NSX Advanced Load Balancer は、Horizon 環境の HTTP/HTTPS トラフィックに対する WAF をサポートします。WAF ルールは、プライマリ プロトコル (XML/API) トラフィックの L7 仮想サービスでサポートされます。

注:

  • System-WAF-Policy-VDI を使用することをお勧めします。また、デフォルトの CRS ルールを使用することをお勧めします。応答の検査のための他のルールは必須ではありません。CRS ルールでは、これらの署名やルールは有効にしないでください。

  • WAF 機能が Horizon アプリケーションとシームレスに連携するように、WAF ポリシーおよび許可された URI(/ice/tunnel//ice/reconnect を含む)を追加する必要があります。同様に、/ice/ に関する他の URI がある場合はそれらも許可します。/ice で始まるすべての URI を許可することがベスト プラクティスです。

  • 次に示すように、以下を使用して、CRS の前に適用するルールを追加します。このルールは、NSX Advanced Load Balancer が受信ペイロードを XML ペイロードとしてのみ解析するために必要です。

    SecRule REQUEST_METHOD "@streq POST" "phase:1,id:4099822,t:none,nolog,pass,chain"
SecRule REQUEST_URI "@streq /broker/xml" "t:none,ctl:requestBodyProcessor=XML"

  • コマンド インジェクション ルール (932105) は、無効にすることをお勧めします。このルールは、Horizon 環境には必要ありません。

  • 応答ベースのルールは有効にしないでください。

  • 見つからないユーザー エージェント ルールは無効にする必要があります。コマンド インジェクション ルール (932105) は、無効にすることをお勧めします。

  • NSX Advanced Load Balancer は、VDI の組み込みの WAF ポリシー、つまり System-WAF-Policy-VDI をサポートします。これには、必要なすべてのルールのカスタマイズが含まれています。System-WAF-Policy-VDI を使用することをお勧めします。

推奨

21.1.3 より前のバージョンの場合は、VDI トラフィックの WAF ポリシーを作成するときに、次の点を考慮する必要があります。

  • デフォルトの CRS ルールを使用することをお勧めします。応答の検査のための他のルールは必須ではありません。CRS ルールでは、これらの署名やルールは有効にしないでください。

  • WAF 機能が Horizon アプリケーションとシームレスに連携するように、WAF ポリシーおよび許可された URI(/ice/tunnel/ と /ice/reconnect を含む)を追加する必要があります。同様に、/ice/ に関する他の URI がある場合はそれらも許可します。/ice で始まるすべての URI を許可することがベスト プラクティスです。

  • 次に示すように、以下を使用して、CRS の前に適用するルールを追加します。

    • SecRule REQUEST_METHOD “@streq POST” “phase:1,id:4099822,t:none,nolog,pass,chain”

    • SecRule REQUEST_URI “@streq /broker/xml” “t:none,ctl:requestBodyProcessor=XML”

  • 応答ベースのルールは有効にしないでください。

  • 見つからないユーザー エージェント ルールは無効にする必要があります。

  • コマンド インジェクション ルール (932105) は、無効にすることをお勧めします。

L7 仮想サービスを作成(または既存の仮想サービスを使用)して、次の手順を実行します。

  1. WAF プロファイルの作成

    1. [テンプレート] > [WAF] > [WAF プロファイル] の順に移動します。[作成] をクリックして新しいプロファイルを作成します。目的の名前を入力し、残りのフィールドはデフォルトのままにします。

  2. WAF ポリシーの作成

    1. [テンプレート] > [WAF] > [WAF ポリシー] の順に移動します。前の手順で作成した WAF プロファイルを選択します。デフォルトのプロファイルも使用できます。

  3. 許可リスト ルールの追加

    1. この許可リストは、WAF が、/ice/tunnel を含む URI を持つ要求をブロックしないようにします。これは必須の手順です。

    2. [許可リスト] タブを選択し、[ルールを追加] をクリックします。

    3. 次の属性を指定します。

      1. [基準][次を含む]

      2. [文字列値][/ice/tunnel/]

      3. [アクション][許可]

    4. [/ice] で始まるすべての URI を許可するには、[一致] セクションで以下を指定してルールを作成します。

      1. [基準][次で始まる]

        [文字列値][/ice]

    5. 同様に、[/ice/reconnect] についても別の許可リスト ルールを作成できます。

    6. CRS より前に適用するルールを追加するには、[保存] をクリックし、[シグネチャ] タブ > [CRS の前に適用するルールの追加] をクリックします。

  4. 必要な仮想サービスとの関連付け

    1. WAF プロファイルの準備ができたら、[アプリケーション] > [仮想サービス] の順に移動します。

    2. 必要な L7 仮想サービスを選択し、前の手順で作成した WAF ポリシーを関連付けて、構成を保存します。