コンテンツにスキップ
最終更新日: 2022-09-07

プロテクションポリシーの追加

  1. Web サーバー > 保護ポリシー」に移動し、「追加」を選択します。
  2. 名前を入力します。
  3. ポリシーの保護設定を指定します。

    名前 説明
    Outlook Anywhere の非監視 外部の Microsoft Outlook クライアントが Web サーバープロテクションを迂回して Microsoft Exchange Server にアクセスすることを許可します。
    モード HTTP 要求に対して実行するアクションを選択します。
    • モニター: 監視対象のリクエストをログに記録します。
    • 拒否
    Cookie 署名 クッキーの改ざんを防止します。

    Cookie 署名によって、Cookie の改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぐことができます。Web サーバーが Cookie を設定し、そのプライマリ Cookie の名前、値、およびシークレット (Sophos Firewall のみが知っているシークレット) から構成されるハッシュを含む 2つ目の Cookie が、最初の Cookie に追加されるという仕組みになっています。リクエストから正しい Cookie ペアが提供されない場合、その Cookie は破棄されます。
    スタティック URL ハードニング 対象の URL を指定します。これらの URL には、 URL 強化シグニチャを必要とせずにアクセスできます。

    この設定は、JavaScript などを使ってクライアント上で作成されるダイナミック URL には無効です。

    スタティック URL ハードニングとは、ユーザーによるディープリンクの手動生成を防止し、不正アクセスを防ぐ仕組みです。エンドポイントデバイスが Web サイトを要求すると、Cookie 署名に似た方法で、Web サイトのすべてのスタティック URL に署名が付与されます。また、Web サーバーからのレスポンスが分析され、次のリンクが有効かどうかや、安全にリクエストできるかどうかが調べられます。

    スタティック URL ハードニングをオンにすると、URL パスのエントリの大文字と小文字が区別されるようになります。たとえば、/rule.html というパスを追加した場合、ユーザーが /Rule.html と入力すると、署名が見つからないと報告されます。
    フォームハードニング Web フォームの書き換えを防ぎます。

    Sophos Firewall では、フォームの改ざんを防ぐために、Web フォームの元の構造を保存し、署名しています。送信されたフォームの構造が変更されている場合、Sophos Firewall は要求を拒否します。
    ウイルス対策 Web サーバーをウイルスから保護します。この設定をオンにすると、以下の詳細を指定できます。
    • モード: デュアルまたはシングルスキャンモードを選択します。シングルスキャンモードを適用する場合は、スキャンエンジンを選択します。
    • 方向: アップロード、ダウンロード、またはその両方のスキャンを選択します。
    • スキャン不可なコンテンツのブロック: 暗号化されたファイルや破損したファイルなど、スキャンできないコンテンツをブロックします。
    • スキャンサイズの制限: ファイルサイズを入力します。指定されたサイズまで、スキャンします。すべてのファイルをスキャンするには、ゼロを指定するか、このフィールドを空白のままにします。
      スキャンサイズの制限は 1件のファイルだけではなく、アップロード量全体に適用されます。たとえば、スキャンサイズを 50 MB に制限し、ファイルサイズが 45 MB、5 MB、10 MB の 3つのファイルをアップロードすると、最後のファイルはスキャンされず、もしウイルスがあっても検出されません。
    低レピュテーションのクライアントをブロック リアルタイムブラックホールリスト (RBL) と GeoIP 情報に基づいて、レピュテーションの低いクライアントをブロックします。レピュテーションの低いクライアントのリモートルックアップをスキップすると、パフォーマンスが向上することがあります。

    Sophos Firewall では、RBL に Sophos Extensible List (SXL) および SORBS を使用しています。GeoIP には Maxmind を使用しています。A1 (匿名プロキシまたは VPN サービス) と A2 (サテライト ISP) に属するクライアントがブロックされます。

    スタティック URL ハードニングフォームハードニングHTML および XML コンテンツを含むすべてのファイルに影響します。そのため、バイナリファイルなどが HTML または XML として指定されている場合は、破損する可能性があります。これらのファイルが影響を受けないようにするには、Web サーバーの設定を変更して、別のコンテンツタイプで配信するようにします (例: application/octet-stream)。

  4. 共通の脅威フィルタ」をオンにして、設定を指定します。結果に応じて、ライブログに通知や警告が表示されるか、または直接リクエストがブロックされます。

    名前 説明
    フィルタの強度 レベル 1 (最も緩い): これは、多くの Web サイトやアプリケーションに関連する展開や、標準的なセキュリティ要件に使用します。誤検知は最小限に抑えられます。これがデフォルト設定です。

    レベル 2: regexp ベースの SQL インジェクションや XSS インジェクションなどの追加の保護を提供し、コードインジェクションの追加キーワードをチェックします。これは、セキュリティカバレッジの向上と、セキュリティ要件の高い展開に使用します。処理が必要な誤検知がさらに生成されます。

    レベル 3: 追加のルールおよびキーワードリストをオンにします。また、特殊文字の使用に関する追加の制限も設定します。これは、セキュリティ要件が高い場合や、誤検知の処理経験に基づいて使用します。

    レベル 4 (最も厳しい): 特殊文字に追加の制限を設定します。これは、セキュリティ要件が非常に高い展開に使用します。高いレベルの誤検知を生成します。サイトをライブにする前に、これらのトラブルシューティングを行うことをお勧めします。

    レベル 1 は記録されません。レベル 2とそれ以上のレベルは、/log/reverseproxy.log に記録されます。

    リバースプロキシログを確認するには、コマンドラインインタフェースでサインインします。
    フィルタルールのスキップ 誤検出を修正するには、スキップするルール ID を追加します。

    ルール ID を表示するには、コマンドラインインターフェースを使用してリバースプロキシログを確認します。
    アプリケーション攻撃 厳格なセキュリティチェックを実行します (禁じられているパストラバーサルの試みなど)。

    また、多くの攻撃でよく使用されるコマンドの試行も検出します。通常、攻撃者は Web サーバーに侵入した後、権限の昇格やデータ保存領域の操作など、サーバー上でコマンドの実行を試みます。このような侵入後の実行処理をチェックすることで、たとえば、正規のアクセス権を得た後に行われる脆弱なサービスへの攻撃など、通常検出されない可能性のある攻撃を検出することができます。
    SQL インジェクション攻撃 要求引数の埋め込み SQL コマンドとエスケープ文字を確認します。Web サーバーを狙った攻撃の多くは、入力フィールドを利用してデータベースに埋め込み SQL コマンドを送信するというものです。
    XSS 攻撃 要求引数から、埋め込みスクリプトタグとコードを検出します。

    一般的なクロスサイトスクリプティング攻撃は、標的の Web サイトの入力フィールドにスクリプトコードを注入 (インジェクション) することを目的としています。
    プロトコル強化 HTTP および HTTPS プロトコルの RFC 標準仕様の遵守を強制します。これらの仕様に違反している場合は、悪意のある通信の可能性があります。

    共通の使用状況パターンを検索します。パターンが見つからない場合は、悪意のあるリクエストの可能性があります。たとえば、「Host」や「User-Agent」などの HTTP ヘッダは一般的なパターンです。

    リクエストの引数の数と範囲に適切な制限を適用します。要求引数のオーバーロードは典型的な攻撃ベクトルです。許可する HTTP プロトコルの用法を制限します。一般に、Web ブラウザは可能な HTTP オプションのうち限られたものしか使用しません。あまり使われないオプションを無効にすれば、それらのオプションを使用する攻撃を防ぐことができます。
    スキャナ検出 ボットやクローラーの特徴をもったアクセスに対するセキュリティチェックを行います。ボットとクローラーのアクセスを拒否すると、Web サーバー上の潜在的な脆弱性が検出される可能性が少なくなります。
    データ流出 Web サーバーからクライアントへの情報流出を防止します。たとえば、サーバーから送信されるエラーメッセージ (攻撃者が機密情報の収集や脆弱性の検出に利用できるもの) などの情報です。

    ヒント

    一部のタイプのデータ流出は、アプリケーション攻撃や SQL インジェクション攻撃に似ています。アプリケーション攻撃や SQL インジェクション攻撃をオンにした場合は、Sophos Firewall がそのような設定でブロックする攻撃からサーバーを保護するように、「データ流出」をオンにすることを推奨します。

  5. 保存」をクリックします。

トップへ