VMware Cloud Director 10.5.1 以降では、VMware Cloud Director 環境内で NSX Advanced Load Balancer の Web アプリケーションのファイアウォール機能を使用することにより、仮想サービスを攻撃から保護したり、脅威をプロアクティブに防止したりできます。

VMware Cloud Director で仮想サービスの WAF を有効にすると、仮想サービスに適用するための WAF ポリシー、WAF プロファイル、WAF シグネチャが作成されます。

前提条件

  • NSX Advanced Load Balancer WAF ガイド』をよく読んで理解しておきます。VMware NSX Advanced Load Balancer のドキュメントを参照してください。
  • サービス エンジン グループに、NSX Edge Gateway に設定されたプレミアム機能を割り当てていることを確認します。
  • 組織管理者としてログインしていることを確認します。

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
  3. 仮想サービスが構成されている NSX Edge Gateway をクリックします。
  4. 仮想サービスをクリックし、[WAF] をクリックします。
  5. [全般] の下で、[編集] をクリックします。
  6. [WAF の状態] オプションをオンにします。
  7. WAF モードを選択します。
    オプション 説明
    検出 WAF ポリシーは受信する要求を評価して処理しますが、ブロック アクションは実行しません。要求にフラグが設定されていると、ログ エントリが作成されます。
    適用 WAF ポリシーは要求を評価し、指定されたルールに基づいて要求をブロックします。対応するログ エントリは REJECTED とマークされます。
  8. [保存] をクリックします。

次のタスク

必要に応じて、仮想サービスの WAF モードを後で変更するか、Web アプリケーションのファイアウォールを無効にすることができます。

仮想サービスの WAF を有効にした後、必要に応じて許可リストのルールを作成したり、WAF シグネチャを編集したりできます。

仮想サービス用の許可リスト ルールの構成

許可リスト機能を使用すると、WAF が要求の処理時に使用する一致条件および関連付けられたアクションを定義できます。

WAF の許可リスト ルールを作成する際は、要求が特定の IP アドレスまたは範囲からのものである場合や、要求が HTTP メソッドの一致タイプを使用して指定された URL パターンに一致する場合など、特定の場合に WAF ポリシーを適用しないように WAF に指示します。許可リスト ルールを構成すると、誤検知の WAF 違反が大量にログに記録されることを防ぎ、WAF シグネチャの検査によって発生する遅延を軽減できます。

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
  3. 仮想サービスが構成されている NSX Edge Gateway をクリックします。
  4. 仮想サービスをクリックし、[WAF] をクリックします。
  5. [許可リスト] で [新規] をクリックします。
  6. ルールの名前を入力します。
  7. 作成時にルールを有効にするには、[アクティブ] トグルをオンにします。
  8. 一致の基準を選択します。
    オプション 説明
    クライアントの IP アドレス
    1. 入力した値とクライアント IP アドレスが一致する(または一致しない)場合にアクションを実行するかどうかを示すために、[が次である] または [が次でない] を選択します。
    2. IPv4 アドレス、IPv6 アドレス、範囲、または CIDR 表記を入力します。
    3. (オプション)IP アドレスを追加するには、[IP アドレスの追加] をクリックします。
    HTTP メソッド
    1. 入力した値と HTTP メソッドが一致する(または一致しない)場合にアクションを実行するかどうかを示すために、[が次である] または [が次でない] を選択します。
    2. ドロップダウン メニューから、1 つ以上の HTTP メソッドを選択します。
    パス
    1. パスの条件を選択します。
    2. パスの文字列を入力します。
      注: パスの先頭をスラッシュ (/) にする必要はありません。
    3. (オプション)パスを追加するには、[パスを追加] をクリックします。
    Host ヘッダー
    1. Host ヘッダーの条件を選択します。
    2. ヘッダーの値を入力します。
    タイプごとに基準を 1 つ追加できます。
  9. 一致したときに適用されるアクションを選択します。
    オプション 説明
    バイパス WAF はそれ以上のルールを実行せず、要求は許可されます。
    続行 許可リストの実行を停止し、WAF シグネチャの評価に進みます。
    検出モード WAF は受信した要求を評価して処理しますが、ブロック アクションは実行しません。要求にフラグが設定されていると、ログ エントリが作成されます。
  10. [追加] をクリックします。

仮想サービス向けの WAF シグネチャの編集

仮想サービス向けの WAF シグネチャを編集できます。シグネチャ モードを [検出] から [適用] に、またはその逆に変更できます。また、必要に応じてシグネチャやシグネチャ グループを無効にすることもできます。

手順

  1. プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
  2. セカンダリの左側パネルで、[Edge Gateway] を選択します。
  3. 仮想サービスが構成されている NSX Edge Gateway をクリックします。
  4. 仮想サービスをクリックし、[WAF] をクリックします。
    [シグネチャ グループ] セクションに、この WAF ポリシーに含まれているシグネチャ グループが表示されます。それらがアクティブに使用されているかどうかを確認できます。また、各グループに含まれるアクティブなルールの数、および手動で上書きされたルールの数も表示できます。
  5. [シグネチャ グループ] で、編集するシグネチャ グループの左側にある展開ボタンをクリックします。
  6. グループのシグネチャを編集するには、[シグネチャの編集] をクリックします。
  7. シグネチャ名の左側にある展開ボタンをクリックし、アクションを選択します。
  8. [保存] をクリックします。
  9. シグネチャ グループを無効にするには、シグネチャ グループの左側にある展開ボタンをクリックし、[無効化] をクリックします。