コンテンツにスキップ

Web Server Protection (WAF) ルールの追加

WAF ルールを使用すると、 HTTP トラフィックをフィルタリングすることで、Web アプリケーションを攻撃やデータ漏洩から保護できます。

WAF ルールは、ネットワークインターフェース、ポート、および 1つ以上のドメイン名に割り当てられた IP アドレスに対して設定します。Sophos Firewall は、インターフェースに割り当てられた IP アドレスに基づいてトラフィックを照合します。

HTTPS トラフィックの場合、SNI (Server Name Indication) を使用して、クライアント要求のホスト名に対応するサーバーを判別します。

  1. ルールとポリシー > ファイアウォール」に移動し、「IPv4」を選択して、「ファイアウォールルールの追加」をクリックします。
  2. ルールは、デフォルトで有効に設定されます。一致条件を適用しない場合は、ルールをオフにすることができます。

  3. 基本的な情報を入力します。

    名前 説明
    ルール名 名前を入力します。
    ルールの位置 ルールの位置を指定します。

    利用可能なオプション:
    • 最上位
    • 最下位
    ルールグループ ファイアウォールルールを追加するグループを指定します。リストから「新規作成」を選択して、新規ルールグループを作成することもできます。

    自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
    アクション Web サーバープロテクションで保護する」を選択します。
    事前設定済みのテンプレート 適用するテンプレートを選択します。
    • なし: Web サーバープロテクションの詳細を指定します。
    • Exchange Autodiscover
    • Exchange Outlook Anywhere
    • Exchange 全般
    • Microsoft Lync
    • Microsoft Remote Desktop Gateway 2008 and R2
    • Microsoft Remote Desktop Web 2008 and R2
    • Microsoft Sharepoint 2010 and 2013

  4. ホスト型サーバー」の詳細を入力します。

    名前 説明
    ホスト型アドレス ユーザーが内部サーバーまたはホストにアクセスするために使用するインターフェースに割り当てられたパブリック IP アドレスを選択します。WAF ルールは、インターフェースに割り当てられた IP アドレスにバインドされます。

    インターフェースに割り当てられたパブリック IP アドレスを使用するか、エイリアスを使用して必要なパブリック IP アドレスをバインドできます。

    クライアントが接続を確立して Web サーバーにアクセスすると、Web サーバーはクライアントの IP アドレスではなく、Web Application Firewall (WAF) のインターフェースのアドレスを取得します。クライアントの IP アドレスは、HTTP ヘッダー X-Forwarded-For に含まれます。
    リスニングポート ホストされている Web サーバーに到達するポート番号を入力します。デフォルトは、HTTP の場合はポート 80、HTTPS の場合はポート 443 です。

    SSL VPN と WAF には、同じポート (443など) を使用できます。この場合、SSL VPN は、WAF 用に設定された IP アドレス (ホスト型アドレス) を除く任意の IP アドレスで動作します。

    WAF は、ユーザーポータルとポートを共有できません。ユーザーポータルのデフォルトのポートは 443 です。

    一部のポートはシステムサービス用に予約されているため、使用できません。詳しくは、予約済みポートを参照してください。
    HTTPS このオプションをオンにすると、ホストされているサーバーに HTTP ではなく HTTPS 経由でアクセスできます。
    HTTPS 証明書 HTTPS を選択した場合は、証明書を選択します。

    Sophos Firewall は SNI (Server Name Indication) に対応しているので、同じ IP アドレスとポートを介してアクセス可能な、仮想 Web サーバーを複数作成できます。サーバーごとに異なる証明書を割り当てることができます。サーバーは、要求されたホスト名に基づいてクライアントに提示されます。

    証明書を作成またはアップロードするには、「証明書 > 証明書」に移動します。
    転送 HTTP ポート 80 のトラフィックをポート 443 にリダイレクトする場合に選択します。
    ドメイン Web サーバーに設定されている FQDN を入力します (例: shop.example.com)。

    HTTPS をオンにしている場合は、選択した HTTPS 証明書のドメイン名がリストに表示されます。これらを編集または削除したり、新しいドメイン名を追加したりできます。

    ワイルドカード *. は、ドメイン名の先頭のみで使用できます。

    例: *.company.com

    1つの WAF ポリシーで複数のワイルドカードドメインをサポートします。ワイルドカードドメインを持つ仮想 Web サーバーは、特定のドメインが設定された仮想 Web サーバーがない場合のみに照合されます。

    例: ドメイン test.company.com へのクライアント要求は、test.company.com とまず照合され、その後 *.company.com と照合され、その後 *.com と照合されます。

  5. 保護されたサーバー」の詳細を指定します。Web サーバー、認証方式、および許可およびブロックされたクライアントネットワークを指定できます。パス固有のルーティングを選択した場合は、これらの設定に加えて、セッションをサーバーにバインドし、プライマリサーバーとバックアップサーバーを指定し、WebSocket プロトコルを使用できます。

    複数の Web サーバーを選択した場合、要求は Web サーバー間で分散されます。

    パス固有のルーティングを設定しない場合は、「Web サーバー」および「アクセス権限」を指定します。

    名前 説明
    Web サーバー Web サーバーリスト」から Web サーバーを選択します。または、新しい Web サーバーを作成することもできます。選択した Web サーバーは、「選択した Web サーバー」に表示されます。
    許可されたクライアントネットワーク ホストされている Web サーバーへの接続を許可する IP アドレスとネットワークを指定します。
    ブロックされたクライアントネットワーク ホストされている Web サーバーへの接続をブロックする IP アドレスとネットワークを指定します。
    認証 Web アプリケーションの認証プロファイルを指定します。

  6. 選択した Web サーバーに特定のパス要求を転送するには、「パス固有のルーティング」を選択します。たとえば、ドメイン www.test.com、パス /web、Web サーバー Web server 1 を指定した場合、www.test.com/web へのリクエストは Web server 1 に転送されます。

    Sophos Firewall は、パスリストの順序に基づいて要求を評価しません。パスは、まず最長パスが適用され、最後にデフォルトのパスルートが適用されます。デフォルトパスは、より具体的なパスが要求と一致しない場合のみに使用されます。

    パス固有のルーティングを指定できるインスタンスには、次のようなものがあります。

    • 特定のパス (例: /products/) の要求を特定の Web サーバーに送信します。
    • スティッキーセッション Cookie を使用して、各セッションを Web サーバーにバインドします。例: E コマースサイトをホストし、ショッピングセッション中に 1台のサーバーでユーザーにサービスを提供したい場合。
    • 指定した Web サーバーにすべての要求を送信し、ホットスタンバイモードを使用して、残りはバックアップサーバーとして使用します。
    名前 説明
    デフォルトパス (パス /) 編集ボタンを選択し、デフォルトパスの Web サーバーを選択します。リストされたパスに一致しない要求は、デフォルトルートに送信されます。デフォルトルートを削除すると、Sophos Firewall は、404 Not found 応答を持つリストされたパスと一致しない要求を拒否します。
    新しいパスの追加 新しいパスを追加する場合に選択します。

    Web サーバーを追加した場合は、パスを追加できます。
    パス Web サイトのパスを入力します。例: /products/
    Web サーバー Web サーバーリスト」から Web サーバーを選択します。または、新しい Web サーバーを作成することもできます。選択した Web サーバーは、「選択した Web サーバー」に表示されます。
    認証 Web アプリケーションの認証プロファイルを指定します。
    許可されたクライアントネットワーク ホストされている Web サーバーへの接続を許可する IP アドレスとネットワークを指定します。Sophos Firewall は、IP ホストの種類が「IP」および「ネットワーク」の場合のみに保護を適用します。「IP 範囲」や「IP リスト」は指定しないでください。
    ブロックされたクライアントネットワーク ホストされている Web サーバーへの接続をブロックする IP アドレスとネットワークを指定します。

    Sophos Firewall は、IP ホストの種類が「IP」および「ネットワーク」の場合のみに保護を適用します。「IP 範囲」や「IP リスト」は指定しないでください。
    スティッキーセッション Cookie Web サーバーにセッションをバインドするには、この機能をオンにします。Cookie がユーザーのブラウザに渡され、そのブラウザからのリクエストがすべて同じ Web サーバーにルーティングされるようになります。

    そのサーバーが使用できない場合は、Cookie が更新され、別の Web サーバーに切り替えられます。
    ホットスタンバイモード すべての要求を最初に選択した Web サーバーに送信するには、このオプションをオンにします。他の Web サーバーはバックアップサーバーとして残り、最初のサーバーに障害が発生した場合に使用されます。

    メインサーバーが復旧すると、再びそのサーバーに切り替えられます。「スティッキーセッション Cookie」を選択した場合、セッションはバックアップ Web サーバーで続行されます。
    WebSocket 通過 このオプションをオンにすると、指定されたサイトパスでホストされているアプリケーションが WebSocket プロトコルを使用できるようになります。

    RFC 標準ではプロトコルのデータ形式が指定されていないため、チェックは実装できず、WebSocket トラフィックは保護なしで許可されます。

  7. スキップするセキュリティ状態のチェックを指定するには、「新しい例外の追加」を選択します。

    スキップするパス、ソース、およびセキュリティチェックを選択します。WAF ルールには複数の例外を指定できます。

    名前 説明
    パス 例外を作成するパスを指定します。パスにはワイルドカード文字を使用できます。例: /products/*/images/*
    操作 パスとソースネットワークのブール演算を選択します。
    ソース トラフィックの送信元の IP アドレス、範囲、リスト、またはネットワークを指定します。
    Cookie 署名 Cookie の改ざんをチェックしません。Cookie 署名によって、Cookie の改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぐことができます。Web サーバーが Cookie を設定し、そのプライマリ Cookie の名前、値、およびシークレット (Sophos Firewall のみが知っているシークレット) から構成されるハッシュを含む 2つ目の Cookie が、最初の Cookie に追加されるという仕組みになっています。リクエストから正しい Cookie ペアが提供されない場合、その Cookie は破棄されます。
    スタティック URL ハードニング 指定されたパスおよび送信元ネットワークの書き換えられたリンクを許可します。

    スタティック URL ハードニングとは、ユーザーによるディープリンクの手動生成を防止し、不正アクセスを防ぐ仕組みです。クライアントが Web サイトを要求すると、クッキー署名に似た方法で、Web サイトのすべてのスタティック URL に署名が付与されます。また、Web サーバーからのレスポンスが分析され、次にどのリンクを要求可能かどうかが調べられます。

    スタティック URL ハードニングをオンにすると、URL パスのエントリの大文字と小文字が区別されるようになります。たとえば、/rule.html というパスを追加した場合、ユーザーが /Rule.html と入力すると、署名が見つからないと報告されます。
    フォームハードニング Web フォームの書き換えのチェックをスキップします。Sophos Firewall では、フォームの改ざんを防ぐために、Web フォームの元の構造を保存し、署名しています。送信されたフォームの構造が変更されている場合、Sophos Firewall は要求を拒否します。
    ウイルス対策 指定した送信元ネットワークからの要求および指定したパスに対するウイルス対策スキャンをスキップします。
    低レピュテーションのクライアントをブロック リアルタイムブラックホールリスト (RBL) と GeoIP 情報に基づく、クライアントのレピュテーションチェックを省略します。

  8. 高度な保護ポリシーを指定します。

    名前 説明
    保護 サーバーの保護ポリシーを指定します。
    侵入防御 侵入防御ポリシーを指定します。
    トラフィックシェーピング 帯域幅を割り当てるトラフィックシェーピングポリシーを指定します。

  9. 詳細」設定を指定します。

    名前 説明
    圧縮サポートの無効化 クライアントが圧縮データを要求すると、Sophos Firewall は圧縮形式でデータを送信します。

    Web ページが正しく表示されない場合、またはユーザーがコンテンツエンコードエラーが発生した場合に圧縮をオフにするには、この設定を選択します。Sophos Firewall は次に、Web サーバーから非圧縮データを要求し、要求の encoding パラメータに関係なくクライアントに送信します。
    HTML の書き換え リンクの有効性を維持するために、返された Web ページのリンクを書き換える場合に選択します。

    例: Web サーバーのホスト名が yourcompany.local で、ホストされている Web サーバーのホスト名が yourcompany.com の場合、リンクがクライアントに配信される前に [a href="http://yourcompany.local/"] に書き換えられないと、 [a href="http://yourcompany.com/"] のような絶対リンクは切断されます。

    Web サーバー上に yourcompany.com が構成されている場合や、Web ページの内部リンクが常に相対リンクとして表される場合は、このオプションを選択する必要はありません。

    Microsoft Outlook Web Access や SharePoint のポータルサーバーには、このオプションを使用することを推奨します。

    この設定は、HTTP コンテンツタイプが text/* または *xml* のすべてのファイルに影響します。* はワイルドカードです。HTML 書き換え中の破損を防ぐため、他のファイルタイプ (バイナリファイルなど) に正しい HTTP コンテンツタイプが含まれていることを確認してください。
    Cookie の書き換え 返された Web ページの Cookie を書き換える場合に選択します。
    ホストヘッダをパス 選択すると、クライアントが要求したホストヘッダが Web サーバーに転送されます。

    サーバー上で複数の Web サイトをホストしている場合は、これを使用して、要求されたホスト名と Web サーバーを照合できます。

  10. 保存」をクリックします。新しい Web サーバー保護ルールまたは編集した Web サーバー保護ルールを保存すると、Sophos Firewall はすべての Web サーバールールを再起動します。これらのルールのいずれかを使用するライブ接続は失われるため、再確立する必要があります。

作成した WAF ルールが「ファイアウォールルール」テーブルに表示されます。

その他のリソース