VMware Cloud Director 10.5.1 以降では、VMware Cloud Director 環境内で NSX Advanced Load Balancer の Web アプリケーションのファイアウォール機能を使用することにより、仮想サービスを攻撃から保護したり、脅威をプロアクティブに防止したりできます。
VMware Cloud Director で仮想サービスの WAF を有効にすると、仮想サービスに適用するための WAF ポリシー、WAF プロファイル、WAF シグネチャが作成されます。
前提条件
- 『NSX Advanced Load Balancer WAF ガイド』をよく読んで理解しておきます。VMware NSX Advanced Load Balancer のドキュメントを参照してください。
- サービス エンジン グループに、NSX Edge Gateway に設定されたプレミアム機能を割り当てていることを確認します。
- 組織管理者としてログインしていることを確認します。
手順
- プライマリの左側ナビゲーション パネルで [リソース] を選択し、画面上部のナビゲーション バーで [クラウド リソース] を選択します。
- セカンダリの左側パネルで、[Edge Gateway] を選択します。
- 仮想サービスが構成されている NSX Edge Gateway をクリックします。
- 仮想サービスをクリックし、[WAF] をクリックします。
- [全般] の下で、[編集] をクリックします。
- [WAF の状態] オプションをオンにします。
- WAF モードを選択します。
オプション 説明 検出 WAF ポリシーは受信する要求を評価して処理しますが、ブロック アクションは実行しません。要求にフラグが設定されていると、ログ エントリが作成されます。 適用 WAF ポリシーは要求を評価し、指定されたルールに基づいて要求をブロックします。対応するログ エントリは REJECTED とマークされます。 - [保存] をクリックします。
次のタスク
必要に応じて、仮想サービスの WAF モードを後で変更するか、Web アプリケーションのファイアウォールを無効にすることができます。
仮想サービスの WAF を有効にした後、必要に応じて許可リストのルールを作成したり、WAF シグネチャを編集したりできます。
仮想サービス用の許可リスト ルールの構成
許可リスト機能を使用すると、WAF が要求の処理時に使用する一致条件および関連付けられたアクションを定義できます。
WAF の許可リスト ルールを作成する際は、要求が特定の IP アドレスまたは範囲からのものである場合や、要求が HTTP メソッドの一致タイプを使用して指定された URL パターンに一致する場合など、特定の場合に WAF ポリシーを適用しないように WAF に指示します。許可リスト ルールを構成すると、誤検知の WAF 違反が大量にログに記録されることを防ぎ、WAF シグネチャの検査によって発生する遅延を軽減できます。
手順
仮想サービス向けの WAF シグネチャの編集
仮想サービス向けの WAF シグネチャを編集できます。シグネチャ モードを [検出] から [適用] に、またはその逆に変更できます。また、必要に応じてシグネチャやシグネチャ グループを無効にすることもできます。