コマンドラインインターフェイスによる手動設定
注:
Web App Firewall機能を手動で構成する必要がある場合は、NetScaler GUIの手順を使用することをCitrix では推奨しています。
Web App Firewallの機能は、 NetScalerのコマンドインターフェイスから構成できます 。ただし、重要な例外があります。コマンドインターフェイスからシグニチャを有効にすることはできません。7 つのカテゴリにおよそ 1,000 のデフォルトシグネチャがあり、コマンドインターフェイスではタスクが複雑すぎます。コマンドラインから機能を有効または無効にしたり、パラメータを設定したりできますが、手動緩和は設定できません。適応型学習機能を設定してコマンドラインから学習を有効にすることはできますが、学習した緩和や学習したルールを確認して承認またはスキップすることはできません。コマンドラインインターフェイスは、NetScalerアプライアンスとWeb App Firewallの使用に精通している上級ユーザーを対象としています。
NetScalerコマンドラインを使用してWeb App Firewallを手動で構成するには、任意のTelnetまたはセキュアシェルクライアントを使用してNetScalerコマンドラインにログオンします。
コマンドラインインターフェイスを使用してプロファイルを作成するには
コマンドプロンプトで、次のコマンドを入力します。
add appfw profile <name> [-defaults ( basic | advanced )]set appfw profile <name> -type ( HTML | XML | HTML XML )save ns config
例
次の例では、基本デフォルトで pr-basic という名前のプロファイルを追加し、プロファイルタイプに HTML を割り当てます。これは、HTML Web サイトを保護するためのプロファイルの適切な初期設定です。
add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config
コマンドラインインターフェイスを使用してプロファイルを構成するには
コマンドプロンプトで、次のコマンドを入力します。
-
set appfw profile <name> <arg1> [<arg2> ...]。<arg1>はパラメーターを表し、<arg2>は別のパラメーターか<arg1>のパラメーターに割り当てられる値を表します。特定のセキュリティチェックを構成するときに使用するパラメータの詳細については、 高度な保護とそのサブトピックを参照してください 。その他のパラメータについては、「縦断を作成するためのパラメータ」を参照してください。 save ns config
例
次の例は、基本的な既定値で作成された HTML プロファイルを設定して、シンプルな HTML ベースの Web サイトの保護を開始する方法を示しています。この例では、ほとんどのセキュリティチェックでロギングと統計情報の管理を有効にしていますが、誤検出率が低く、特別な設定を必要としないチェックについてのみブロックを有効にします。また、安全でないHTMLや安全でないSQLの変換を有効にすることで、攻撃を防ぎながらウェブサイトへのリクエストをブロックしません。ログと統計を有効にすると、後でログを確認して、特定のセキュリティチェックのブロックを有効にするかどうかを判断できます。
set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config
ポリシーを作成および設定するには
コマンドプロンプトで、次のコマンドを入力します。
add appfw policy <name> <rule> <profile>save ns config
例
次の例では、ホスト blog.example.com との間で送受信されるすべてのトラフィックをインターセプトするルールを使用して、pl-blog という名前のポリシーを追加し、そのポリシーをプロファイル pr-blog に関連付けます。
add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
Web App Firewall ポリシーをバインドするには
コマンドプロンプトで、次のコマンドを入力します。
bind appfw global <policyName> <priority>save ns config
例
次の例では、pl-blog という名前のポリシーをバインドし、優先度 10 を割り当てます。
bind appfw global pl-blog 10
save ns config
PE ごとにセッション制限を設定するには
コマンドプロンプトで、次のコマンドを入力します。
set appfw settings <session limit>
例
次の例では、PE ごとにセッション制限を設定しています。
> set appfw settings -sessionLimit 500000`
Done
Default value:100000 Max value:500000 per PE