Webアプリケーションファイアウォール StyleBook
NetScaler Web App Firewallは、Webアプリケーションとサイトを既知および未知の攻撃の両方から保護するWebアプリケーションファイアウォール(WAF)であり、すべてのアプリケーション層およびゼロデイの脅威を含みます。
NetScaler ADMは、NetScalerインスタンス上の既存の仮想サーバーに標準および高度なアプリケーションファイアウォール構成をより便利に追加できるデフォルトのStyleBookを提供するようになりました。
標準アプリケーションファイアウォール構成の展開
NetScalerインスタンスの既存のLB仮想サーバーに標準アプリケーションファイアウォールおよびIPレピュテーションポリシーを展開するには、次の手順を実行します。
-
NetScaler ADMで、Applications > Configurations > StyleBooks に移動し、次の操作を行います。
-
名前が
waf-basicのStyleBookを検索します。
-
Create Configuration をクリックします。
ADMが開き、StyleBookで定義されているすべてのパラメータが表示されます。
-
-
次のパラメータの値を指定します。
-
Application Name - アプリケーションの名前。
-
Load Balancing Virtual Server Name - ADCインスタンスに存在する負荷分散仮想サーバーの名前。
-
WAF Settings - ADCインスタンスにWAF構成を適用するには、このオプションを有効にします。
-
AppFw Policy Rule - すべての仮想サーバーのトラフィックにアプリケーションファイアウォール設定を適用するには、True を選択します。
または、NetScalerポリシー規則を指定して、リクエストのサブセットを選択し、それにアプリケーションファイアウォール設定を適用します。詳細については、「Web App Firewallポリシー」を参照してください。
-
Type - WAF基本構成はHTMLタイプのみをサポートします。
-
-
AppFw Profile Settings - 仮想サーバーにアプリケーションファイアウォールプロファイルを追加するには、このオプションを有効にします。
次の画像は、StyleBookの一部である保護とパラメータを表示します。
-
Enable WAF Signatures - このオプションは、NetScaler上の既存のアプリケーションファイアウォール署名を、StyleBookによって作成されたプロファイルにアタッチします。
-
アプリケーションに必要な保護を有効にします。
デフォルトでは、StyleBookは
logおよびstatsWAFアクションを有効な保護に適用します。必要に応じて他のアクションを指定します。例:
SQL Injection Settings では、SQLインジェクション設定を有効にして構成できます。
同様に、必要な保護を有効にして構成できます。
-
-
-
オプション、IPレピュテーションチェック を有効にして、クライアントの送信元IPアドレスを評価します。
-
Block Malicious IPs を選択します。
-
Block Malicious IPs by Category で、選択したカテゴリに属するリクエストを事前に拒否するカテゴリを選択します。
REPUTATION を選択すると、アプリケーションは評判の悪いIPからのトラフィックをブロックします。
-
-
Target Instances で、このアプリケーションファイアウォール設定を展開するADCインスタンスを選択します。
-
Create をクリックします。
ヒント
Citrixは、インスタンスで実際の構成を実行する前に、ターゲットインスタンスで作成する必要がある構成オブジェクトを確認するために、Dry Run を選択することを推奨します。
注
StartURL保護は、標準WAF展開の一部ではありません。StartURLActionのADCデフォルトがログ統計をブロックするように設定されている場合、URLがブロックされる可能性があります。したがって、StyleBookを使用せずに、ADCで
StartURLActionとStartURLを個別に構成してください。
高度なアプリケーションファイアウォール構成の展開
NetScalerインスタンスの既存のLB仮想サーバーに高度なアプリケーションファイアウォールおよびIPレピュテーションポリシーを展開するには、次の手順を実行します。
-
NetScaler ADMで、Applications > Configurations > StyleBooks に移動し、次の操作を行います。
-
名前が
waf-advのStyleBookを検索します。
-
Create Configuration をクリックします。
ADMが開き、StyleBookで定義されているすべてのパラメータが表示されます。
-
-
次のパラメータの値を指定します。
-
Application Name - アプリケーションの名前。
-
Load Balancing Virtual Server Name - ADCインスタンスに存在する負荷分散仮想サーバーの名前。
-
WAF Settings - ADCインスタンスにWAF構成を適用するには、このオプションを有効にします。
-
AppFw Policy Rule - すべての仮想サーバーのトラフィックにアプリケーションファイアウォール設定を適用するには、True を選択します。
または、NetScalerポリシー規則を指定して、リクエストのサブセットを選択し、それにアプリケーションファイアウォール設定を適用します。詳細については、「Web App Firewallポリシー」を参照してください。
-
Type of profile - 複数のプロファイルタイプを選択できます。高度なWAF StyleBookは、HTML、XML、またはJSONプロファイルタイプをサポートします。
-
-
AppFw Profile Settings - 仮想サーバーにアプリケーションファイアウォールプロファイルを追加するには、このオプションを有効にします。
次の画像は、StyleBookの一部である保護とパラメータを表示します。
-
Enable WAF Signatures - このオプションは、NetScaler上の既存のアプリケーションファイアウォール署名を、StyleBookによって作成されたプロファイルにアタッチします。
-
WAF Advanced Protection - 高度なWAF保護を使用するには、このオプションを有効にします。
-
アプリケーションに必要な保護を有効にします。
デフォルトでは、StyleBookは
logおよびstatsWAFアクションを有効な保護に適用します。必要に応じて他のアクションを指定します。例:
SQL Injection Settings では、SQLインジェクション設定を有効にして構成できます。
同様に、必要な保護を有効にして構成できます。
-
-
-
オプション、IPレピュテーションチェック を有効にして、クライアントの送信元IPアドレスを評価します。
-
Block Malicious IPs を選択します。
-
Block Malicious IPs by Category で、選択したカテゴリに属するリクエストを事前に拒否するカテゴリを選択します。
REPUTATION を選択すると、アプリケーションは評判の悪いIPからのトラフィックをブロックします。
-
-
Target Instances で、このアプリケーションファイアウォール設定を展開するADCインスタンスを選択します。
-
Create をクリックします。
ヒント
Citrixは、インスタンスで実際の構成を実行する前に、ターゲットインスタンスで作成する必要がある構成オブジェクトを確認するために、Dry Run を選択することを推奨します。
WAF構成パックによって作成されたオブジェクトの表示
構成が正常に展開されると、StyleBookはADC上に次の構成オブジェクトを作成します。
- アプリケーションファイアウォールポリシーラベル
- アプリケーションファイアウォールポリシー
- アプリケーションファイアウォールプロファイル
また、指定された負荷分散仮想サーバーにアプリケーションファイアウォールポリシーをバインドします。
作成されたオブジェクトを表示するには、
-
Applications > StyleBook > Configurations に移動します。
-
WAF StyleBookによって作成された構成パックを選択します。
-
View Objects Created をクリックします。
