンスは、OFFのときにサーバーからの完全な応答要求を送信し、ONのときに部分的な応答のみを要求します。
使用可能な設定は次のとおりです。
ON -クライアントによる部分的な要求は、バックエンドサーバーへの部分的な要求になります。 OFF-クライアントによる部分的な要求は、バックエンドサーバーへの完全な要求に変更されます。 可能な値:ON、OFF デフォルト値:ON
URL デコード要求クッキー。URL デコード要求クッキーをSQLおよびクロスサイトスクリプティングチェックの対象にする前にクッキーをデコードします。
可能な値:ON、OFF デフォルト値:OFF
署名ポスト本文の制限 (バイト)。’HTTP_POST_BODY’と指定された場所を持つシグニチャのために検査されるリクエストペイロード(バイト単位)を制限します。
デフォルト値:8096 最小値:0 最大値:4294967295
ポスト本文制限 (バイト)。Web アプリケーションファイアウォールによって検査される要求ペイロード (バイト単位) を制限します。
デフォルト値:20000000 最小値:0 最大値:10ギガバイト
セキュリティ設定とそのGUI手順の詳細については、「 Web App Firewall プロファイルの構成 」トピックを参照してください。
ポストボディ制限アクションPostBodyLimit は、許可する HTTP 本体の最大サイズを指定するときに、エラー設定を反映します。 エラー設定を反映するには、1 つまたは複数のボディ制限後のアクションを設定する必要があります。この設定は、転送エンコーディングヘッダーがチャンクされる要求にも適用されます。
set appfw profile <profile_name> -PostBodyLimitAction block log stats
Where, Block-このアクションは、セキュリティチェックに違反する接続をブロックします。これは、設定された HTTP 本文の最大サイズ(本文後制限)に基づいています。このオプションは常に有効にする必要があります。
Log - このセキュリティチェックの違反を記録します。
Stats -このセキュリティー検査の統計を生成します。
注:
ポストボディ制限アクションのログ形式は、 標準の監査ログ形式に従うように変更されました。例:
ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.
InspectQueryContentTypes 次のコンテンツタイプの インジェクションされた SQL およびクロスサイトスクリプトの要求クエリと Web フォームを検査します。
set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER
可能な値:HTML、XML、JSON、その他
デフォルトでは、このパラメータは「inspectQueryContentTypes: HTML JSON Other」として基本プロファイルと高度なappfwプロファイルの両方に対して設定されます。
クエリコンテンツタイプをXMLとして検査する例:
> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.
<!--NeedCopy-->
クエリコンテンツタイプをHTMLとして検査する例:
> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done
<!--NeedCopy-->
クエリコンテンツタイプをJSONとして検査する例:
> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done
<!--NeedCopy-->
エラー URL 式です。Citrix Web App Firewall がエラーURLとして使用するURL。最大長さ:2047。
注:
要求された URL の違反をブロックする場合、エラー URL が署名 URL に似ている場合、アプライアンスは接続をリセットします。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.