Microsoft Sharepoint 2010 and 2013 のルールの追加

IPv4 プロトコルを使用する Microsoft SharePoint 2010 and 2013 ルールを作成することで、Web アプリケーションとの間でやり取りする HTTP トラフィックを制御できます。

  1. ルールとポリシー > ファイアウォールに進んでください。IPv4を選択して、ファイアウォールルールの追加を選択します。
  2. ルールは、デフォルトで有効になります。条件を適用したくない場合は、ルールを無効にできます。
  3. 一般的な情報を入力します。

    名前

    説明

    ルール名

    名前を入力します。

    ルールの位置

    ルールの位置を指定します。

    利用可能なオプション:
    • 最上位
    • 最下位

    ルールグループ

    ファイアウォールルールの追加先となるルールグループを指定します。リストから新規作成を選択して、新しいルールグループを作成することもできます。

    自動を選択すると、ルールの種類、送信元ゾーン、宛先ゾーンが一致する最初の既存のグループに、ルールが追加されます。

    処理 Web サーバープロテクションで保護するを選択します。

    事前設定済みのテンプレート

    適用するテンプレートを選択します:

    なし: Web サーバープロテクションの詳細を指定します。

    Exchange 自動検出

    Exchange Outlook Anywhere

    Exchange 全般

    Microsoft Lync

    Microsoft Remote Desktop Gateway 2008 and R2

    Microsoft Remote Desktop Web 2008 and R2

    Microsoft Sharepoint 2010 and 2013

  4. 「ホスト型サーバー」の詳細を入力します。

    名前

    説明

    ホスト型アドレス

    ユーザーが内部のサーバーまたはホストにアクセスするインターフェースに割り当てられたパブリック IP アドレスを選択します。WAF ルールは、この IP アドレスにバインドされます。

    このインターフェースに割り当てられたパブリック IP アドレスまたはエイリアス (別名) を使用できます。

    クライアントが接続を確立して Web サーバーにアクセスすると、Web サーバーはクライアントの IP アドレスではなく、WAF (Web Application Firewall) のインターフェースアドレスを取得します。HTTP ヘッダ X-Forwarded-For には、クライアントの IP アドレスが含まれます。

    リスニングポート

    ホストされている Web サーバーにアクセスするポート番号を入力します。デフォルトのポートは、HTTP は 80、HTTPS は 443 です。

    HTTPS

    このオプションをオンにすると、ホストされているサーバーに HTTP ではなく HTTPS でアクセスします。

    HTTPS 証明書

    HTTPS を選択した場合は、証明書を選択します。

    XG Firewall は SNI (Server Name Indication) に対応しており、同じ IP アドレスおよびポートに複数の仮想 Web サーバーを作成することができます。それぞれのサーバーに異なる証明書を割り当てられます。サーバーは、要求されたホスト名でクライアントに表示されます。

    証明書を作成またはアップロードするには、証明書 > 証明書にアクセスします。

    転送 HTTP

    ポート 80 のトラフィックをポート 443 にリダイレクトします。

    ドメイン

    Web サーバーに設定されている FQDN を入力します (例: shop.example.com)。

    HTTPS を有効にしている場合は、選択した HTTPS 証明書のドメイン名がリストに表示されます。このドメイン名を編集するか、削除して新しいドメイン名を追加できます。

    ワイルドカード *. はドメイン名の先頭でのみ使用できます。

    例: *.company.com

    1つの WAF ポリシーで、ワイルドカードで指定した複数のドメインに対応できます。ワイルドカードのドメイン名は、具体的なドメイン名に一致しない場合にのみ照合されます。

    例: クライアントからドメイン test.company.com が要求されたときの照合順序は、test.company.com、*.company.com、*.com となります。

  5. 保護されたサーバーの詳細を指定します。Web サーバー、認証方式、許可またはブロックされたクライアントネットワークを指定できます。「パス固有のルーティング」を選択した場合は、セッションをサーバーにバインドし、プライマリサーバーおよびバックアップサーバーを指定し、WebSocket プロトコルを使用できます。
    複数の Web サーバーを選択した場合、要求は Web サーバー間で分散されます。

    「パス固有のルーティング」を設定しない場合は、Web サーバーおよびアクセス権限を指定します。

    名前

    説明

    Web サーバー

    Web サーバーのリストから Web サーバーを選択します。または、新しく作成することもできます。選択した Web サーバーは、選択した Web サーバーで確認できます。
    許可されたクライアントネットワーク

    ホステッド Web サーバーへの接続を許可するネットワークを指定します。

    ブロックされたクライアントネットワーク

    ホステッド Web サーバーへの接続をブロックするネットワークを指定します。

    認証

    Web アプリケーションの認証プロファイルを指定します。

  6. セキュリティチェックをスキップするには、新しい例外の追加を選択します。

    スキップするパス、送信元、およびセキュリティチェックを選択します。WAF ルールには複数の例外を指定できます。

    名前

    説明

    パス

    例外を作成するパスを指定します。

    パスにはワイルドカードを使用できます。例: /products/*/images/*

    操作

    パスおよび送信元ネットワークのブール演算子を選択します。

    送信元

    トラフィックの送信元の IP アドレス、範囲、リスト、またはネットワークを指定します。

    Cookie 署名

    cookie の改ざんチェックをスキップします。

    クッキーの改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぎます。Web サーバーがクッキーを設定すると、プライマリクッキーの名前、値、およびシークレット (XG Firewall のみが知っているシークレット) から構成されるハッシュを含む 2つ目のクッキーが、最初のクッキーに追加されるという仕組みになっています。リクエストが正しいクッキーペアを提供できない場合、そのクッキーは破棄されます。

    スタティック URL ハードニング

    指定したパスおよび送信元ネットワークに対して、リンクの書き換えを許可します。

    スタティック URL ハードニングは、ユーザーが手動で作成したディープリンクから不正アクセスされてしまうことを防ぐ仕組みです。クライアントが Web サイトを要求すると、クッキー署名に類似する手順で Web サイトのすべてのスタティック URL が署名されます。また、Web サーバーからのレスポンスを、次にどのリンクを要求可能かという観点から検証します。

    フォームハードニング

    Web フォームの書き換えチェックをスキップします。

    フォームの改ざんを防ぐため、XG Firewall は Web フォームの元の構造を維持したまま署名します。フォームの送信時に構造が変更された場合、XG Firewall はリクエストを拒否します。

    ウイルス対策

    特定の送信元ネットワークからの要求および特定のパスの要求に対して、ウイルス対策スキャンをスキップします。

    低レピュテーションのクライアントをブロック

    リアルタイムブラックホールリスト (RBL) および GeoIP 情報に基づくレピュテーションのチェックをスキップします。
  7. 高度な保護ポリシーを指定します。
    名前説明

    保護

    サーバーの保護ポリシーを指定します。

    侵入防御

    侵入防御ポリシーを指定します。

    トラフィックシェーピング

    帯域幅を割り当てるトラフィックシェーピングポリシーを指定します。

  8. 詳細設定の設定を指定します。

    名前

    説明

    圧縮サポートの無効化

    クライアントが圧縮データを要求すると、XG Firewall はデータを圧縮形式で送信します。

    Web ページが正しく表示されない場合や、コンテンツのエンコードエラーが発生した場合に、圧縮をオフにするには、この設定を選択します。すると、要求のエンコードパラメータに関わらず、XG Firewall は Web サーバーから未圧縮のデータを要求して、クライアントに送信します。

    HTML の書き換え

    リンクの有効性を維持するために、返された Web ページのリンクを書き換えます。

    例: Web サーバーのホスト名が yourcompany.local で、ホステッド Web サーバーのホスト名が yourcompany.com である場合、[a href="http://yourcompany.local/"] のような絶対リンクは、[a href="http://yourcompany.com/"] に書き換えてからクライアントに渡す必要があります。

    Web サーバーで yourcompany.com が設定されている場合や、Web ページの内部リンクが常に相対リンクで表現されている場合は、このオプションを選択する必要はありません。

    Microsoft Outlook の Web アクセスおよび SharePoint のポータルサーバーには、このオプションを使用することを推奨します。

    HTML の書き換えは、HTTP コンテンツタイプが text/* または *xml* のすべてのファイルに影響を与えます。* はワイルドカードです。HTML 書き換え中の破損を防ぐため、他のファイルタイプ (バイナリファイルなど) が正しい HTTP コンテンツタイプに設定されていることを確認してください。

    Cookie の書き換え

    返された Web ページの cookie を書き換えます。

    ホストヘッダをパス

    クライアントが要求したホストヘッダを Web サーバーに転送します。

    サーバー上で複数の Web サイトをホストしている場合は、この情報を使用して、要求されたホスト名と Web サーバーを照合できます。

  9. 保存」をクリックします。
    Web サーバーの保護ルールを作成または編集して保存すると、すべての Web サーバールールが再起動されます。これらのルールを使用中のライブ接続は失われるため、再確立する必要があります。