AWSでのNetScaler ウェブアプリファイアウォールの展開
NetScaler Web App Firewallは、顧客サーバーと顧客ユーザー間のレイヤー3ネットワークデバイスまたはレイヤー2ネットワークブリッジとしてインストールできます。通常、顧客企業のルーターまたはファイアウォールの背後に配置されます。NetScaler Web App Firewallは、Webサーバーと、ユーザーがそれらのWebサーバーにアクセスするハブまたはスイッチとの間のトラフィックを傍受できる場所にインストールする必要があります。ユーザーは、リクエストをWebサーバーに直接送信する代わりにWeb Application Firewallに、レスポンスをユーザーに直接送信する代わりにWeb Application Firewallに送信するようにネットワークを設定します。Web Application Firewallは、内部ルールセットとユーザーの追加および変更の両方を使用して、そのトラフィックを最終的な宛先に転送する前にフィルタリングします。有害と検出されたアクティビティをブロックまたは無害化し、残りのトラフィックをWebサーバーに転送します。前の画像は、フィルタリングプロセスの概要を示しています。
詳細については、「NetScaler Web App Firewallの仕組み」を参照してください。
本番環境展開のためのAWS上のNetScaler Web App Firewallのアーキテクチャ
この画像は、AWS CloudにNetScaler Web App Firewall環境を構築するデフォルトパラメータを持つ仮想プライベートクラウド (VPC) を示しています。

本番環境展開では、NetScaler Web App Firewall環境に対して以下のパラメータが設定されます。
-
このアーキテクチャは、AWS CloudFormationテンプレートの使用を前提としています。
-
AWSのベストプラクティスに従って、2つのアベイラビリティゾーンにまたがり、2つのパブリックサブネットと4つのプライベートサブネットで構成されたVPC。これにより、/16のクラスレスドメイン間ルーティング (CIDR) ブロック (65,536個のプライベートIPアドレスを持つネットワーク) を持つ独自の仮想ネットワークがAWS上に提供されます。*
-
各アベイラビリティゾーンに1つずつ、NetScaler Web App Firewallの2つのインスタンス (プライマリとセカンダリ)。
-
各ネットワークインターフェース (管理、クライアント、サーバー) に1つずつ、関連するインスタンスのトラフィックを制御する仮想ファイアウォールとして機能する3つのセキュリティグループ。
-
各インスタンスに3つのサブネット - 管理用、クライアント用、バックエンドサーバー用。
-
VPCにアタッチされたインターネットゲートウェイと、インターネットへのアクセスを許可するためにパブリックサブネットに関連付けられたパブリックサブネットルートテーブル。このゲートウェイは、Web App Firewallホストがトラフィックを送受信するために使用されます。インターネットゲートウェイの詳細については、「インターネットゲートウェイ」を参照してください。*
-
5つのルートテーブル - プライマリおよびセカンダリWeb App Firewallの両方のクライアントサブネットに関連付けられた1つのパブリックルートテーブル。残りの4つのルートテーブルは、4つのプライベートサブネット (プライマリおよびセカンダリWeb App Firewallの管理サブネットとサーバー側サブネット) のそれぞれにリンクします。*
-
ウェブアプリファイアウォールにおけるAWS Lambdaは、以下の処理を行います。
-
HAモードの各アベイラビリティゾーンで2つのWeb App Firewallを構成する
-
サンプルWeb App Firewallプロファイルを作成し、Web App Firewallに関するこの構成をプッシュする
-
-
AWS Identity and Access Management (IAM) to securely control access to AWS services and resources for your users. By default, the CloudFormation Template (CFT) creates the required IAM role. However, users can provide their own IAM role for NetScaler ADC instances.
-
In the public subnets, two managed Network Address Translation (NAT) gateways to allow outbound internet access for resources in public subnets.
注:
The CFT Web App Firewall template that deploys the NetScaler Web App Firewall into an existing VPC skips the components marked by asterisks and prompts users for their existing VPC configuration.
Backend servers are not deployed by the CFT.
コストとライセンス
ユーザーは、AWS展開の実行中に使用されるAWSサービスの費用に責任を負います。この展開に使用できるAWS CloudFormationテンプレートには、ユーザーが必要に応じてカスタマイズできる構成パラメーターが含まれています。インスタンスタイプなど、これらの設定の一部は展開のコストに影響します。コストの見積もりについては、ユーザーは使用している各AWSサービスの料金ページを参照してください。価格は変更される場合があります。
AWS上のNetScaler Web App Firewallにはライセンスが必要です。NetScaler Web App Firewallをライセンスするには、ユーザーはライセンスキーをS3バケットに配置し、展開を起動するときにその場所を指定する必要があります。
注:
ユーザーがBring your own license (BYOL) ライセンスモデルを選択する場合、AppFlow機能が有効になっていることを確認する必要があります。BYOLライセンスの詳細については、AWS Marketplace/Citrix VPX - お客様ライセンスを参照してください。
AWSで実行されているCitrix® ADC Web App Firewallには、次のライセンスオプションが利用可能です。ユーザーは、スループットなどの単一の要因に基づいてAMI (Amazon Machine Image) を選択できます。
-
ライセンスモデル:従量課金制 (PAYG)(本番ライセンスの場合)または持ち込みライセンス (BYOL)(顧客ライセンスAMI - Citrix ADC Pooled Capacityの場合)。Citrix ADC Pooled Capacityの詳細については、Citrix ADC Pooled Capacityを参照してください。
-
BYOLの場合、3つのライセンスモードがあります。
-
NetScaler プールキャパシティの構成: Citrix ADC プールキャパシティの構成
-
NetScaler VPX チェックイン/チェックアウトライセンス (CICO): Citrix ADC VPX チェックイン/チェックアウトライセンス
ヒント:
ユーザーが VPX-200、VPX-1000、VPX-3000、VPX-5000、または VPX-8000 アプリケーションプラットフォームタイプで CICO ライセンスを選択する場合、NetScaler Console ライセンスサーバーに同じスループットライセンスが存在することを確認する必要があります。
- ネットスケーラー 仮想CPUライセンス: ネットスケーラー 仮想CPUライセンス
-
-
注:
ユーザーが VPX インスタンスの帯域幅を動的に変更したい場合は、BYOL オプションを選択する必要があります。例えば、NetScaler Console からライセンスを割り当てることができる NetScaler プールキャパシティ、またはオンデマンドでインスタンスの最小および最大容量に応じて NetScaler からライセンスをチェックアウトできます(再起動は不要です)。再起動が必要なのは、ユーザーがライセンスエディションを変更したい場合のみです。
-
スループット: 200 Mbps または 1 Gbps
-
バンドル: プレミアム
展開オプション
この展開ガイドでは、2 つの展開オプションを提供します。
-
最初のオプションは、クイックスタートガイド形式と以下のオプションを使用して展開することです。
-
新しい VPC への NetScaler Web App Firewall の展開 (エンドツーエンド展開)。このオプションは、VPC、サブネット、セキュリティグループ、その他のインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、この新しい VPC に NetScaler Web App Firewall を展開します。
-
既存の VPC への NetScaler Web App Firewall の展開。このオプションは、ユーザーの既存の AWS インフラストラクチャに NetScaler Web App Firewall をプロビジョニングします。
-
-
2 番目のオプションは、NetScaler Console を使用して Web App Firewall StyleBook を使用して展開することです。
AWS クイックスタート
ステップ1:ユーザーのAWSアカウントにサインインする
-
AWSでユーザーアカウントにサインインします: AWS。Amazonアカウントを作成する (必要に応じて) か、Amazonアカウントにサインインするために必要な権限を持つIAM (Identity and Access Management) ユーザーロールを使用します。
-
ナビゲーションバーのリージョンセレクターを使用して、ユーザーがAWSアベイラビリティーゾーン全体に高可用性をデプロイしたいAWSリージョンを選択します。
-
ユーザーのAWSアカウントが正しく設定されていることを確認してください。詳細については、このドキュメントの「技術要件」セクションを参照してください。
ステップ2:ネットスケーラー ウェブアプリケーションファイアウォール AMIを購読する
-
このデプロイには、AWS MarketplaceでのNetScaler Web App FirewallのAMIへのサブスクリプションが必要です。
-
ユーザーのAWSアカウントにサインインします。
-
次の表のいずれかのリンクを選択して、NetScaler Web App Firewallの提供ページを開きます。
- ユーザーが以下のステップ3でNetScaler Web App Firewallをデプロイするためにクイックスタートガイドを起動するとき、彼らはNetScaler Web App Firewall Imageパラメーターを使用して、AMIサブスクリプションに一致するバンドルとスループットオプションを選択します。以下の一覧は、AMIオプションと対応するパラメーター設定を示しています。VPX AMIインスタンスには、最低2つの仮想CPUと2GBのメモリが必要です。
注記:
AMI IDを取得するには、GitHubのAWS Marketplace上のネットスケーラー製品ページを参照してください:AWS Marketplace上のCitrix製品。
-
AWS マーケットプレイス AMI
-
NetScaler Webアプリケーションファイアウォール (ウェブアプリファイアウォール) - 200 Mbps:Citrix ウェブアプリファイアウォール (ウェブアプリファイアウォール) - 200 Mbps
-
NetScaler Webアプリケーションファイアウォール (Webアプリファイアウォール) - 1000 Mbps: Citrix Webアプリケーションファイアウォール (Webアプリファイアウォール) - 1000 Mbps
-
-
AMIページで、サブスクライブを続行 を選択します。
NetScaler Webアプリケーションファイアウォール (Web App Firewall) の AWS マーケットプレイス ページ(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-03.png)
- ソフトウェア使用の利用規約を確認し、[Accept Terms] を選択します。
NetScaler Web App Firewallユーザーライセンス契約の条項に同意する(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-04.png)
注:
ユーザーには確認ページが表示され、アカウント所有者にはメール確認が送信されます。詳細なサブスクリプション手順については、AWS Marketplaceドキュメントの「Getting Started」を参照してください: Getting Started。
- サブスクリプションプロセスが完了したら、それ以上のアクションなしでAWS Marketplaceを終了します。AWS Marketplaceからソフトウェアをプロビジョニングしないでください。ユーザーはクイックスタートガイドを使用してAMIを展開します。
ステップ3:AWSクイックスタートを起動する
-
ユーザーのAWSアカウントにサインインし、次のいずれかのオプションを選択してAWS CloudFormationテンプレートを起動します。オプションの選択については、このガイドの前のデプロイオプションを参照してください。
-
以下の場所にあるAWS CloudFormationテンプレートのいずれかを使用して、NetScaler VPXをAWS上の新しいVPCに展開します。
-
重要:
既存のVPCにNetScaler Web App Firewallを展開する場合、VPCが2つのアベイラビリティゾーンにまたがり、各アベイラビリティゾーンにワークロードインスタンス用のパブリックサブネットが1つとプライベートサブネットが2つあり、サブネットが共有されていないことを確認する必要があります。この展開ガイドは共有サブネットをサポートしていません。共有VPCの操作については、「Working with Shared VPCs: Working with Shared VPCs」を参照してください。これらのサブネットには、インスタンスがインターネットに公開されることなくパッケージやソフトウェアをダウンロードできるように、ルートテーブルにNATゲートウェイが必要です。NATゲートウェイの詳細については、NAT Gatewaysを参照してください。サブネットが重複しないようにサブネットを設定してください。
また、ユーザーは、Amazon VPCドキュメントのDHCPオプションセットDHCP Options Setsで説明されているように、DHCPオプションのドメイン名オプションが設定されていることを確認する必要があります。クイックスタートガイドを起動すると、VPC設定の入力を求められます。
-
各デプロイメントの完了には約15分かかります。
-
ナビゲーションバーの右上隅に表示されているAWSリージョンを確認し、必要に応じて変更します。ここにCitrix Web App Firewallのネットワークインフラストラクチャが構築されます。テンプレートはデフォルトで米国東部 (オハイオ) リージョンで起動されます。
注:
このデプロイメントにはNetScaler Web App Firewallが含まれていますが、これは現在すべてのAWSリージョンでサポートされているわけではありません。サポートされているリージョンの最新リストについては、AWSサービスエンドポイントを参照してください: AWSサービスエンドポイント。
-
「テンプレートの選択」ページで、テンプレートURLのデフォルト設定を維持し、「次へ」を選択します。
-
「詳細の指定」ページで、ユーザーの都合に合わせてスタック名を指定します。テンプレートのパラメータを確認します。入力が必要なパラメータには値を指定します。その他のすべてのパラメータについては、デフォルト設定を確認し、必要に応じてカスタマイズします。
-
次の表では、パラメータがカテゴリ別にリストされ、デプロイオプションごとに個別に説明されています。
-
新規または既存のVPCにNetScaler Web App Firewallをデプロイするためのパラメータ (デプロイオプション1)
-
ユーザーがパラメータの確認とカスタマイズを終えたら、「次へ」を選択します。
新しいVPCにNetScaler Web App Firewallをデプロイするためのパラメータ
VPCネットワーク構成
| パラメータラベル (名前) | デフォルト | 説明 |
|---|---|---|
| プライマリ アベイラビリティゾーン領域 (PrimaryAvailabilityZone) | 入力が必要です | プライマリNetScaler Web App Firewallデプロイメントの可用性ゾーン |
| Secondary Availability Zone (SecondaryAvailabilityZone) | 入力が必要です | セカンダリNetScaler Web App Firewallデプロイメントの可用性ゾーン |
| ブイピーシー シーアイディーアール (VPCCIDR) | 10.0.0.0/16 | VPCのCIDRブロック。x.x.x.x/xの形式の有効なIP CIDR範囲である必要があります。 |
| リモート エスエスエイチ シーアイディーアール アイピー (管理) (RestrictedSSHCIDR) | 入力が必要です | EC2インスタンスにSSH接続できるIPアドレス範囲 (ポート: 22)。 |
| リモート エイチティーティーピー シーアイディーアール アイピー (クライアント) (RestrictedWebAppCIDR) | 0.0.0.0/0 | EC2インスタンスにHTTP接続できるIPアドレス範囲 (ポート: 80) |
| リモートHTTP CIDR IPアドレス (クライアントからの接続元IPアドレス範囲) (RestrictedWebAppCIDR) | 0.0.0.0/0 | EC2インスタンスにHTTP接続できるIPアドレス範囲 (ポート: 80) |
| プライマリ管理用プライベートサブネットワークのCIDRブロック範囲 (PrimaryManagementPrivateSubnetCIDR) | 10.0.1.0/24 | アベイラビリティゾーン1に配置されているプライマリ管理サブネットのCIDRブロック。 |
| Primary Management Private IP (PrimaryManagementPrivateIP) | — | プライマリ管理サブネットCIDRから、プライマリ管理ENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。 |
| プライマリ クライアント パブリック サブネット シーアイディーアール (PrimaryClientPublicSubnetCIDR) | 10.0.2.0/24 | アベイラビリティゾーン1に配置されているプライマリクライアントサブネットのCIDRブロック。 |
| プライマリクライアントプライベートIP (PrimaryClientPrivateIP) | — | プライマリクライアントサブネットCIDRから、プライマリクライアントENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。 |
| プライマリ サーバー プライベート サブネット シーアイディーアール (PrimaryServerPrivateSubnetCIDR) | 10.0.3.0/24 | アベイラビリティーゾーン1にあるプライマリサーバーのCIDRブロック。 |
| プライマリサーバープライベートIP (プライマリサーバープライベートIP) | — | プライマリサーバーサブネットCIDRからプライマリサーバーENIに割り当てられるプライベートIP(最後のオクテットは5から254の間である必要があります)。 |
| セカンダリ管理プライベートサブネットCIDR (セカンダリ管理プライベートサブネットCIDR) | 10.0.4.0/24 | アベイラビリティーゾーン2にあるセカンダリ管理サブネットのCIDRブロック。 |
| セカンダリ管理プライベートIP (セカンダリ管理プライベートIP) | — | セカンダリ管理ENIに割り当てられるプライベートIP(最後のオクテットは5から254の間である必要があります)。セカンダリ管理サブネットCIDRからセカンダリ管理IPが割り当てられます。 |
| セカンダリクライアントパブリックサブネットCIDR (セカンダリクライアントパブリックサブネットCIDR) | 10.0.5.0/24 | アベイラビリティーゾーン2にあるセカンダリクライアントサブネットのCIDRブロック。 |
| セカンダリクライアントプライベートIPアドレス (SecondaryClientPrivateIP) | — | セカンダリクライアントENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。セカンダリクライアントサブネットCIDRからセカンダリクライアントIPを割り当てます。 |
| Secondary Server Private Subnet CIDR (SecondaryServerPrivateSubnetCIDR) | 10.0.6.0/24 | アベイラビリティゾーン2に配置されているセカンダリサーバーサブネットのCIDRブロック。 |
| Secondary Server Private IP (SecondaryServerPrivateIP) | — | セカンダリサーバーENIに割り当てられたプライベートIP (最後のオクテットは5から254の間である必要があります)。セカンダリサーバーサブネットCIDRからセカンダリサーバーIPを割り当てます。 |
VPCテナンシー属性 (VPCTenancy) |
デフォルト | VPCに起動されるインスタンスに許可されるテナンシー。専用テナンシーを選択して、単一の顧客専用のEC2インスタンスを起動します。 |
Bastionホストの設定
| パラメータラベル (名前) | デフォルト | 説明 |
|---|---|---|
| 踏み台ホストが必要かどうか (LinuxBastionHostEIP) | いいえ | デフォルトでは、踏み台ホストは設定されません。ただし、ユーザーがサンドボックスデプロイを選択したい場合は、メニューから「はい」を選択すると、パブリックサブネットにEIPを持つLinux踏み台ホストがデプロイされ、ユーザーはプライベートおよびパブリックサブネット内のコンポーネントにアクセスできるようになります。 |
NetScaler ウェブアプリファイアウォール の設定
| パラメータラベル (名前) | デフォルト | 説明 |
|---|---|---|
| Key pair name (KeyPairName) | 入力が必要です | ユーザーが起動後にユーザーインスタンスに安全に接続できるようにする公開/秘密キーペア。これは、ユーザーが希望するAWSリージョンで作成したキーペアです。技術要件セクションを参照してください。 |
| ネットスケーラー インスタンスタイプ (CitrixADCInstanceType) | m4.xlarge | ADCインスタンスに使用するEC2インスタンスタイプ。選択したインスタンスタイプがAWSマーケットプレイスで利用可能なインスタンスタイプと一致していることを確認してください。そうでない場合、CFTが失敗する可能性があります。 |
| ネットスケーラー エーディーシー エーエムアイ 識別子 (CitrixADCImageID) | — | NetScaler Web App Firewallの展開に使用するAWS Marketplace AMI。これは、ステップ2でユーザーがサブスクライブしたAMIと一致する必要があります。 |
ネットスケーラー エーディーシー ブイピーエックス アイアム ロール (iam:GetRole) |
— | このテンプレート: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates は、NetScaler VPXに必要なIAMロールとインスタンスプロファイルを作成します。空のままにした場合、CFTが必要なIAMロールを作成します。 |
| クライアントパブリックIPアドレス (EIP) (ClientPublicEIP) | いいえ | ユーザーがクライアントネットワークインターフェースにパブリックEIPを割り当てたい場合は、「はい」を選択します。そうでない場合でも、展開後、必要に応じて後で割り当てるオプションがあります。 |
プールライセンス設定
| パラメータラベル (名前) | デフォルト | 説明 |
|---|---|---|
| ネットスケーラー コンソール プール型ライセンス | いいえ | ライセンスにBYOLオプションを選択する場合は、リストから「はい」を選択します。これにより、ユーザーはすでに購入済みのライセンスをアップロードできます。開始する前に、NetScaler Consoleのプールライセンスが利用可能であることを確認するために、NetScaler ADCプールキャパシティを構成する必要があります。詳細については、NetScalerプールキャパシティの構成 を参照してください。 |
| 到達可能なネットスケーラー コンソール / ネットスケーラー コンソール エージェント IP | 入力が必要です | 「顧客ライセンス」オプションの場合、ユーザーがNetScaler Consoleをオンプレミスに展開するか、クラウドにエージェントを展開するかにかかわらず、到達可能なNetScaler Console IPがあることを確認してください。これは入力パラメータとして使用されます。 |
|
ライセンスモード
|
オプション
|
ユーザーは次の3つのライセンスモードから選択できます:
|
| Mbps単位のライセンス帯域幅 | 0 メガビット/秒 | ライセンスモードがPooled-Licensingの場合にのみ、このフィールドが関係します。BYOL ADCが作成された後、ライセンスの初期帯域幅(Mbps単位)を割り当てます。これは10 Mbpsの倍数である必要があります。 |
| ライセンスエディション | プレミアム | プール型キャパシティライセンスモードのライセンスエディションはPremiumです。 |
| アプライアンスプラットフォームタイプ | オプション | CICOライセンスモードを選択した場合にのみ、必要なアプライアンスプラットフォームタイプを選択してください。ユーザーは以下のオプションを利用できます: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000。 |
| ライセンスエディション | プレミアム | vCPUベースのライセンスのライセンスエディションはPremiumです。 |
AWS クイックスタートの設定
注:
ユーザーが自身のデプロイプロジェクトのためにQuick Start Guideテンプレートをカスタマイズする場合を除き、以下の2つのパラメータのデフォルト設定を維持することをお勧めします。これらのパラメータの設定を変更すると、新しいQuick Start Guideの場所を指すようにコード参照が自動的に更新されます。詳細については、こちらにあるAWS Quick Start Guide Contributor’s Guideを参照してください: AWS Quick Starts/Option 1 - Adopt a Quick Start。
| パラメータラベル (名前) | デフォルト | 説明 |
|---|---|---|
| クイックスタートガイド S3 バケット名 (QSS3BucketName) | aws-quickstart |
ユーザーがQuick Start ガイドのアセットのコピー用に作成したS3バケット。ユーザーがQuick Start ガイドをカスタマイズまたは拡張して使用する場合に利用します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、ハイフンで開始または終了することはできません。 |
| クイックスタートガイド S3 キープレフィックス (QSS3KeyPrefix) | quickstart-citrix-adc-vpx/ | Object Key and Metadata: Object Key and Metadata からのS3キー名プレフィックスは、ユーザーがQuick Start ガイドをカスタマイズまたは拡張して使用する場合に、Quick Start ガイドアセットのユーザーコピー用のフォルダをシミュレートするために使用されます。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。 |
-
オプションページで、ユーザーはスタック内のリソースのリソースタグまたはキーと値のペアを指定し、詳細オプションを設定できます。リソースタグの詳細については、リソースタグ を参照してください。AWS CloudFormationスタックオプションの設定の詳細については、AWS CloudFormationスタックオプションの設定 を参照してください。完了したら、次へを選択します。
-
レビューページで、テンプレート設定を確認します。機能の下にある2つのチェックボックスを選択して、テンプレートがIAMリソースを作成すること、およびマクロを自動展開する機能が必要になる場合があることを承認します。
-
スタックをデプロイするには、作成を選択します。
-
スタックのステータスを監視します。ステータスがCREATE_COMPLETEになったら、NetScaler Web App Firewallインスタンスの準備が完了です。
-
スタックの出力タブに表示されるURLを使用して、作成されたリソースを表示します。

ステップ4: デプロイのテスト
このデプロイのインスタンスをプライマリとセカンダリと呼びます。各インスタンスには異なるIPアドレスが関連付けられています。クイックスタートが正常にデプロイされると、トラフィックはアベイラビリティゾーン1で構成されたプライマリのNetScaler Web App Firewallインスタンスを経由します。フェールオーバー状態では、プライマリインスタンスがクライアント要求に応答しない場合、セカンダリのWeb App Firewallインスタンスが引き継ぎます。
プライマリインスタンスの仮想IPアドレスのElastic IPアドレスはセカンダリインスタンスに移行し、セカンダリインスタンスが新しいプライマリインスタンスとして引き継ぎます。
フェールオーバープロセスでは、NetScaler Web App Firewallは次の処理を実行します。
-
NetScaler Web App Firewallは、IPセットがアタッチされている仮想サーバーをチェックします。
-
NetScaler Web App Firewallは、仮想サーバーがリッスンしている2つのIPアドレス(1つは仮想サーバーに直接アタッチされ、もう1つはIPセットを介してアタッチされている)から、関連付けられたパブリックIPアドレスを持つIPアドレスを検索します。
-
NetScaler Web App Firewallは、パブリックElastic IPアドレスを、新しいプライマリ仮想IPアドレスに属するプライベートIPアドレスに再関連付けします。
デプロイを検証するには、次の操作を実行します。
- プライマリインスタンスに接続します
例えば、プロキシサーバー、ジャンプホスト(AWSで実行されているLinux/Windows/FWインスタンス、または踏み台ホスト)、またはオンプレミス接続を扱う場合は、そのVPCまたはDirect Connectに到達可能な別のデバイスを使用します。
- フェールオーバーを強制するためのトリガーアクションを実行し、セカンダリインスタンスが引き継ぐかどうかを確認します。
ヒント:
NetScaler Web App Firewallに関する構成をさらに検証するには、プライマリNetScaler Web App Firewallインスタンスに接続した後、次のコマンドを実行します。
Sh appfw profile QS-Profile
踏み台ホストを使用してNetScaler Web App Firewall HAペアに接続する
ユーザーがサンドボックス展開を選択している場合(例えば、CFTの一部として、ユーザーがBastion Hostの設定を選択する場合)、パブリックサブネットに展開されたLinux Bastion HostがWeb App Firewallインターフェースにアクセスするように構成されます。
AWS CloudFormation コンソール(こちらからサインインしてアクセスします: サインイン)で、マスタースタックを選択し、Outputs タブで LinuxBastionHostEIP1 の値を見つけます。

-
ADCへのSSH接続に際し、後続のステップで必要となるPrivateManagementPrivateNSIPおよびPrimaryADCInstanceIDのキーの値を参照してください。
-
Services を選択します。
-
Compute タブで、EC2 を選択します。
-
「リソース」の下で、「実行中のインスタンス」を選択します。
-
プライマリWeb App Firewallインスタンスの Description タブで、IPv4 public IP アドレスをメモします。ユーザーはそのIPアドレスを使用してSSHコマンドを構築する必要があります。
-

- キーをユーザーキーチェーンに保存するには、コマンド
ssh-add -K [your-key-pair].pemを実行します。
Linuxでは、ユーザーは-Kフラグを省略する必要がある場合があります。
- ステップ1でメモした LinuxBastionHostEIP1 の値を使用して、以下のコマンドで踏み台ホストにログインします。
ssh -A ubuntu@[LinuxBastionHostEIP1]
- 踏み台ホストから、ユーザーはSSHを使用してプライマリWeb App Firewallインスタンスに接続できます。
ssh nsroot@[Primary Management Private NSIP]
パスワード: [Primary ADC Instance ID]
プライマリNetScaler Web App Firewallインスタンスへの接続中(/ja-jp/vpx/media/image-vpx-aws-appsecurity-deployment-08.png)
これで、ユーザーはプライマリNetScaler Web App Firewallインスタンスに接続されました。利用可能なコマンドを確認するには、ユーザーはhelpコマンドを実行できます。現在のHA構成を表示するには、ユーザーはshow HA nodeコマンドを実行できます。
NetScaler 管理コンソール
ネットスケーラー アプリケーション デリバリー マネジメント サービスは、オンプレミスまたはクラウドに展開されているネットスケーラー MPX、ネットスケーラー VPX、ネットスケーラー ゲートウェイ、ネットスケーラー セキュア ウェブ ゲートウェイ、ネットスケーラー SDX、ネットスケーラー ADC CPX、およびネットスケーラー SD-WAN アプライアンスを含むネットスケーラーの展開を管理するための、簡単でスケーラブルなソリューションを提供します。
NetScaler Console Serviceのドキュメントには、サービスの利用開始方法に関する情報、サービスでサポートされている機能のリスト、およびこのサービスソリューションに固有の構成が含まれています。
詳細については、NetScaler Console の概要を参照してください。
NetScaler Console を利用して AWS 上に NetScaler VPX インスタンスをデプロイする方法
顧客がアプリケーションをクラウドに移行すると、アプリケーションの一部であるコンポーネントが増加し、より分散され、動的に管理する必要が生じます。
詳細については、(/ja-jp/netscaler-console-service/hybrid-multi-cloud-deployments/provisioning-vpx-aws.html)「AWSでのNetScaler VPXインスタンスのプロビジョニング」を参照してください。
NetScaler WebアプリケーションファイアウォールとOWASPトップ10 – 2017
Open Web Application Security Project: OWASPは、Webアプリケーションセキュリティに関するOWASP Top 10 for 2017をリリースしました。このリストは、最も一般的なWebアプリケーションの脆弱性を文書化しており、Webセキュリティを評価するための優れた出発点となります。ここでは、これらの欠陥を軽減するためにNetScaler Web App Firewall (Web App Firewall) を構成する方法を詳しく説明します。Web App Firewallは、NetScaler (Premium Edition) の統合モジュールとして、またあらゆる種類のアプライアンスとして利用できます。
OWASP Top 10の完全なドキュメントは、OWASP Top Tenで入手できます。
シグネチャは、ユーザーがアプリケーションの保護を最適化するのに役立つ以下の展開オプションを提供します。
-
ネガティブセキュリティモデル: ネガティブセキュリティモデルでは、ユーザーは豊富な事前設定済みシグネチャルールを使用して、パターンマッチングの力を適用し、攻撃を検出し、アプリケーションの脆弱性から保護します。ユーザーは不要なものだけをブロックし、残りを許可します。ユーザーは、アプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加し、独自のカスタマイズされたセキュリティソリューションを設計できます。
-
ハイブリッドセキュリティモデル: シグネチャの使用に加えて、ユーザーはポジティブセキュリティチェックを使用して、ユーザーアプリケーションに最適な構成を作成できます。ユーザーが望まないものをブロックするためにシグネチャを使用し、許可されているものを強制するためにポジティブセキュリティチェックを使用します。
シグネチャを使用してユーザーアプリケーションを保護するには、ユーザーはシグネチャオブジェクトを使用するように1つ以上のプロファイルを構成する必要があります。ハイブリッドセキュリティ構成では、ユーザーシグネチャオブジェクト内のSQLインジェクションおよびクロスサイトスクリプティングパターン、およびSQL変換ルールは、シグネチャルールだけでなく、シグネチャオブジェクトを使用しているWeb Application Firewallプロファイルで構成されているポジティブセキュリティチェックによっても使用されます。
Web Application Firewallは、ユーザーが保護するWebサイトおよびWebサービスへのトラフィックを検査し、シグネチャに一致するトラフィックを検出します。一致は、ルール内のすべてのパターンがトラフィックに一致した場合にのみトリガーされます。一致が発生すると、ルールに指定されたアクションが呼び出されます。リクエストがブロックされた場合、ユーザーはエラーページまたはエラーオブジェクトを表示できます。ログメッセージは、ユーザーアプリケーションに対して開始されている攻撃を特定するのに役立ちます。ユーザーが統計を有効にすると、Web Application Firewallは、Web Application Firewallのシグネチャまたはセキュリティチェックに一致するリクエストに関するデータを維持します。
トラフィックがシグネチャとポジティブセキュリティチェックの両方に一致する場合、2つのアクションのうちより制限の厳しい方が適用されます。たとえば、ブロックアクションが無効になっているシグネチャルールにリクエストが一致しても、そのリクエストがブロックアクションが有効になっているSQLインジェクションのポジティブセキュリティチェックにも一致する場合、そのリクエストはブロックされます。この場合、リクエストはSQLインジェクションチェックによってブロックされますが、シグネチャ違反は[not blocked]としてログに記録される可能性があります。
カスタマイズ: 必要に応じて、ユーザーは独自のルールをシグネチャオブジェクトに追加できます。ユーザーはSQL/XSSパターンをカスタマイズすることもできます。ユーザーアプリケーションの特定のセキュリティニーズに基づいて独自のシグネチャルールを追加するオプションにより、ユーザーは独自のカスタマイズされたセキュリティソリューションを設計する柔軟性が得られます。ユーザーは望まないものだけをブロックし、残りは許可します。指定された場所の特定の高速一致パターンは、処理オーバーヘッドを大幅に削減し、パフォーマンスを最適化できます。ユーザーはSQLインジェクションおよびクロスサイトスクリプティングパターンを追加、変更、または削除できます。組み込みの正規表現および式エディタは、ユーザーがパターンを構成し、その正確性を検証するのに役立ちます。
NetScaler ウェブアプリファイアウォール
Web App Firewallは、最新のアプリケーション向けに最先端の保護を提供するエンタープライズグレードのソリューションです。NetScaler Web App Firewallは、Webサイト、Webアプリケーション、APIなどの公開資産に対する脅威を軽減します。NetScaler Web App Firewallには、IPレピュテーションベースのフィルタリング、ボット軽減、OWASP Top 10アプリケーション脅威保護、レイヤー7 DDoS保護などが含まれています。また、認証、強力なSSL/TLS暗号、TLS 1.3、レート制限、および書き換えポリシーを適用するオプションも含まれています。基本的なWeb App Firewall保護と高度なWeb App Firewall保護の両方を使用することで、NetScaler Web App Firewallは比類のない使いやすさでアプリケーションを包括的に保護します。セットアップは数分で完了します。さらに、動的プロファイリングと呼ばれる自動学習モデルを使用することで、NetScaler Web App Firewallはユーザーの貴重な時間を節約します。保護されたアプリケーションの動作を自動的に学習することで、Web App Firewallは開発者がアプリケーションを展開および変更しても、アプリケーションに適応します。NetScaler Web App Firewallは、PCI-DSS、HIPAAなど、すべての主要な規制基準および機関への準拠を支援します。当社のCloudFormationテンプレートを使用すると、迅速なセットアップがこれまでになく簡単になります。自動スケーリングにより、ユーザーはトラフィックが増加してもアプリケーションが保護されたままであることを確信できます。
ウェブアプリファイアウォール展開戦略
Webアプリケーションファイアウォールを展開する最初のステップは、どのアプリケーションまたは特定のデータが最大のセキュリティ保護を必要とし、どれが脆弱性が低く、セキュリティ検査を安全にバイパスできるかを評価することです。これにより、ユーザーは最適な構成を考案し、トラフィックを分離するための適切なポリシーとバインドポイントを設計するのに役立ちます。たとえば、ユーザーは、画像、MP3ファイル、動画などの静的Webコンテンツのリクエストのセキュリティ検査をバイパスするポリシーを構成し、動的コンテンツのリクエストに高度なセキュリティチェックを適用する別のポリシーを構成したい場合があります。ユーザーは、同じアプリケーションの異なるコンテンツを保護するために、複数のポリシーとプロファイルを使用できます。
次のステップは、展開のベースラインを設定することです。仮想サーバーを作成し、テストトラフィックを流して、ユーザーシステムを流れるトラフィックの速度と量を確認することから始めます。
次に、Web App Firewallを展開します。NetScalerコンソールとWeb App Firewall StyleBookを使用してWeb App Firewallを構成します。詳細については、このガイドの以下のStyleBookセクションを参照してください。
ウェブアプリファイアウォールが展開され、ウェブアプリファイアウォール StyleBook で構成された後、次の有用なステップは、NetScaler ADC ウェブアプリファイアウォールと OWASP Top 10 を実装することです。
最後に、Web App Firewallの保護機能のうち3つは、一般的な種類のWeb攻撃に対して特に効果的であり、他のどの機能よりも一般的に使用されています。したがって、これらは初期展開で実装する必要があります。
ネットスケーラー コンソール
NetScaler コンソールは、オンプレミスまたはクラウドに展開されている NetScaler ADC MPX、NetScaler ADC VPX、NetScaler ゲートウェイ、NetScaler セキュアウェブゲートウェイ、NetScaler ADC SDX、NetScaler ADC CPX、および NetScaler SD-WAN アプライアンスを含む NetScaler ADC 展開を管理するためのスケーラブルなソリューションを提供します。
NetScaler コンソールアプリケーションの分析および管理機能
NetScaler コンソールでサポートされている機能は、App Security における NetScaler コンソールの役割にとって重要です。
機能の詳細については、「機能とソリューション」を参照してください。
前提条件
AWS で VPX インスタンスを作成する前に、前提条件が満たされていることを確認してください。詳細については、「前提条件」を参照してください。
制限事項と使用ガイドライン
AWS に Citrix ADC VPX インスタンスを展開する場合、「制限事項と使用ガイドライン」に記載されている制限事項と使用ガイドラインが適用されます。
技術的な要件
展開を開始するためにクイックスタートガイドを起動する前に、ユーザーアカウントが以下のリソース表に指定されているとおりに構成されている必要があります。そうしないと、展開が失敗する可能性があります。
リソース
必要に応じて、ユーザーのAmazonアカウントにサインインし、以下のリソースのサービス制限の引き上げをここでリクエストしてください: AWS/サインイン。これらのリソースを使用する既存の展開があり、この展開でデフォルトの制限を超える可能性があると思われる場合は、これを行う必要があるかもしれません。デフォルトの制限については、AWS ドキュメントの AWS Service Quotas を参照してください: AWS Service Quotas。
ここで確認できる AWS Trusted Advisor: AWS/サインイン は、一部のサービスの特定の側面における使用状況と制限を表示するサービス制限チェックを提供します。
| リソース | この展開で使用されるもの |
|---|---|
| VPC | 1 |
| エラスティック IP アドレス | 0/1 (踏み台ホスト用) |
| IAM セキュリティグループ | 3 |
| IAM ロール | 1 |
| サブネット | 6 (3/アベイラビリティゾーン) |
| インターネットゲートウェイ | 1 |
| ルートテーブル | 5 |
| ウェブアプリケーションファイアウォール VPX インスタンス | 2 |
| 踏み台ホスト | 0/1 |
| NATゲートウェイ | 2 |
リージョン
NetScaler Web App Firewall on AWS は現在、すべてのAWSリージョンでサポートされているわけではありません。サポートされているリージョンの最新リストについては、AWSドキュメントの「AWS Service Endpoints」を参照してください: AWS Service Endpoints。
AWSリージョンとクラウドインフラストラクチャが重要である理由の詳細については、以下を参照してください: Global Infrastructure。
キーペア
クイックスタートガイドを使用してデプロイを計画しているリージョンのユーザーAWSアカウントに、少なくとも1つのAmazon EC2キーペアが存在することを確認してください。キーペア名を控えておいてください。デプロイ中にこの情報の入力を求められます。キーペアを作成するには、AWSドキュメントの「Amazon EC2 Key Pairs and Linux Instances」の手順に従ってください: Amazon EC2 Key Pairs and Linux Instances。
ユーザーがテストまたは概念実証の目的でクイックスタートガイドをデプロイする場合、本番インスタンスで既に使用されているキーペアを指定するのではなく、新しいキーペアを作成することをお勧めします。
参考文献
-
コマンドラインを使用してバッファオーバーフローセキュリティチェックを設定する(/ja-jp/citrix-adc/current-release/application-firewall/top-level-protections/buffer-over-flow-check.html#using-the-command-line-to-configure-the-buffer-overflow-security-check)
-
シグネチャオブジェクトの追加または削除(/ja-jp/citrix-adc/current-release/application-firewall/signatures/add-remove-signatures.html)
-
シグネチャオブジェクトの設定または変更(/ja-jp/citrix-adc/current-release/application-firewall/signatures/modifying-signatures.html)
-
シグネチャオブジェクトの更新(/ja-jp/citrix-adc/current-release/application-firewall/signatures/updating-signatures.html)
-
Snortルール統合(/ja-jp/citrix-adc/current-release/application-firewall/signatures/snort-rule-integration.html)
-
ボット検出(/ja-jp/citrix-adc/current-release/bot-management/bot-detection.html#configure-bot-management)