Web App Firewall プロファイルの構成
ユーザー定義の Web App Firewall プロファイルを構成するには、まずセキュリティチェックを構成します。セキュリティチェックは、Web App Firewall ウィザードでは「 ディーププロテクション**」または「高度な保護 」と呼ばれます。一部のチェックでは、使用するためには設定が必要です。安全ではあるが範囲が限定された既定の設定があるものもあります。Web サイトでは、特定のセキュリティチェックのより多くの機能を利用する別の設定が必要か、その恩恵を受ける可能性があります。
セキュリティチェックを構成したら、1 つのセキュリティチェックではなく、Web App Firewall 機能の動作を制御するその他の設定も構成できます。ほとんどの Web サイトを保護するには既定の設定で十分ですが、保護された Web サイトに適しているかどうかを確認するには、これらを確認する必要があります。
注:
プロファイル名の長さとすべてのインポートオブジェクト名の長さは、最大127文字まで設定できます。
Web App Firewall のセキュリティチェックの詳細については、「 高度な保護」を参照してください。
コマンドラインを使用して Web App Firewall プロファイルを構成するには
コマンドプロンプトで、次のコマンドを入力します:
-
set appfw profile <name> <arg1> [<arg2> ...]
各項目の意味は次のとおりです:
-
<arg1>
= パラメータと関連するオプション。 -
<arg2>
= 2 番目のパラメータと関連するオプション。 - … = 追加のパラメータとオプション。
特定のセキュリティチェックを設定するときに使用するパラメータの詳細については、「 高度な保護」を参照してください。
-
-
save ns config
例
次の例は、pr-basic
という名前のプロファイルで HTML SQL インジェクションと HTML クロスサイトスクリプティングチェックのブロックを有効にする方法を示しています。このコマンドは、プロファイルに他の変更を加えずにこれらのアクションをブロックできるようにします。
set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->
緩和ルールを Web App Firewall プロファイルにバインドする
Web App Firewall が違反を検出すると、ユーザーは緩和ルールによって適用されたアクションをバイパスできます。緩和ルールは、検出されたセキュリティ違反に適用される例外です。たとえば、開始 URL 緩和ルールは、強制的なブラウジングから保護します。ハッカーによって悪用される既知の Web サーバーの脆弱性は、デフォルトの URL の拒否ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー、SQL、クロスサイトスクリプティングなど、一般的に起動される攻撃も簡単に検出できます。
CLI を使用してセキュリティ免除ルールまたは緩和ルールをバインドするには
コマンドプロンプトで入力します:
bind appfw profile <name> ((-startURL <expression> [-resourceId <string>]) | -denyURL <expression> | (-fieldConsistency <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->
GUI を使用してセキュリティ免除ルールまたは緩和ルールをバインドするには
- [ **セキュリティ] > [NetScaler Web App Firewall] **[プロファイル] に移動します。
- 詳細ペインで、プロファイルを選択し、[ 編集] をクリックします。
- [NetScaler Web App Firewall プロファイル ]ページで、[ 詳細設定 ]セクションの[ 緩和ルール ]をクリックします。
- [ 緩和ルール ] セクションで、[ startURL ] をクリックし、[ 編集] をクリックします。
- [ 開始 URL 緩和ルール ] ページで、[ 追加] をクリックします。
-
[ URL 緩和ルールの開始 ] ページで、次のパラメータを設定します。
- Enabled。緩和ルールを有効にするには、このチェックボックスをオンにします。
- 開始 URL。正規表現の値を入力します。
- [コメント]。緩和ルールについて簡単に説明してください。
- [作成]して[閉じる] をクリックします。
GUI を使用して Web App Firewall プロファイルを構成するには
- [ **セキュリティ] > [NetScaler Web App Firewall] **[プロファイル] に移動します。
- 詳細ウィンドウで、構成するプロファイルを選択し、[ 編集] をクリックします。
-
[ Web App Firewall プロファイルの構成 ] ダイアログボックスの [ セキュリティチェック ] タブで、セキュリティチェックを構成します。
-
チェックに対するアクションを有効または無効にするには、一覧でアクションのチェックボックスをオンまたはオフにします。
-
リスト内のセキュリティー検査のパラメータを構成するには、チェックボックスをオンにして [ Active Settings] をクリックします。
-
選択したセキュリティー検査のログエントリを確認するには、チェックボックスをオンにして [ ログ] をクリックします。この情報を使用して、攻撃と一致するセキュリティチェックを決定し、セキュリティチェックのトラフィックをブロックできます。また、この情報を使用して、正規のトラフィックと一致するチェックを決定し、正当な接続を許可するように適切な除外を設定することもできます。ログの詳細については、ログ、 統計、およびレポートを参照してください。
-
チェックを完全に無効にするには、リストで、そのチェックの右側にあるすべてのチェックボックスをオフにします。
-
- [ 設定 ] タブで、プロファイル設定を構成します。
-
以前に作成して設定したシグニチャのセットにプロファイルを関連付けるには、「共通設定」で、「シグネチャ」ドロップダウンリストからそのシグニチャセットを選択します。
注:
[共通設定] セクションを表示するには、ダイアログボックスの右側にあるスクロールバーを使用して下にスクロールする必要があります。
- HTML または XML エラーオブジェクトを設定するには、該当するドロップダウンリストからオブジェクトを選択します。
注:
まず、[インポート] ペインで使用するエラーオブジェクトをアップロードする必要があります。エラーオブジェクトのインポートの詳細については、「 インポート」を参照してください。
- デフォルトの XML コンテンツタイプを構成するには、コンテンツタイプの文字列を [既定の要求] および [既定の応答] テキストボックスに直接入力するか、[許可されたコンテンツタイプの管理] をクリックして許可されたコンテンツタイプのリストを管理します。 »もっと…。
-
- 学習機能を使用する場合は、「ラーニング」をクリックし、「 ラーニング機能の構成と使用」の説明に従って、プロファイルの学習設定を構成します。
- [ OK]をクリックして変更を保存し、[ プロファイル] ペインに戻ります。
WAF プロファイルの機密フィールド
注:
この機能は、リリース 13.1 ビルド 27.x 以降で使用できます。
WAF プロファイルに機密項目を追加できるようになりました。これらのフィールドはマスクされ、違反が発生してもADCログに記録されません。以前は、設定のみを使用してこれらのフィールドを追加できました。設定を使用して機密フィールドを追加する方法の詳細については、「 機密フィールド」を参照してください。
- [ **セキュリティ] > [NetScaler Web App Firewall] **[プロファイル] に移動します。
- プロファイルを選択し、[ 編集] をクリックします。
- [ 詳細設定]で、[ 機密フィールド] をクリックします。
- [追加] をクリックします。
- 次のパラメーターの値を入力します:
- フォームフィールド名*
- アクション URL*
- コメント
A
*
は必須フィールドを示します
- [Create] をクリックします。
- [完了] をクリックします。