コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=web-server-general-settings

全般設定

Slow HTTP プロテクション、TLS バージョン、および最大ユーザーセッション数などの設定を行えます。全般設定は、保護対象のすべての Web サーバーに適用されます。

Slow HTTP プロテクションの設定

Slow HTTP 攻撃とは、攻撃者が Web サーバーに断片的な HTTP リクエストをゆっくりと 1 つずつ送信する DoS (Denial of Service) 攻撃です。HTTP リクエストが不完全な場合や、転送レートが非常に低い場合、サーバーのリソースが残りのデータを待機してビジー状態になります。サーバーの同時接続プールが上限に達すると、DoS が発生します。

Slow HTTP プロテクションでは、要求ヘッダーのタイムアウトを設定して、Slow HTTP 攻撃を防止します。

  • ソフトリミット:要求ヘッダーの受信に設ける時間制限の最小値。

  • ハードリミット:要求ヘッダーの受信に設ける時間制限の最大値。

  • 指定バイト数を超えたら延長:ソフトリミットに設定されているタイムアウトを延長するデータ量 (バイト)。この量を超えるたびに、ソフトリミットが 1 秒増加します。

  • スキップするネットワーク/ホスト:Slow HTTP プロテクションから影響を受けないネットワークやホスト。

制限事項

Sophos Firewall は、IP ホストの種類が「IP」および「ネットワーク」の場合のみに保護を適用します。「IP 範囲」や「IP リスト」は指定しないでください。

TLS バージョンの設定

WAF への接続に最低限必要な TLS バージョンを選択します。

バージョンを選択する前に、ブラウザが TLS に対応しているかどうかを確認してください。TLS バージョン 1.2 を選択した場合、Microsoft Internet Explorer 8 以前や Windows XP 上で実行されているクライアントは WAF に接続できません。

次のいずれかのバージョンを選択してください。

  • TLS v1 以上: SSLv3 以外のすべてのプロトコルが含まれます。これはレガシーシステムに使用します。
  • TLS v1.1 以上: SSLv3 および TLSv1 以外のすべてのプロトコルが含まれます。
  • TLS v1.2 (汎用): TLSv1.2 プロトコルだけが含まれます。使用が推奨されていない暗号も含まれています。これはレガシーシステムで必要になる可能性があります。
  • TLS v1.2 (厳格): 推奨される TLSv1.2 プロトコル暗号のみが含まれています。
  • TLS v1.3: TLSv1.3 プロトコル暗号だけが含まれます。

  • カスタム TLS: OpenSSL 構文を使用して、次の詳細を手動で入力します。

    • プロトコル: プロトコルを入力します。
    • 暗号スイート: 指定したプロトコルの暗号を入力します。ここには TLS v1.3 暗号を入力しないでください。
    • TLS v1.3 暗号スイートのみ: TLS v1.3 プロトコルを使用している場合は、TLS v1.3 暗号のみを入力します。

    警告

    無効なプロトコルや暗号スイートを入力すると、Apache サービスが起動せず、WAF が正常に機能しない可能性があります。

    構文や暗号の詳細については、以下のリンクをご覧ください。

セッションの管理設定

保護対象の Web サーバーのユーザーセッション関連の設定を行えます。

セッションの最大数:フォームベースのリバースプロキシ認証を使用する全 WAF ルールに対して許可される同時ユーザーセッションの最大数。この上限に達すると、古いセッションまたは期限切れのセッションが閉じられ、保護対象のすべての Web サーバーで新しいセッションが許可されるようになります。

Default: 25,000

範囲:100~100,000