Cisco ACE Web Application Firewall ユーザ ガイド
宛先サーバの設定
宛先サーバの設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

宛先サーバの設定

宛先サーバについて

宛先 HTTP サーバに関する作業

宛先 HTTP サーバの追加

ACE Application Switch との統合

Cisco ACE 仮想デバイス接続の設定

VIP からのサーバ定義の生成

HTTP エコー サーバの使用

サーバ定義の削除

宛先サーバの設定

この章では、保護されたバックエンド システムの設定の管理方法について説明します。内容は次のとおりです。

「宛先サーバについて」

「宛先 HTTP サーバに関する作業」

「ACE Application Switch との統合」

「HTTP エコー サーバの使用」

「サーバ定義の削除」

宛先サーバについて

ACE Web Application Firewall ポリシーでは、トラフィックを処理および検証するバックエンド システムの設定が HTTP サーバ オブジェクトに含まれます。サーバ オブジェクトは、新しい仮想 Web アプリケーションを定義する場合に作成されます。ただし、宛先 HTTP サーバ定義を手動で作成したり、既存の定義を変更したりすることもできます。

宛先サーバの設定は、要求をバックエンド システムに転送するために ACE Web Application Firewall が使用する接続設定から主に構成されます。宛先 HTTP サーバ定義で指定された実際のエンドポイントは、アプリケーションをホストするサーバまたはサーバ ファームや仮想サーバを表す論理サーバになります。

エコー サーバは、外部のバックエンド システムの代わりに ACE Web Application Firewall 自体が応答を生成し、返すサーバ定義の種類です。Firewall は要求をエコーするか、サーバ定義用に設定されたスタティック応答ページを返します。エコー サービスは、ポリシーをテストする場合やメッセージ検証をコールアウト形式で実行する場合に役に立ちます。

この章では、ACE Web Application Firewall Manager でサーバを設定する方法について説明します。サーバ定義は、仮想 Web アプリケーションの定義時に自動的に生成したり、手動で作成したりできます。

宛先 HTTP サーバに関する作業

HTTP サーバ定義は、ネットワーク アドレス、リスニング ポート、接続に SSL が必要かどうかなどの、特定のバックエンド サーバの設定を保持します。サーバ オブジェクトを作成、編集、または削除するには、コンソールで Administrator ユーザであるか、またはルーティング ロールを持つ Privileged ユーザである必要があります。

宛先 HTTP サーバの追加

HTTP サーバを作成すると、トラフィック処理ルールをサーバに関連付けることができます。宛先サーバは、新しい仮想 Web アプリケーションを定義する場合に作成されます。ただし、宛先 HTTP サーバ定義は次のように手動で作成することもできます。


ステップ 1 ACE Web Application Firewall Manager Web コンソールで、アクティブ サブポリシーを、宛先 HTTP サーバ定義を追加するサブポリシーに設定します。

ステップ 2 操作メニューから [Destination HTTP Servers] リンクをクリックします。

ステップ 3 [HTTP Servers] ページで、[Add a New HTTP Server] をクリックします。

ステップ 4 サーバ定義の内容を示す名前を [Name] フィールドに入力します。この名前はコンソール内でだけ使用され、この名前により Web コンソールの他のユーザがサーバ定義を識別できるようにしなければなりません。この名前は、ポリシー内の HTTP サーバで一意である必要があります。


) アプリケーション仮想プロセスにより生成されたサーバ オブジェクトの場合、ACE Web Application Firewall Manager は server.example.com:80 などの、デフォルトのサーバ名のホスト名とポート番号を使用します。ただし、この値は識別のためにだけ使用されるため、このサーバ定義を他のものと区別できるならどんな値でも設定できます。


ステップ 5 [Host] フィールドで、バックエンド サーバのホスト名を入力します。

ホスト値は、バックエンド システムの DNS 名( swan.example.com など)または IP アドレス( 192.168.1.100 など)である必要があります。フィールドにプロトコル プレフィクス(http://)を入力する必要はありません。

ステップ 6 [Port] フィールドで、バックエンド サーバがサービス要求をリッスンするポート番号を指定します。

この値を正しく指定しないと、サービス記述子がトラフィックをサービスに正しく渡すことができません。大部分の HTTP サーバは、通常の Web トラフィック用のポート 80 または SSL 接続用のポート 443 を使用します。

ステップ 7 バックエンド サーバへの接続に SSL を設定するには、次の手順に従います。

a. [SSL] チェックボックスをクリックします。サーバが SSL 接続をサポートする場合は、このオプションだけを選択します。

b. 双方向 SSL の場合、クライアントはサーバに対してクライアント自体を認証し、サーバはクライアントに対してサーバ自体を認証する必要があります。サーバがクライアント認証(この場合は ACE Web Application Firewall)を要求した場合、Firewall は [If requested, use client public/private keypair] というラベルのフィールドに指定された証明書を提示できます。

使用したい鍵ペアがメニューのリストに存在しない場合は、[Upload] をクリックしてリソースとして鍵ペアをポリシーに追加します。

c. バックエンド HTTP サーバがこれらのオプションで提示する証明書を ACE Web Application Firewall がどのように検証するかを指定します。

サーバが提示するすべての証明書を受け入れる場合は、[Require remote server certificate signed by this CA certificate ] オプションをデフォルト値の [none] のままにします。これは、デフォルトの設定です。

Certificate Authority(CA; 認証局)により認証されたすべての証明書を受け入れる場合は、[Require remote server certificate signed by this CA certificate] オプションを選択し、メニューから CA 証明書を選択します。メニューに証明書が示されない場合は、[Upload] を選択し、ACE Web Application Firewall Manager の信頼できる認証局のリストに証明書を追加します。

指定された証明書と同一の証明書をサーバが提示するよう指定するには、[Require a certificate from the remote server that is identical to this certificate] ボタンをクリックし、メニューから証明書を選択します。メニューに証明書が示されない場合は、[Upload] を選択し、ACE Web Application Firewall Manager のリモート サーバ証明書のリストに証明書を追加します。

ステップ 8 また、[SSL Cipher Suite] メニューから、このバックエンドへの SSL 接続のネゴシエーションで受け入れる暗号を指定することもできます。セキュアな接続をネゴシエートするときに、ACE Web Application Firewall とサーバは接続に使用する暗号スイートについて同意する必要があります。ここで指定するどの暗号もサーバがサポートしない場合、接続は許可されません。

デフォルトでは、接続は、[System Management] > [I/O Settings] ページで設定された、ACE Web Application Firewall の HTTP クライアント プロセス用のグローバル SSL 暗号スイート設定を使用します。このオプションを使用すると、このサーバに固有の設定を適用できます。

[SSL Cipher Suite] メニューからカスタムを選択して暗号スイートを指定し、表示されたフィールドに OpenSSL 暗号化文字列形式( http://www.openssl.org/docs/apps/ciphers.html を参照)で受け入れる暗号スイートを入力します。


) 暗号スイート文字列の入力は慎重に行ってください。ACE Web Application Firewall Manager の Web コンソール インターフェイスでは、入力した値が検証されません。間違った値を入力したり、意味のない値を入力したりした場合、ACE Web Application Firewall はサーバとの SSL 接続を開くことができません。


ステップ 9 [Save Changes] をクリックしてサーバ設定を完了します。


 

完了したら、ポリシーの仮想 Web アプリケーションでサーバを使用できます。

ACE Application Switch との統合

実稼動ネットワークでは、アプリケーション サーバがクライアント アプリケーションによって直接アクセスされることはほとんどありません。通常、アプリケーション サーバは 1 つまたは複数のロード バランサによって代理されます。ACE Web Application Firewall Manager には、Cisco Application Control Engine(ACE)Application Switch により代理されるバックエンド サーバを迅速に統合できる機能が含まれます。ACE Application Switch は、ネットワーク上のアプリケーションの可用性、パフォーマンス、およびセキュリティを最大化する高パフォーマンスのアプリケーション スイッチです。

ACE Application Switch の設定を検査することにより、ACE Web Application Firewall Manager はサービス トラフィックを ACE Application Switch の背後にあるアプリケーション サーバにルーティングするのに必要なポリシー設定を素早く生成できます。

図 9-1 ダウンストリーム ACE アプライアンスの設定

 

ACE の設定では、ACE Application Switch はバックエンド サーバ ファームを Virtual IP (VIP; 仮想 IP)を使用して外部ネットワークに公開します。ACE Web Application Firewall Manager は、ACE Application Switch の仮想デバイス コンテキストに関するクエリーを発行し、ACE Application Switch が示す VIP を検出します。

VIP 検出の実行後に、ACE Web Application Firewall Manager は Cisco ACE 仮想デバイスの VIP を示します。この場合は、HTTP サーバ オブジェクトを生成する VIP を選択できます(この VIP は仮想サービスのバックエンド サービス宛先として使用できます)。

ACE Web Application Firewall Manager は次のバージョンの ACE Application Switch と連携して動作します。

Cisco ACE アプライアンス(ソフトウェア バージョン A1(7) 以降)

Cisco ACE モジュール(ソフトウェア バージョン A1(0)、A2(0)、およびそれ以降のバージョン)

ACE Application Switch と ACE Web Application Firewall の設定の統合は 2 つの段階で行われます。

1. VIP をインポートする ACE Application Switch 仮想デバイスへの接続を設定します。

2. ACE 仮想デバイス接続の設定後に、ACE Web Application Firewall Manager が Cisco ACE 仮想デバイスを検査し、選択された VIP からサーバ オブジェクトを生成するよう指定します。

ACE Web Application Firewall Manager が特定の ACE 仮想デバイスで VIP 検出を実行するたびに、ACE Web Application Firewall Manager は検出を新しいイベントとして扱います。つまり、HTTP サーバ オブジェクトをすでに設定した VIP を検出および報告します。ただし、ACE Web Application Firewall Manager では、以前にインポートされた VIP から重複するサーバ オブジェクトを生成できません。すでにインポートされた VIP に対してはどのような種類の設定更新も行われません。


) ACE Application Switch で設定されたバックエンド サーバの SSL 接続要件は、ACE Web Application Firewall ポリシーの VIP インポートにより生成された HTTP サーバ オブジェクトに伝播されません。バックエンド SSL サーバの VIP をインポートした後は、オブジェクト設定で SSL 接続の暗号化を手動で有効にする必要があります。


ACE Web Application Firewall によって提供されるサーバ管理機能は、手動で作成された HTTP サーバ オブジェクトと、VIP インポートにより生成された HTTP サーバ オブジェクトでは異なります。ACE ベースのサーバ オブジェクトに対して要求スロットリングは設定できますが、サーバ プーリングは設定できません(通常、ロード バランシング バックエンド サーバのタスクを実行するために ACE Application Switch に依存するため)。

Cisco ACE 仮想デバイス接続の設定

ACE Application Switch から VIP をインポートするには、最初に ACE Application Switch で仮想デバイスへの接続を指定します。この接続は ACE Web Application Firewall Manager でのポリシー開発にだけ使用されることに注意してください。サービス トラフィックは、Cisco ACE 仮想デバイスで検出された VIP から生成された接続に送信されます。また、ACE Web Application Firewall Manager は、この接続で指定された ACE デバイスの設定を変更しないことにも注意してください。つまり、ACE Web Application Firewall Manager は Cisco ACE デバイスで読み取り専用操作だけを実行します。

Cisco ACE 仮想デバイスへの接続を設定するには、次の手順に従います。


ステップ 1 ACE Web Application Firewall Manager Web コンソールで、操作メニューの [Destination HTTP Servers] リンクをクリックします。

ステップ 2 [Configure Integrated ACE Management] ボタンをクリックします。

ステップ 3 [Add ACE Application Switch] ボタンをクリックします。

ステップ 4 次のフィールドに値を入力します。

[ACE VLAN Address]:インポートする VIP を持つ ACE Application Switch 仮想デバイスの IP アドレス。このアドレスは、ACE 設定の特定の VLAN アドレスに対応します。

[HTTP(S) Port]:この Cisco ACE 仮想デバイスが HTTP 要求をリッスンするポート番号。

[Use HTTPS]:VIP を検査およびインポートするために ACE Application Switch に接続するときに ACE Web Application Firewall が SSL を使用するかどうかを指定します。ACE Web Application Firewall はセキュアなソケット レイヤ セキュリティを使用して ACE デバイスにアクセスできますが、ACE Application Switch で証明書を検証することはできません(証明書を ACE Web Application Firewall ポリシーにインポートできないため)。

SSL を使用して ACE アプライアンスにアクセスする場合は、通常ポート 10443 に接続する必要があります (ポート 443 は ACE アプライアンスでの他の使用のために予約されています)。

[Username]:この ACE Application Switch 仮想デバイス用の管理アカウントのユーザ名。

[Password]:指定されたユーザ アカウントのパスワード。

[Connection Timeout]:タイムアウト値。この時間が経過すると、Manager は接続を検証し、Cisco ACE Application Switch から VIP を検出することを止めます。この値は検査イベント内の個々の要求に適用され、検査にかかる全体的な時間には適用されません。

ステップ 5 [Save Changes] をクリックします。

ACE Web Application Firewall Manager は Cisco ACE 仮想デバイスへの接続を検証し、設定の初期検査を行います。成功したら、新しく定義された接続が ACE テーブルに表示されます。


 

この時点で、接続の [Import VIPs] リンクをクリックし、次の手順に従うことにより Cisco ACE 仮想デバイスから VIP を インポートすることができます。

VIP からのサーバ定義の生成

ACE Application Switch 仮想デバイス接続を設定したら、いつでも VIP 情報をインポートできます。このプロセスでは、Manager は ACE 仮想デバイスで、公開された VIP を検査し、これらの VIP を Web コンソールに示します。次の手順に従うことにより、Manager で HTTP サーバ オブジェクトを生成する VIP を選択できます。


ステップ 1 操作メニューの [Destination HTTP Servers] リンクをクリックして [HTTP Servers] ページにアクセスします([HTTP Servers] ページが表示されていない場合)。

設定された Cisco ACE デバイス接続が、[HTTP Servers] リストの ACE 部分に表示されます。接続の設定については、「Cisco ACE 仮想デバイス接続の設定」を参照してください。

ステップ 2 VIP をインポートする ACE 仮想デバイスの隣にある [import VIPs] リンクをクリックします。

ACE Web Application Firewall Manager が ACE Application Switch を検査するのに少し時間がかかります。完了したら、ACE 仮想デバイスに示された VIP に対する IP アドレスとポート番号のリストが表示されます。


) ACE Web Application Firewall は、Application Switch ポリシーの IP アドレス範囲に一致する VIP のインポートをサポートしません。


ステップ 3 チェックボックスを選択して、サーバ オブジェクトを作成する VIP を選択します。

VIP のポート番号が範囲である場合は(ACE ポリシーのポート選択の場合と同様)、バックエンド ACE Application Switch への要求を送信する特定のポート番号を VIP の隣にあるテキスト フィールドに入力します。


) メッセージをバックエンド VIP 上の複数のポートのいずれかに送信する場合は、それぞれ異なるポートに対してサーバ オブジェクトを作成する必要があります。追加のポートに対して、VIP インポート プロセスを繰り返してバックエンド サーバ オブジェクトを作成する必要があります。


ステップ 4 HTTP サーバ オブジェクトを作成する VIP を選択したら、[Create HTTP Servers] ボタンをクリックします。


 

[HTTP Servers] テーブルにこれらの VIP が表示されます。この時点で、ポリシー内の仮想サービスのバックエンド サービス設定でこれらの VIP を使用できるようになります。

HTTP エコー サーバの使用

仮想サービスがバックエンド サービスとしてエコー サーバを使用する場合は、外部サーバの代わりに ACE Web Application Firewall が応答を生成します。応答は固定応答(ポリシーに設定された HTML ページまたは SOAP 応答)、あるいはクライアントに再び反映された元の要求になります。

エコー サーバは、次の複数の点で役に立ちます。

バックエンド システムが開発中であり、要求を受け入れることができない場合に使用できます。エコー サービスを使用すると、バックエンド サービスが準備される前にクライアント側アプリケーションをテストできます。

ACE Web Application Firewall は、主要なトラフィック ストリームの外部のメッセージを検証できます。

エコー サーバは、HTTP ベースの仮想サービスとだけ連携して動作します。MQ Series などのメッセージング サーバとは動作しません。

エコー サーバを設定するには、次の手順に従います。


ステップ 1 操作メニューの [Destination HTTP Servers] リンクをクリックし、次に [Add a New HTTP Echo Server] ボタンをクリックします。

ステップ 2 [New Server] ページの [Name] フィールドに、エコー サーバ定義に対して他と区別が付くような名前を入力します。名前は、ポリシーのエコー サーバ定義で一意である必要があります。

ステップ 3 これらのオプションから応答をどのように生成するかを選択します。

[Echo]:要求をクライアントに反映します。ポリシーで指定された処理または検証に関するすべての設定は、Firewall を通過するときにメッセージに適用されます。エコー サーバ自体は必要に応じて HTTP ヘッダーを調整する以外はメッセージを処理しません。つまり、応答処理のために Firewall にメッセージを再び反映する前に、要求固有の HTTP ヘッダーを削除し、応答固有の HTTP ヘッダーを追加します。

[Fixed]:[Status Code] フィールド、[Content-Type] フィールド、[Other Headers] フィールド、および [Body] フィールドで設定する応答を返します (ここで設定されたヘッダー以外に、エコー サーバは、返されたメッセージに Content-length HTTP ヘッダーを追加します(メッセージ サイズには適切な値が割り当てられます))。

[Asynchronous]:常に、リターン コードが 202 の HTTP 応答を返します。このオプションは機能的に、[Fixed] 応答を選択し、[Status Code] に「202 Accepted」を設定することと同じです。


) これらのオプションの詳細については、次の手順の後の説明を参照してください。


ステップ 4 [Save Changes] をクリックし、使用しているポリシーに変更を保存します。

ステップ 5 メッセージをエコーするサービス定義に関する [Backend Service] 設定で、ホスト サーバとしてエコー サーバ定義を選択します。新しいオブジェクトの場合、エコー サーバはサービス インターフェイスで利用可能なサーバのリストで利用できます。


 

サーバ定義の削除

コンソールの操作メニューで [Destination HTTP Servers] または [Messaging Servers] リンクをクリックしてサーバ定義を削除できます。サーバのリストで、サーバのエントリの隣にある [remove] リンクをクリックしてサーバを削除します。操作を確認します(要求された場合)。

サーバを使用するサービス定義が存在しない場合にだけサーバを削除できます。これらの場合にサーバを作成するには、サーバに依存するオブジェクトを削除するか、オブジェクトを別のサーバに変更します。