Citrix Web应用防火墙
次のトピックでは,Citrix Web AppFirewall機能のインストールと構成の詳細について説明します。
| はじめに | Webセキュリティの概要とWeb应用防火墙しくみ。 |
| 構成 | Webサイト、Webサービス,またはWeb2.0サイトを保護するようにWebAppFirewallを構成する方法。 |
| 署名 | シグニチャに関する詳細な説明と,サポートされている脆弱性スキャンツールからシグニチャを構成する方法,および例を使用して独自のシグニチャを定義する方法。 |
| セキュリティ検査の概要 | 構成情報と例を含む,Web AppFirewallのセキュリティチェックの詳細な説明。 |
| プロファ邮箱ル | Web应用程序防火墙でのプロファ翻版ルの構成方法および使用方法の説明。 |
| ポリシ | Web应用程序防火墙の設定時にポリシーがどのように使用されるかを説明し,便利なポリシーの例も示します。 |
| 帐号ンポ帐号ト | Web应用程序防火墙でさまざまな種類のインポートされたファイルを使用する方法,およびファイルのインポートとエクスポートの方法の説明。 |
| グロバル設定 | すべてのプロファイルに適用されるWeb应用防火墙機能の説明,およびそれらの設定方法。 |
| 使用例 | 特定の種類のより複雑なWebサイトおよびWebサービスを最適に保護するためにWebAppFirewallを設定する方法を示す拡張例。 |
| ログ,統計,およびレポ,ト | Web应用防火墙のログ,統計,およびレポ,トにアクセスして使用する方法。WebAppFirewallの構成に役立ます。 |
Citrix Web应用防火墙では,さまざまなアプリケーションセキュリティ要件を満たすように簡単に構成できます。一連のセキュリティチェックで構成されるWeb应用防火墙プロファイルを使用して,詳細なパケットレベルの検査を行うことで,要求と応答の両方を保護できます。各プロファルには,基本保護または高度な保護を選択するオプションがあります。保護によっては、他のファ以及ルの使用が必要になる場合があります。たとえば,XML検証チェックでは,WSDLファイルまたはスキーマファイルが必要な場合があります。プロファopenstackルでは,署名やエラopenstackオブジェクトなどの他のファopenstackルも使用できます。これらのファイルはローカルで追加することも,事前にインポートして将来使用するためにアプライアンスに保存することもできます。
各ポリシーはトラフィックのタイプを識別し,そのトラフィックは,ポリシーに関連付けられたプロファイルに指定されたセキュリティチェック違反がないか検査されます。ポリシは,ポリシ。たとえば,特定の仮想サーバにバインドされているポリシーが呼び出され,その仮想サーバを通過するトラフィックだけが評価されます。ポリシーは,指定された優先順位に従って評価され,要求または応答に一致する最初のポリシーが適用されます。
Web应用程序防火墙保護の迅速な展開
Web应用程序防火墙セキュリティをすばやく展開するには,次の手順を使用します。
- Web应用程序防火墙プロファイルを追加し,アプリケーションのセキュリティ要件に適したタイプ(html、xml、JSON)を選択します。
- 必要なセキュリティレベル(基本または詳細)を選択します。
- 署名やWSDLなどの必要なファ。
- ファereplicationルを使用するようにプロファereplicationルを設定し,その他の必要な変更をデフォルト設定に加えます。
- このプロファeconルにWebAppFirewallポリシeconルにを追加します。
- ポリシをタ。
Web应用程序防火墙エンティティ
配置文件:Web应用防火墙プロファe .ルは,検索対象と何をすべきかを指定します。要求と応答の両方を検査して,チェックする必要のある潜在的なセキュリティ違反と,トランザクションの処理時に実行する必要のあるアクションを決定します。プロファ邮箱ルは,html, xml,またはhtmlとxmlのペ邮箱ロ,ドを保護できます。アプリケーションのセキュリティ要件に応じて,基本プロファイルまたは詳細プロファイルのいずれかを作成できます。基本プロファルは,既知の攻撃から保護できます。より高いセキュリティが必要な場合は,高度なプロファイルをデプロイして,アプリケーションリソースへの制御されたアクセスを許可し,ゼロデイ攻撃をブロックできます。ただし,基本プロファeルを変更して高度な保護を提供することはできますが,その逆も可能です。複数のアクション(ブロック,ログ,学習,変換など)を選択できます。高度なセキュリティチェックでは,セッション饼干と非表示のフォームタグを使用して,クライアント接続の制御と監視を行うことができます。Web应用程序防火墙プロファイルは,トリガーされた違反を学習し,緩和ルールを提案できます。
基本保護:基本プロファイルには,開始URLおよび拒否URL緩和ルールの事前構成済みセットが含まれます。これらの緩和ルルは,どの要求を許可し,どの要求を拒否する必要があるかを決定します。着信要求はこれらのリストと照合され,設定されたアクションが適用されます。これにより,ユザ。開始urlルルは,強制的な閲覧から保護します。ハッカーによって悪用される既知のWebサーバーの脆弱性は,デフォルトの[拒否URL]ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー,SQL,クロスサイトスクリプティングなど,一般的に起動される攻撃も簡単に検出できます。
先进的保护:名前が示すように,高度な保護は,より高いセキュリティ要件を持アプリケションに使用されます。リラクゼーションルールは,特定のデータのみへのアクセスを許可し,残りのデータをブロックするように構成されています。この肯定的なセキュリティモデルは,基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて,高度なプロファイルは,ブラウジングの制御,クッキーのチェック,さまざまなフォームフィールドの入力要件の指定,フォームの改ざんやクロスサイトリクエスト偽造攻撃からの保護によって,ユーザーセッションを追跡します。トラフィックを監視し,適切な緩和を展開するラーニングは,多くのセキュリティチェックでデフォルトで有効になっています。使いやすいが,高度な保護は,セキュリティを強化するだけでなく,より多くの処理を必要とし,パフォーマンスに影響を与えることができるキャッシュの使用を許可しないため,十分に考慮する必要があります。
帐号ンポ帐号ト:インポート機能は,Web应用防火墙プロファイルで外部ファイル,つまり外部または内部Webサーバーでホストされているファイル,またはローカルマシンからコピーする必要がある場合に役立ちます。ファイルをインポートしてアプライアンスに保存すると,特に外部Webサイトへのアクセスを制御する必要がある場合,コンパイルに時間がかかる場合,大きなファイルをHAデプロイメント間で同期する必要がある場合,または次の方法でファイルを再利用できる場合に便利です。複数のデバ邮箱ス間でコピ邮箱します。次に例を示します:
- 外部WebサーバーでホストされているWSDLは外部Webサイトへのアクセスをブロックする前にローカルにインポートできます。
- Cenzicなどの外部スキャンツールで生成された大きな署名ファイルは,Citrixアプライアンスのスキーマを使用してインポートおよびプリコンパイルできます。
- カスタマイズされたHTMLまたはXMLエラーページは,外部Webサーバーからインポートすることも,ローカルファイルからコピーすることもできます。
署名:シグニチャは,パターンマッチングを使用して悪意のある攻撃を検出し,トランザクションのリクエストとレスポンスの両方をチェックするように構成できるため,強力です。これらは、カスタマ。シグニチャの一致が検出されたときに実行するアクションには,複数の選択肢(ブロック,ログ,学習,変換など)を使用できます。Web应用防火墙には、1,300 を超えるシグニチャルールで構成される既定のシグニチャオブジェクトが組み込まれており、自動更新機能を使用して最新のルールを取得することもできます。他のスキャンツールで作成されたルールもインポートできます。シグニチャオブジェクトは、Web AppFirewallプロファイルで指定された他のセキュリティチェックと連携できる新しいルールを追加することでカスタマイズできます。シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致する場合にのみ違反にフラグを立てることができるため、誤検出を回避できます。ルールのリテラル
fastmatchパタンを注意深く選択すると,処理時間を大幅に最適化できます。ポリシ: Web应用程序ファイアウォールポリシーは,トラフィックをフィルタリングし,異なるタイプに分割するために使用されます。これにより,アプリケーションデータに対してさまざまなレベルのセキュリティ保護を実装する柔軟性が得られます。機密性の高いデータへのアクセスは高度なセキュリティチェック検査に向けることができ,機密性の低いデータは基本レベルのセキュリティ検査によって保護されます。ポリシーは,無害なトラフィックのセキュリティチェック検査をバイパスするように設定することもできます。セキュリティを高めるにはより多くの処理が必要となるため,ポリシーを慎重に設計するとともに,最適なパフォーマンスを実現できます。ポリシーの優先度によって評価される順序が決まり,バインドポイントによってアプリケーションのスコープが決まります。
ハ邮箱ラ邮箱ト
- さまざまなタイプのデータを保護し,さまざまなリソースに対して適切なレベルのセキュリティを実装し,パフォーマンスを最大限に引き出すことで,幅広いアプリケーションを保護できます。
- セキュリティ構成を追加または変更する柔軟性。基本保護と高度な保護を有効または無効にすることで、セキュリティチェックを強化または緩和できます。
- HTMLプロファイルをXMLまたはWeb2.0に変換するオプション(HTML + XML)プロファイルと逆に,さまざまなタイプのペイロードにセキュリティを追加する柔軟性を提供します。
- 簡単にデプロイされたアクションにより,攻撃をブロックしたり,ログで監視したり,統計情報を収集したり,攻撃文字列を変換して無害にします。
- 着信要求を検査して攻撃を検出し,サーバーから送信された応答を検査することによって機密データの漏えいを防止する機能。
- トラフィックパターンから学習して,簡単に編集可能な緩和ルールに関する推奨事項を取得でき,例外を許可するように展開できます。
- ハ邮箱ブリッドセキュリティモデル。カスタマイズ可能なシグニチャのパワーを適用して,特定のパターンに一致する攻撃をブロックし,基本または高度なセキュリティ保護に対してポジティブセキュリティモデルチェックを使用する柔軟性を提供します。
- Pci-dss準拠に関する情報を含む,包括的な設定レポトの可用性。