このセクションでは、WAF プロファイルの構成について説明します。

注:
  • [テンプレート] > [WAF] > [WAF プロファイル] の順に移動して、デフォルトのプロファイルを見つけます。

  • System-WAF-Profile は仮想サービスを通じて提供され、最も一般的に使用される Web アプリケーション設定を含むデフォルトのプロファイルです。

  • プロファイルをカスタマイズするには、デフォルトのプロファイル (System-WAF-Profile) を編集するのではなく、新しいプロファイルを作成することを強くお勧めします。

新しいプロファイルを作成するには、次の手順を実行します。

  1. [テンプレート] > [WAF] > [WAF プロファイル] の順に移動します。

  2. [作成] アイコンをクリックします。

[設定] タブ

WAF プロファイルを構成するには、次の詳細を入力します。

フィールド

説明

追加情報

名前

プロファイルの関連する名前を入力します。

使用可能なバージョン

プロファイルで許可されている HTTP のバージョンを入力します。

1.0、1.1、20.x、および 2.0 がデフォルトのエントリです。

使用可能なメソッド

プロファイルで許可されている HTTP メソッドを入力します。アプリケーションが異なれば、必要なメソッドも異なります。

Web サイトは、デフォルトの HTTP メソッド(GET、HEAD、POST、OPTIONS)のみを使用する場合があります。API は、PUT、DELETE、TRACE、CONNECT などの他の HTTP メソッドを使用する場合があります。

次の追加オプションから選択することもできます。

  • PATCH

  • PROPFIND

  • PROPPATCH

  • MKCOL

  • COPY

  • MOVE

  • LOCK

  • UNLOCK

使用可能なコンテンツ タイプ

プロファイルの承諾済み要求コンテンツ タイプを入力します。

デフォルトのエントリは、すべての標準コンテンツ タイプに対応します。

制限付き拡張機能

制限およびブロックする必要がある拡張子を入力します。

通常、これらは Web サーバに存在しないファイルです。

制限付きヘッダー

WAF で許可されないヘッダーを入力します。

静的拡張機能

WAF チェックをバイパスする静的ファイルの拡張子のリストを入力します。

パラメータまたは動的部分のない GET 要求は、静的要求として分類されます。攻撃ベクトルは含まれていません。

デフォルト アクション

要求ヘッダー、要求本文、応答ヘッダー、応答本文が、4 つの WAF フェーズです。フェーズごとにそれぞれデフォルトのアクションがあります。このデフォルト アクション用に定義されたフィールドは phase,action,status code,additional logging,WAF logs です。

フェーズ:各フェーズの説明とともに許可される値は次のとおりです。

phase:1 - 要求ヘッダー フェーズ

phase:2 - 要求本文フェーズ

phase:3 - 応答ヘッダー フェーズ

phase:4 - 応答本文フェーズ

[例 - phase:1]

action:permit と deny の 2 つのオプションがあります。[例 - deny]

status code:要求が WAF によって拒否された場合、デフォルトで 403 状態コードがクライアントに送信されます。ただし、状態コードはカスタマイズできます(必要な場合)。[例 - status:403]

additional logging:追加のログ レベルを入力します。[例 - log]

WAF logs:WAF ログ レベルを入力します。

[例 - auditlog]

全般設定を構成するには、次の手順を実行します。

  1. Allowed Versions フィールドで WAF で許可された HTTP バージョンを選択します。デフォルトでは、1.0、1.1、2.0 が選択されています。

  2. 必要に応じて、WAF で許可された HTTP メソッドを選択します。デフォルトでは、GET、HEAD、POST、OPTIONS が選択されています。

  3. 受け入れられるコンテンツ タイプを制限するには、WAF で許可されたコンテンツ タイプを選択します。デフォルトでは、標準のコンテンツ タイプが対象となります。

    注:

    その他のコンテンツ タイプは簡単に追加できます。

  4. Restricted Extensions に WAF の制限付きファイル拡張子を入力して、ブロックすることでアクセスを制限します。デフォルトでは、ほとんどの使用事例が対象です。

  5. Restricted Headers に、ブロックする WAF の制限付きヘッダーを入力します。デフォルトでは、ほとんどの使用事例が対象です。

  6. Static Extensions. フィールドに、WAF チェックをバイパスする必要がある静的ファイル拡張子のリストを入力します。

New WAF Profile 画面の General セクションは次のとおりです。



その他の設定

クライアント要求の最大サイズ

これは、WAF によってスキャンされるクライアント要求本文の最大サイズです。

Example - 32

バックエンド応答の最大サイズ

WAF で許可されている最大応答サイズを KB 単位で入力します。

Example - 128

引数の区切り文字

引数の区切り文字が異なる特定のアプリケーションの区切り文字を入力します。

Example - &

正規表現の一致制限

これは、ルールの処理時の各正規表現一致の CPU 使用率の制限です。

例 - 30000

最大実行時間

これは、1 つの要求の WAF 処理に許可される最大時間です。

例 - 50

Cookie 形式のバージョン

優先する Cookie 形式のバージョンを選択します。

Version 1 cookies は廃止されました。したがって、Netscape cookies をお勧めします。

XXE から保護

外部エンティティを参照する XML 要求をブロックするか、このような要求にフラグを付けます。

チェックボックスをオン/オフにします。

次のスクリーンショットは、サンプル構成を示しています。



[ファイル] タブ

仮想サービス間で共有される WAF プロファイルの静的入力データはここに保存されます。たとえば、ファイル名 sql-errors.data には、データ漏洩防止のために HTTP 応答を調べるための文字列を含むデフォルトのデータセットがあります。

新しいファイルを作成するには、次の手順を実行します。

  1. File Tab に移動します。

  2. ページの一番下までスクロールして、+ Add File をクリックします。

  3. Name を指定し、関連する Data を入力します。

これらのファイルは、カスタム WAF ポリシー ルールで参照できます。詳細については、カスタム ルールを参照してください。