全般設定
Slow HTTP プロテクションを設定し、TLS バージョンを設定します。
Slow HTTP プロテクションの設定
Slow HTTP 攻撃とは、攻撃者が Web サーバーに断片的な HTTP リクエストをゆっくりと 1 つずつ送信する DoS (Denial of Service) 攻撃です。HTTP リクエストが不完全な場合や、転送レートが非常に低い場合、サーバーのリソースが残りのデータを待機してビジー状態になります。サーバーの同時接続プールが上限に達すると、DoS が発生します。
Slow HTTP プロテクションでは、要求ヘッダーのタイムアウトを設定して、Slow HTTP 攻撃を防止します。
-
ソフトリミット: 要求ヘッダーの受信に設ける時間制限の最小値。
-
ハードリミット: 要求ヘッダーの受信に設ける時間制限の最大値。
-
拡張率: ソフトリミットに設定されているタイムアウトを延長するデータ量 (バイト)。この量を超えるたびに、ソフトリミットが 1 秒増加します。
-
スキップするネットワーク/ホスト: Slow HTTP プロテクションから影響を受けないネットワークやホスト。
制限事項
Sophos Firewall は、IP ホストの種類が「IP」および「ネットワーク」の場合のみに保護を適用します。「IP 範囲」や「IP リスト」は指定しないでください。
TLS バージョンの設定
WAF への接続に最低限必要な TLS バージョンを選択します。
注
バージョンを選択する前に、ブラウザが TLS に対応しているかどうかを確認してください。TLS バージョン 1.2 を選択した場合、Microsoft Internet Explorer 8 以前や Windows XP 上で実行されているクライアントは WAF に接続できません。
次のいずれかのバージョンを選択してください。
- TLS v1 以上: SSLv3 以外のすべてのプロトコルが含まれます。これはレガシーシステムに使用します。
- TLS v1.1 以上: SSLv3 および TLSv1 以外のすべてのプロトコルが含まれます。
- TLS v1.2 (汎用): TLSv1.2 プロトコルだけが含まれます。使用が推奨されていない暗号も含まれています。これはレガシーシステムで必要になる可能性があります。
- TLS v1.2 (厳格): 推奨される TLSv1.2 プロトコル暗号のみが含まれています。
- TLS v1.3: TLSv1.3 プロトコル暗号だけが含まれます。
-
カスタム TLS: OpenSSL 構文を使用して、次の詳細を手動で入力します。
- プロトコル: プロトコルを入力します。
- 暗号スイート: 指定したプロトコルの暗号を入力します。ここには TLS v1.3 暗号を入力しないでください。
- TLS v1.3 暗号スイートのみ: TLS v1.3 プロトコルを使用している場合は、TLS v1.3 暗号のみを入力します。
OpenSSL 構文については、 「Apache モジュール mod_ssl」を参照してください。