セキュリティー検査の概要

Web App Firewallの高度な保護（セキュリティチェック）は、保護されたWebサイトおよびWebサービスに対する複雑または未知の攻撃をキャッチするように設計された一連のフィルターです。セキュリティチェックでは、ヒューリスティック、ポジティブセキュリティ、およびその他の手法を使用して、シグネチャだけでは検出できない攻撃を検出します。セキュリティチェックを構成するには、Web App Firewall プロファイルを作成して構成します。このプロファイルとは、Web App Firewall で使用するセキュリティチェックと、セキュリティチェックに失敗した要求または応答の処理方法を指示します。プロファイルは、シグニチャオブジェクトおよびセキュリティ設定を作成するためのポリシーに関連付けられます。

Web App Firewall には 20 のセキュリティチェックが用意されています。このチェックは、攻撃の対象となるタイプと、設定する複雑さが大きく異なります。セキュリティー検査は、次のカテゴリに分類されます。

• 一般的なセキュリティチェック。コンテンツに関係しない、またはすべてのタイプのコンテンツに同等に適用できる Web セキュリティのあらゆる側面に適用されるチェック。
• HTML セキュリティチェック。HTML リクエストと応答を調べるチェック。これらのチェックは、HTMLベースのWebサイト、およびHTMLとXMLの混合コンテンツを含むWeb2.0サイトのHTML部分に適用されます。
• XML セキュリティチェック。XML 要求と応答を調べるチェック。これらのチェックは、XML ベースの Web サービスと Web 2.0 サイトの XML 部分に適用されます。

セキュリティチェックは、オペレーションシステムとWebサーバーソフトウェアの脆弱性、SQLデータベースの脆弱性、WebサイトとWebサービスの設計とコーディングのエラー、ホストまたはアクセスできるサイトのセキュリティ保護の失敗など、さまざまな種類の攻撃から保護します。機密情報。

すべてのセキュリティー検査には、チェックアクションという一連の構成オプションがあります。チェックアクションは、Web App Firewall がチェックに一致する接続を処理する方法を制御します。3 つのチェックアクションは、すべてのセキュリティチェックで使用できます。これには、次の種類のアカウントがあります。

• ブロック。シグニチャに一致する接続をブロックします。デフォルトでは、無効になっています。
• ログ。後で分析できるように、シグニチャに一致するログ接続。デフォルトで有効。
• 統計。シグニチャごとに、一致した接続数を示す統計情報を保持し、ブロックされた接続のタイプに関するその他の情報を提供します。デフォルトでは、無効になっています。

4 番目のチェックアクション「Learn」は、チェックアクションの半分以上に対して使用できます。保護されたWebサイトまたはWebサービスへのトラフィックを監視し、セキュリティチェックに繰り返し違反する接続を使用して、チェックに対する推奨される例外（緩和）またはチェックの新しいルールを生成します。チェックアクションに加えて、特定のセキュリティチェックには、チェックでどの接続がそのチェックに違反しているかを判断したり、チェックに違反する接続に対する Web App Firewall の応答を構成したりするためのルールを制御するパラメータがあります。これらのパラメータはチェックごとに異なり、各チェックのドキュメントで説明されています。

セキュリティチェックを構成するには、「Web App Firewall ウィザード」で説明されているようにWeb App Firewall ウィザードを使用するか、GUI を使用した手動構成の説明に従って、セキュリティチェックを手動で構成できます。緩和や規則を手動で入力したり、学習したデータを確認するなど、一部のタスクは、コマンドラインではなく GUI を使用してのみ実行できます。通常、ウィザードの使用は最適な構成方法ですが、ウィザードに精通していて、1 回のセキュリティチェックで構成を調整するだけであれば、手動構成が簡単になる場合もあります。

セキュリティチェックの構成方法にかかわらず、セキュリティチェックごとに特定のタスクを実行する必要があります。多くのチェックでは、そのセキュリティチェックのブロックを有効にする前に、正当なトラフィックのブロックを防ぐために例外（緩和）を指定する必要があります。これは、一定量のトラフィックがフィルタリングされた後にログエントリを観察し、必要な例外を作成することによって、手動で行うことができます。ただし、通常、学習機能を有効にしてトラフィックを観察し、必要な例外を推奨するほうがはるかに簡単です。

Web App Firewall は、トランザクションの処理中にパケットエンジン (PE) を使用します。各パケットエンジンには、ほとんどの展開シナリオで十分な 100K セッションに制限があります。ただし、Web App Firewall が大量のトラフィックを処理していて、セッションタイムアウトが大きい値に設定されている場合、セッションが蓄積されることがあります。有効な Web App Firewall セッション数が PE あたり 100 K を超えると、Web アプリケーションファイアウォールのセキュリティチェック違反が Security Insight アプライアンスに送信されないことがあります。セッションタイムアウトの値を小さくするか、セッションレスURL閉鎖またはセッションレスフィールドの一貫性を持つセキュリティチェックにセッションレスモードを使用すると、セッションが蓄積されるのを防ぐのに役立ちます。トランザクションが長いセッションを必要とするシナリオで、これが実行可能なオプションでない場合は、より多くのパケットエンジンを備えたハイエンドプラットフォームにアップグレードすることをお勧めします。

キャッシュされたAppFirewall のサポートが追加され、コアごとの CLI による最大セッション設定は 50K セッションに設定されます。