このセクションでは、WAF ポリシーを構成する方法について説明します。

注:

  • [テンプレート] > [WAF] > [WAF ポリシー] の順に移動して、デフォルトのポリシーを見つけます。

  • System-WAF-PolicyNSX Advanced Load Balancer のデフォルト ポリシーであり、すべての新しいアプリケーションの開始点として推奨されます。たとえば、これには NSX Advanced Load Balancer OWASP CRS シグネチャが含まれています。詳細については、「シグネチャの CRS ルール」を参照してください。

  • ポリシーをカスタマイズするには、デフォルトのポリシー (System-WAF-Policy) を編集するのではなく、新しいポリシーを作成することを強くお勧めします。

  • アノマリ検出などの機能を使用する場合は、CRS グループ CRS_901_Initialization を有効にする必要があります。有効にしないと、必要なアノマリしきい値がデフォルトに構成されません。通常は、このグループを有効にしておくことを推奨します。

  • アプリケーション学習を有効にする WAF ポリシーには、特定のアプリケーションに合わせた構成が含まれているため、アプリケーション間で共有できません。

新しいポリシーを作成するには、次の手順を実行します。

  1. [テンプレート] > [WAF] > [WAF ポリシー] の順に移動します。

  2. [作成] をクリックします。

    注:

    作成によって、System-WAF-Policy のクローンを作成し、新規作成された WAF ポリシーの基礎として使用します。

  3. 次のタブで新しい WAF ポリシーを構成します。

    1. [設定]

    2. [学習]

    3. [許可リスト]

    4. [ポジティブ セキュリティ]

    5. [アプリケーション ルール]

    6. [シグネチャ]

  4. [保存] をクリックして WAF ポリシーを作成します。

[設定] タブ

WAF ポリシーを構成するには、次の詳細を入力します。

フィールド

説明

追加情報

[名前]

ポリシーの関連する名前を入力します。

[WAF プロファイル]

このポリシーに添付する必要がある WAF プロファイルを選択します。プロファイルには、WAF ポリシーを補完するために再利用可能な一般的な設定が含まれています。

詳細については、「WAF プロファイル」を参照してください。

[ポリシー モード]

次のモードのいずれかを選択します。

  • [検出]

  • [適用]

詳細については、「WAF ポリシー モードの選択」を参照してください。

新しいアプリケーションをオンボーディングするときは、[検出] モードを使用することをお勧めします。詳細については、「WAF モード」を参照してください。

モード委任の詳細については、「混合モードとモード委任の有効化」を参照してください。

[モード委任を許可]

このオプションを有効にすると、WAF ルールは選択された [ポリシー モード] を上書きすることができ、ルール セットに定義されたアクションに関係なく、特定のアクション(検出または適用)を単一のルールに定義できます。

[モード委任を許可] チェックボックスは、選択したポリシー モードが [検出] の場合のみ有効になります。これは [適用] モードに必要なためです。

[静的拡張機能をバイパス]

静的ファイルの拡張子の WAF をバイパスするには、このオプションを有効にします。

バイパスの詳細については、「WAF のバイパス」を参照してください。

[パラノイア レベル]

WAF ポリシーのパラノイア レベルを設定します。これは、ポリシーの厳格さを判断するために使用され、潜在的な誤検出の発生率に直接影響します。

詳細については、FAQ セクションのWAF で利用可能なパラノイア モードは何ですか?モードを選択する際の考慮事項は何ですか?

[GeoDB]

WAF ポリシーで使用される位置情報マッピング データベース。

モード委任

[モード委任] オプションを使用して、ポリシーを有効にし、次の 2 つのモードで動作するようにすることができます。

  • [検出]:検出モードで、要求がルールに一致する場合、要求にはアプリケーション ログ メッセージ(「FLAGGED」とマークされる)のフラグが付けられ、要求の通過が許可されます。

  • [適用]:適用モードで、要求がルールに一致する場合、サービス エンジンによってブロックされ、アプリケーション ログ メッセージ(「REJECTED」とマークされる)が生成されます。

[モード委任] が有効になっている場合、個々の WAF ルールによって [ポリシー モード] がオーバーライドされ、残りのルールとは異なる動作になります。これは混合モードとも呼ばれ、[適用] モードによって正当な要求がブロックされるのを回避するための微調整の別の方法です。

[モード委任] を有効にするための関連する使用事例を次にいくつか示します。

  • 新しいルールのテスト:混合モードを有効にし、手動で作成したルールまたは新しい CRS ルールの更新を構成して、誤検出を回避できます。正当な要求が拒否されないように、[検出] モードで動作する新しいルールを導入できるようになります。

  • 部分検出:WAF ポリシー全体を [検出] モードにしたまま、適用モードでいくつかのルールを構成できます。

[モード委任] は、次の手順で有効にできます。

  1. NSX Advanced Load Balancer ユーザー インターフェイスで、[テンプレート] > [WAF] > [WAF ポリシー] の順に移動します。

  2. [作成] をクリックするか、既存の WAF ポリシーを編集します。

  3. [設定] タブの [ポリシー モード] で、[モード委任を許可] チェックボックスを選択して、混合モードを有効にします。



    特定のルールに対して [ポリシー モード] を有効にするには、次の手順を実行します。

  1. [シグネチャ] タブに移動し、[CRS バージョン] を選択します。

  2. 編集する [ルール] が含まれている [グループ] を展開します。

  3. 編集する [ルール][編集] アイコンをクリックします。

  4. [ルール モード] で、[ポリシー モードの使用] オプションを選択します。

  5. [保存] をクリックします。