コンテンツにスキップ

Web サーバープロテクション (WAF) ルール

WAF ルールは、物理またはクラウドベースの Web サーバー上でホストされているアプリケーションや Web サイトをエクスプロイトや攻撃から保護します。

Sophos Firewall は、リバースプロキシとして機能し、内部および外部 Web サーバーを保護します。IPv4 トラフィック用の WAF ルールを作成できます。

WAF ルールを使用すると、仮想 Web サーバーを指定し、DNAT ルールやファイアウォールルールを設定せずに物理サーバーに変換できます。また、Salesforce や Microsoft アプリケーションなどの Web アプリケーションを保護することもできます。

Sophos Firewall では、Exchange Autodiscover、Outlook Anywhere (Outlook 2007、2010、2013)、Outlook Web Access (Exchange 一般ルール)、Lync、SharePoint (2010 および 2013)、Remote Desktop Gateway 2008 R2、および Remote Desktop Web 2008 R2 に、特定のパスと保護ポリシーを含む、事前設定された WAF ルールテンプレートを提供しています。

WAF ルールはファイアウォールルールの一部です。WAF ルールを作成するには、ファイアウォールルールを追加し、アクションを「Web サーバープロテクションで保護する」に設定します。

制限事項

サブネットのトラフィックセレクタを使用したルートベースの IP sec では、WAF は使用できません。WAF を使用する場合は、任意のサブネット間の接続を使用してください。詳細は、ルートベースの VPNを参照してください。

WAF 機能

Sophos Firewall では、SNI (Server Name Indication) を用いた HTTPS プロトコルをサポートしているため、同じ IP アドレスやポート上に複数の仮想 Web サーバーを作成することができます。WAF ルールはワイルドカードドメインをサポートしています。

URL 要求を特定の Web サーバーに転送したり、セッションを Web サーバーにバインドしたり、すべての要求をプライマリ Web サーバーに送信して、他のサーバーをバックアップサーバーとして使用したりできます。WAF ルールに追加されたトラフィックシェーピングポリシーを使用すると、帯域幅を割り当て、スケジュールに基づいてトラフィックに優先順位を付けることができます。

保護と認証

保護ポリシー: WAF ルールに侵入防御ポリシーと保護ポリシーを追加できます。保護ポリシーを使って、Web サーバーを脆弱性攻撃 (Cookie、URL、フォームの操作など) から守ることができます。また、アプリケーションやクロスサイトスクリプティング (XSS) 攻撃から Web サーバーを保護します。一般的な脅威のフィルタ強度を指定できます。

WAF ルールで作成した例外を使用すると、指定したパスとソースの一部のタイプのセキュリティチェックをスキップできます。

Slow HTTP 攻撃 (DoS (denial-of-service) 攻撃の一種) を防いだり、TLS バージョンコントロールを適用するには、 「Web サーバー > 全般設定」に移動します。

認証ポリシー: WAF ルールでは、許可またはブロックするクライアントネットワークを指定できます。WAF ルールに認証ポリシーを追加して、基本またはフォームベースのリバースプロキシ認証を使用して Web サーバーを保護することもできます。これらのポリシーのクライアント認証設定を使用すると、WAF ルールで指定されたパスへのアクセスを制御できます。

認証テンプレート: 事前に設定された HTML フォームテンプレートをアップロードできます。カスタマイズ可能な HTML および CSS テンプレートについては、認証テンプレートのヘルプページを参照してください。

予約済みポート

一部のポートはシステムサービス用に予約されているため、WAF に使用できません。これらのポートは、システムサービスに使用されていない場合でも、他の目的に使用することはできません。詳細は、予約済みポートを参照してください。