保護ポリシー

ポリシーを使って、脆弱性攻撃 (クッキー、URL、フォームの操作など) を防ぐ保護対策を定義することができます。また、その他の一般的な攻撃、たとえばプロトコルの違反やクロスサイト スクリプティング (XSS) 攻撃の被害を軽減させることもできます。ファイアウォールには、一般的な Web サービス用のデフォルトのポリシーが備わっています。

保護対策の設定

Cookie 署名
クッキーの改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぎます。Web サーバーがクッキーを設定すると、プライマリクッキーの名前、値、およびシークレット (ファイアウォールのみが知っているシークレット) から構成されるハッシュを含む 2つ目のクッキーが、最初のクッキーに追加されるという仕組みになっています。リクエストが正しいクッキーペアを提供できない場合、そのクッキーは破棄されます。
スタティック URL ハードニング
ユーザーによる「ディープリンク」の手動生成を防止し、不正アクセスを防ぎます。クライアントが Web サイトを要求すると、クッキー署名に似た方法で、Web サイトのすべてのスタティック URL に署名が付与されます。また、Web サーバーからのレスポンスを、次にどのリンクを要求可能かという観点から検証します。
フォームハードニング
フォームハードニングでは、Web フォームの元の構造を保存して署名することによって、SQL インジェクションなどの攻撃を防止します。送信されたフォームの構造が変更されている場合、ファイアウォールは要求を拒否します。
マルウェア対策
Web サーバーをウイルスから保護します。
低レピュテーションのクライアントをブロック
リアルタイムブラックホールリスト (RBL) と GeoIP 情報に基づいて、レピュテーションの低いクライアントをブロックします。RBL としては、Cyren IP レピュテーションインテリジェンスSORBS が使用されます。GeoIP としては、Maxmind が使用されます。A1 (匿名プロキシまたは VPN サービス) と A2 (サテライト ISP) に属するクライアントがブロックされます。

一般的な脅威対策

プロトコルの違反
HTTP/S プロトコルの RFC 標準仕様に準拠させます。これら仕様に違反しているものは通常悪意のあることを示します。
プロトコルアノマリー
一般的な使用パターンを検索します。こうしたパターンが無い場合は通常、悪意のある要求であることを示します。パターンには、「Host」 および 「User-Agent」 などの HTTP ヘッダーや、その他の項目が含まれます。
要求の制限
要求引数の数と範囲に妥当な制限を適用します。要求引数のオーバーロードは典型的な攻撃ベクトルです。
HTTP ポリシー
HTTP プロトコルの使用範囲を制限します。Webブラウザは概して、可能なHTTPオプションの中から、制限されたサブセットのみを使用します。使用頻度の低いオプションを禁止すると、こうしたオプションを悪用する攻撃を防止することができます。
バッドロボット
ボットとクローラの代表的な使用パターンを検出します。ボットとクローラのアクセスを拒否することで、Web サーバー上の潜在的な脆弱性が検出される可能性が少なくなります。
一般的な攻撃
多くの攻撃でよく使用されるコマンドの試行を検出します。Web サーバーに違反があった場合、攻撃者は一般的にそのサーバー上で権限の拡張やデータ格納操作のようなコマンドの実行を試みます。こうした侵入後の実行試行を検索することで、例えば、合法的なアクセス方法で脆弱なサービスを標的にしていたために、見つからないままになっていたかもしれない攻撃を検出することが出来ます。
SQL インジェクション攻撃
要求引数から、埋め込み SQL コマンドとエスケープ文字を検出します。Web サーバー上での大部分の攻撃は、データベースに埋め込まれた SQL コマンドの送信に使用できる入力フィールドを標的にしています。
XSS 攻撃
要求引数から、埋め込みスクリプトタグとコードを検出します。一般的なクロスサイトスクリプト攻撃は、対象 Web サーバー上の入力フィールドに合法な手段でスクリプトコードの挿入を行います。
厳格なセキュリティ
厳格なセキュリティチェックを実行します (禁じられているパストラバーサルなど)。
トロイの木馬
トロイの木馬の代表的な使用パターンを検出します。
注: この設定は、トロイの木馬のインストールを防止する効果はありません。トロイの木馬のインストールは、ウイルス対策スキャンによって防止されます。
送信
Web サーバーからクライアントへの情報流出を防止します。これには、他に多数ある中でも、機密情報を収集したり特定の脆弱性を検出するために攻撃者が使用できる、サーバーによって送信されたエラーメッセージが含まれます。