Web サーバープロテクション (WAF) ルール

WAF ルールは、Web サーバー (物理サーバーまたはクラウドベース) でホストされているアプリケーションやウェブサイトを悪用や攻撃から保護する役割を果たします。

XG Firewall はリバースプロキシとして動作し、内部および外部の Web サーバーを保護します。WAF ルールは、IPv4 トラフィックに対して作成できます。

WAF ルールでは、仮想 Web サーバーを指定し、DNAT ルールやファイアウォールルールを設定せずに、物理サーバーに変換することができます。また、Salesforce や Microsoft アプリケーションなどの Web アプリケーションも保護できます。

XG Firewall では、パスや保護ポリシーがあらかじめ定義された WAF ルールテンプレートが提供されています。テンプレートは、Exchange Autodiscover、Outlook Anywhere (Outlook 2007、2010、2013)、Outlook Web Access (Exchange の一般ルールに含まれる)、Lync、Sharepoint (2010、2013)、Remote Desktop Gateway 2008 R2、Remote Desktop Web 2008 R2 に対応しています。

WAF ルールはファイアウォールルールに含まれます。WAF ルールを作成するには、ファイアウォールルールを追加して、アクションをWeb サーバープロテクションで保護するに設定する必要があります。

WAF の機能

XG Firewall は、HTTPS プロトコルおよび SNI (Server Name Indication) に対応しており、同じ IP アドレスおよびポートに複数の仮想 Web サーバーを作成することができます。WAF ルールは、ワイルドカードのドメインをサポートしています。

URL リクエストを特定の Web サーバーに転送したり、セッションを Web サーバーにバインドしたり、すべてのリクエストをプライマリ Web サーバーに送信したりできます (その他のサーバーはバックアップサーバーとして使用されます)。WAF ルールにトラフィックシェーピングポリシーを追加すると、スケジュールに従って帯域幅を割り当てたり、トラフィックに優先順位を付けることができます。

保護と認証

保護ポリシー: WAF ルールに侵入防御ポリシーと保護ポリシーを追加できます。保護ポリシーによって、Web サーバーを脆弱性攻撃 (クッキー、URL、フォームの操作など) から保護することができます。また、アプリケーション攻撃やクロスサイトスクリプティング (XSS) 攻撃からも保護できます。一般的な脅威を対象に、フィルタの強度を指定できます。

WAF ルールで特定のパスや送信元を例外として指定すると、セキュリティチェックの一部を省略することができます。

Slow HTTP 攻撃 (DoS 攻撃) を防いだり、TLS バージョンコントロールを適用したりするには、Web サーバー > 全般設定にアクセスしてください。

認証ポリシー: WAF ルールでは、許可またはブロックするクライアントネットワークを指定できます。WAF ルールに認証ポリシーを追加して、リバースプロキシ認証 (ベーシックまたはフォームベース) で Web サーバーを保護することができます。このポリシーにクライアント認証の設定を指定することで、WAF ルールで指定したパスへのアクセスを制御できます。

認証テンプレート: 既定の HTML フォームテンプレートをアップロードできます。カスタマイズ可能な HTML および CSS テンプレートについては、認証テンプレートのヘルプページを参照してください。