次のセクションでは、WAF 構成ポリシーの 2 つのモードを比較します。
NSX Advanced Load Balancer の WAF ポリシーでは、[検出] と [適用] の 2 つのモードがサポートされます。すべてのポリシーは、これらのモードのいずれかで実行され、要求と応答が評価されます。
名前 |
検出 |
適用 |
|---|---|---|
ポリシー |
攻撃時にはログにアラートが記録されますが、拒否アクションは実行されません。 |
ポリシーが一致し、拒否アクションが実行されると、要求が拒否されます。 |
動作 |
1 番目のルールがヒットしても、停止せずにポリシー全体が評価されます。 |
1 番目のルールに一致した場合、要求を拒否してデフォルトのアクションを実行するか、ルール固有のエラー コードを返します。 |
ログ ファイル |
ポリシー違反が検出された WAF ログ セクションと、一致する各ルールのエントリが含まれます。 |
1 番目のルールで要求が拒否された WAF ログ セクションが含まれます。
注:
これにより、パフォーマンスが向上します。要求が攻撃としてすでに識別されている場合は、それ以上のチェックは必要ありません。 |
応答コード |
200 OK |
デフォルトは 403 Forbidden です。この応答コードは、WAF プロファイルの デフォルト アクション セクションで変更できます。 |
WAF ポリシー モードの選択
次のいずれかのモードを選択できます。サポートされるモードは次のとおりです。
[検出]:検出モードでは、ルールは処理されますが、ブロック アクションは実行されません。
[適用]:適用モードでは、ルールが処理され、定義されたデフォルト アクションに基づいてブロック アクションが実行されます。このデフォルト アクションは、WAF プロファイルで構成されます。デフォルトでは、WAF は攻撃ベクトルを持つ要求を拒否し、対応するログ エントリは [REJECTED] としてマークされます。
[ポリシー モードの使用] を使用してルールを構成すると、全体的なポリシー モード(「適用」または「検出」)が使用されます。
使用に関する推奨事項
さまざまな使用のシナリオに適したモードを有効にするには、次の手順を実行します。
新しいアプリケーションの場合:
アプリケーションの仮想サービスを作成します。
WAF ポリシーを [検出] モードで追加します。
誤検出の回避を繰り返します。
WAF によって正当なトラフィックにフラグが設定されなくなったら、[適用] モードに変更します。
既存のアプリケーションの場合:
WAF ポリシーを [検出] モードで追加します。
誤検出の回避を繰り返します。
WAF によって正当なトラフィックにフラグが設定されなくなったら、[適用] モードに変更します。
[検出] モードの評価にかかった時間は、検出された要求の合計数、パラノイア モード、要求のアプリケーション カバレッジなどのいくつかの要因によって異なります。
