このセクションでは、WAF プロファイルの構成の手順について詳しく説明します。

注:

  • [テンプレート] > [WAF] > [WAF プロファイル] の順に移動して、デフォルトのプロファイルを見つけます。

  • System-WAF-Profile は仮想サービスを通じて提供され、最も一般的に使用される Web アプリケーション設定を含むデフォルトのプロファイルです。

  • プロファイルをカスタマイズするには、デフォルトのプロファイル (System-WAF-Profile) を編集するのではなく、新しいプロファイルを作成することを強くお勧めします。

新しいプロファイルを作成するには、次の手順を実行します。

  1. [テンプレート] > [WAF] > [WAF プロファイル] の順に移動します。

  2. [作成] をクリックします。

  3. 次のタブで新しい WAF プロファイルを構成します。

    1. [全般]

    2. [デフォルト アクション]

    3. [コンテンツ タイプのマッピング]

    4. [ファイル]

  4. [保存] をクリックします。

全般

[WAF プロファイルの作成] 画面の [全般] セクションは次のとおりです。



WAF プロファイルを構成するには、次の詳細を入力します。

フィールド

説明

追加情報

[名前]

プロファイルの関連する名前を入力します。

[使用可能なバージョン]

プロファイルで許可されている HTTP のバージョンを入力します。

[1.0][1.1]、および [2.0] がデフォルトのエントリです。

[使用可能なメソッド]

プロファイルで許可されている HTTP メソッドを入力します。アプリケーションが異なれば、必要なメソッドも異なります。

Web サイトは、デフォルトの HTTP メソッド([GET][HEAD][POST][OPTIONS])のみを使用する場合があります。API は、PUT、DELETE、TRACE、CONNECT などの他の HTTP メソッドを使用できます。

以下の追加オプションから選択することもできます。

  • [PATCH]

  • [PROPFIND]

  • [PROPPATCH]

  • [MKCOL]

  • [COPY]

  • [MOVE]

  • [LOCK]

  • [UNLOCK]

[許可された要求コンテンツ タイプの文字セット]

プロファイルの承諾済み要求コンテンツ タイプを入力します。デフォルトでは、すべての標準のコンテンツ タイプが対象となります。

デフォルトの文字セットは utf-8、iso8859-1、iso8859-15、および windows-1252 です。CRS の前に適用するルールを構成せずに、WAF プロファイルで目的の文字セットを直接追加または更新できます。

[制限付き拡張機能]

制限およびブロックする必要がある拡張子を入力します。

通常、これらは Web サーバに存在しないファイルです。

[制限付きヘッダー]

WAF で許可されないヘッダーを入力します。

[静的拡張機能]

WAF チェックをバイパスする静的ファイルの拡張子のリストを入力します。

パラメータまたは動的部分のない GET 要求は、静的要求として分類されます。攻撃ベクトルは含まれていません。

その他の設定

[全般] タブで構成できるその他の設定には次のようなものがあります。

フィールド

説明

追加情報

[クライアント要求の最大サイズ]

これは、WAF によってスキャンされるクライアント要求本文の最大サイズです。

例:32

[バックエンド応答の最大数]

WAF で許可されている最大応答サイズを KB 単位で入力します。

例:128

[正規表現の一致制限]

これは、ルールの処理時の各正規表現一致の CPU 使用率の制限です。

例 - 30000

[正規表現の再帰制限]

ルールの処理時に行う正規表現一致の再帰の深さを制限します。

[最大実行時間]

これは、1 つの要求の WAF 処理に許可される最大時間です。

例:50。

[引数の区切り文字]

引数の区切り文字が異なる特別なアプリケーションの区切り文字を入力します。

例:&。

[Cookie 形式のバージョン]

優先する Cookie 形式のバージョンを選択します。

Version 1 cookies は廃止されました。そのため、Netscape cookies をお勧めします。

[部分スキャンによる要求本文の解析エラーを無視します]

選択すると、部分スキャンによる要求本文の解析エラーは無視されます。

[XXE 保護を有効にする]

外部エンティティを参照する XML 要求をブロックするか、このような要求にフラグを付けます。

チェックボックスを選択するか、選択解除します。

[デフォルト アクション] タブ

フェーズごとにそれぞれデフォルト アクションがあります。デフォルト アクションに定義されているフィールドは、[phase][action][status code][additional logging] および [WAF logs] です。

デフォルト アクションの値は次の形式になります。

<phase:n>, <action>, <status code>, <additional-log-level>, <WAF-log-level>

  • <phase>:WAF フェーズのリストと、そのフェーズで許可される値を次に示します。

    • [要求ヘッダー フェーズ] - [phase:1]

    • [要求本文フェーズ] - [phase:2]

    • [応答ヘッダー フェーズ] - [phase:3]

    • [応答本文フェーズ] - [phase:4]

  • <action>:アクションには、[pass][deny] の 2 つのオプションがあります。

  • <status code>:要求が WAF によって拒否された場合、デフォルトで 403 状態コードがクライアントに送信されます。状態コードはカスタマイズすることもできます(必要な場合)。たとえば、403 などです。

  • <additional-log-level>:追加のログ レベル。たとえば、[log] などです。

  • <WAF-log-level>:WAF ログ レベル。たとえば、[auditlog] などです。

[要求ヘッダー フェーズ] のデフォルト アクションの例を次に示します。

[phase:1,deny,status:403,log,auditlog]

[コンテンツ タイプのマッピング] タブ

このタブは、プロファイルに対して受け入れられた要求コンテンツ タイプを構成するために使用されます。

コンテンツ タイプ マッピングと使用可能な要求本文パーサーの詳細については、「WAF プロファイルのコンテンツ タイプ マッピング」を参照してください。

[ファイル] タブ

仮想サービス間で共有される WAF プロファイルの静的入力データはここに保存されます。たとえば、ファイル名 sql-errors.data には、データ漏洩防止のために HTTP 応答を調べるための文字列を含むデフォルトのデータセットがあります。

新しいファイルを作成するには、次の手順を実行します。

  1. [ファイル] タブに移動します。

  2. [追加] をクリックします。

  3. [名前] を指定し、関連する [データ] を入力します。

これらのファイルは、カスタム WAF ポリシー ルールで参照できます。詳細については、「カスタム ルール」を参照してください。