このセクションでは、WAF ポリシーを構成する方法について説明します。

注:
  • [テンプレート] > [WAF] > [WAF ポリシー] の順に移動して、デフォルトのポリシーを見つけます。

  • System-WAF-Policy は、OWASP CRS ルールを含む NSX Advanced Load Balancer のデフォルト ポリシーです。詳細については、シグネチャ CRS ルールを参照してください。

  • ポリシーをカスタマイズするには、デフォルトのポリシー (System-WAF-Policy) を編集するのではなく、新しいポリシーを作成することを強くお勧めします。

  • アプリケーション学習を有効にする WAF ポリシーは、アプリケーション間で共有できません。

新しいポリシーを作成するには、次の手順を実行します。

  1. [テンプレート] > [WAF] > [WAF ポリシー] の順に移動します。

  2. [作成] をクリックします。

    注:

    作成によって、System-WAF-Policy のクローンを作成し、作成済みの WAF ポリシーの基礎として使用します。

  3. 次のタブで新しい WAF ポリシーを構成します。

    1. 設定

    2. 学習

    3. 許可リスト

    4. ポジティブ セキュリティ

    5. アプリケーション ルール

    6. シグネチャ

  4. [保存] ボタンをクリックして WAF ポリシーを作成します。

[設定] タブ

WAF ポリシーを構成するには、次の詳細を入力します。

フィールド

説明

追加情報

名前

ポリシーの関連する名前を入力します。

WAF プロファイル

このポリシーに添付する必要がある WAF プロファイルを選択します。プロファイルには、WAF ポリシーを補完するために再利用可能な一般的な設定が含まれています。

WAF プロファイル

モード

必要なモードをクリックします。サポートされるモードは次のとおりです。

  • 検出 - このモードでは、WAF ポリシーは受信要求を評価します。要求の状態が FLAGGED の場合、FLAG タイプ(WAF タイプ)のログ エントリが作成されます。

  • 適用 - このモードでは、WAF ポリシーは定義されたデフォルトのアクションに基づいて要求を評価およびブロックします。このデフォルト アクションは、WAF プロファイルで構成されます。アクションが拒否された場合、REJECTED という名前の対応するログ エントリが生成されます。

  • モード委任 - このモードでは、WAF ルールがポリシーを上書きすることができ、ルール セットに定義されたアクションに関係なく、特定のアクション(検出または適用)を単一のルールに定義できます。

新しいアプリケーションをオンボーディングするときは、検出専用モードを使用することをお勧めします。詳細については、WAF モードを参照してください。

モード委任の詳細については、混合モードとモード委任の有効化を参照してください。

パラノイア レベル

WAF ポリシーのパラノイア レベルを設定します。これは、ポリシーの厳格さを判断するために使用され、潜在的な誤検出の発生率に直接影響します。

パラノイア モード

次のスクリーンショットは、サンプル構成を示しています。



注:

NSX Advanced Load Balancer では、IPv6 はまだ WAF でサポートされていません。