Cisco ACE Web Application Firewall ユーザ ガイド
ポートおよびホスト名に関する作業
ポートおよびホスト名に関する作業
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

ポートおよびホスト名に関する作業

HTTP ポートについて

ポートを開く

仮想ホスト名でのリスニング

静的コンテンツ応答の設定

ポートおよびホスト名に関する作業

ここでは、ACE Web Application Firewall でクライアント HTTP または HTTPS 要求をリッスンするポートを開く方法について説明します。内容は次のとおりです。

「HTTP ポートについて」

「ポートを開く」

「仮想ホスト名でのリスニング」

「静的コンテンツ応答の設定」

HTTP ポートについて

クライアントは、そのユーザ インターフェイスで指定されているポート番号で要求を送ることで、ACE Web Application Firewall によりプロキシ処理されるアプリケーションにアクセスします。HTTP リスニング ポートを ACE Web Application Firewall で開き、ポート オブジェクトを使用して、その設定を管理できます。ポート オブジェクトは、新しい仮想 Web アプリケーションを定義するときに作成されます。ただし、これらは手動で作成したり、既存の定義を変更したりできます。

ACE Web Application Firewall ポリシーには、HTTP ポート 80 の組み込みリスニング ポートが含まれています。追加のリスニング ポートを開くには、HTTP ポート ポリシー オブジェクトを使用します。追加のポートは、たとえば、SSL 保護接続(通常ポート 443)に対して開く必要があります。リスニング ポートを追加したら、これを仮想 Web アプリケーションに適用して、サービスの要求をポートで処理します。


) 組み込みのデフォルト HTTP ポート(80)は、特定の内部システム プロセスで使用されるので削除できません。ただし、[Open HTTP(S) Ports] ページから、名前、ポート番号またはその他の値を変更して、組み込みオブジェクトを編集することができます。


ポート オブジェクトの設定では、ACE Web Application Firewall で使用する名前ベースまたは IP ベースの仮想ホストを設定できます。ポートは、特定のホスト名または IP アドレスを宛先とするトラフィックをリッスンするように設定できます。

また、ポートは、静的応答メッセージを使用して特定の URL での要求に応答するように設定できます。この機能は、通常、アップストリーム ロード バランサまたはその他のネットワーク ホストにより ACE Web Application Firewall のヘルス モニタリングを有効にするときに使用されます。


) ACE XML Gateway では、チャンク要求は、Reactor だけで処理できます。つまり、Flex Path は、チャンク要求(チャンク転送符号化を示す要求)をサポートしません。チャンク要求を受信すると、ACE XML Gateway は、411 エラー応答コードで応答します。バックエンド サーバからのチャンク応答はサポートされていますが、Flex Path により処理されるメッセージの場合、Gateway は、チャンク応答をアセンブルしてからクライアントに配信します。Reactor により処理されるチャンク応答は、チャンクのまま渡されます。


ポートを開く

ACE Web Application Firewall でリスニング ポートを開くには、次の手順を実行します。


ステップ 1 Web コンソールに Administrator ユーザまたは Routing ロールを持つ Privileged ユーザとしてログインして、アクティブ サブポリシーを、ポートを使用するサブポリシーに設定します。

ステップ 2 操作メニューで [HTTP Ports & Hostnames] リンクをクリックします。

ステップ 3 [Open HTTP(S) Ports] ページで [Add a New Port] ボタンをクリックします。

ステップ 4 [Edit Port] ページで、[Name] フィールドに新しいポート定義のわかりやすい名前を入力します。この名前は、ACE Web Application Firewall Manager のコンソールでポートを識別します。これは、ポリシーのポート オブジェクトで一意でなければなりません。

ステップ 5 リスニング ポート番号を [Port Number] フィールドに入力します。


) システムが正しく稼動するように、ACE Web Application Firewall および Manager により管理目的で予約されているポート番号は使用しないでください。これらのポート番号は、8200 ~ 8299、および 514 です。システムで使用されるポートの完全なリストについては、『Cisco ACE Web Application Firewall Administration Guide』 を参照してください。


ステップ 6 ACE Web Application Firewall でトランスポート レイヤ セキュリティをポートのトラフィックに適用するには、[SSL] チェックボックスを選択します。

[Public/Private Keypairs] メニューおよび [Upload] ボタンが有効になります。

ステップ 7 [SSL] が有効の場合、[Public/Private Keypair] メニューから項目を選択して、この接続の暗号化に使用する公開鍵/秘密鍵ペアを指定します。

正しい鍵ペアがメニューに表示されていない場合、[Upload] ボタンを使用してポリシーにアップロードする必要があります。SSL の詳細については、「SSL/TLS によるトラフィックの保護」を参照してください。

ステップ 8 任意に、[SSL Cipher Suite] メニューから、このポートのクライアントとの SSL 接続のネゴシエーションで許可する暗号を指定します。安全な接続のネゴシエーション中、ACE Web Application Firewall およびクライアントは、接続に使用する暗号スイートに同意できなければなりません。ここで指定する暗号化がクライアントでサポートされていない場合、接続は許可されません。

デフォルトでは、接続は、[System Management] > [I/O Settings] ページで設定されているように、ACE Web Application Firewall の HTTP サーバ プロセスのグローバル SSL 暗号スイート設定を使用します。このオプションを使用すると、このポートをさらに詳しく設定できます。

[SSL Cipher Suite] メニューから [custom] を選択して暗号スイートを指定します。次に、表示されるフィールドで、許可される暗号スイートを OpenSSL Cipher 文字列形式で入力します( http://www.openssl.org/docs/apps/ciphers.html を参照してください)。


) 暗号スイート文字列の入力は慎重に行ってください。ACE Web Application Firewall Manager の Web コンソール インターフェイスでは、入力した値が検証されません。間違った値を入力したり、意味のない値を入力したりした場合、ACE Web Application Firewall はサーバとの SSL 接続を開くことができません。


ステップ 9 ポートは、このポートのすべてのトラフィック、またはこのポートの特定のホストや IP アドレスを宛先とするトラフィックだけをリッスンできます。この設定により、ACE Web Application Firewall で仮想ホスト(vhost)をホスト名または IP アドレスのいずれかで設定できます。

次のオプションを使用して、このポートが監視する要求を [Listen For] メニューから指定します。

[All traffic on this port]:ポートは、このポートの Firewall を宛先とするすべてのトラフィックをリッスンします。

[Requests to a hostname]:ポートは、このポートの Firewall およびこのホスト名を宛先とするすべてのトラフィックをリッスンします。リテラルnoホスト名または POSIX 1003.2 正規表現を [Hostname] フィールドに入力して、1 つ以上のホスト名を指定します。正規表現を使用するには、[Allow regular expression matching in the hostname] チェックボックスをクリックします。

[Requests to specific IP addresses]:ポートは、この IP アドレスを宛先とするすべてのトラフィックをリッスンします。1 つ以上の IP アドレスを [IP Addresses] フィールドに入力します。段落改行を使用して複数の IP アドレスを分割して、各アドレスを 1 行ずつに入力できます。

入力する IP アドレスは、各 Firewall アプライアンスのネットワーク インターフェイスでも設定しなければなりません。詳細については、『 Cisco ACE Web Application Firewall Administration Guide 』を参照してください。

ステップ 10 このポートで特定の URL の静的応答メッセージを使用するには、[Static Content] メニューから [serve the following static page on this port] オプションを選択します。

詳細については、「静的コンテンツ応答の設定」を参照してください。

ステップ 11 [Save Changes] をクリックします。


 

ポートが仮想サービス設定ページの [HTTP Port] メニューに表示されるようになります。

仮想ホスト名でのリスニング

ACE Web Application Firewall は、IP ベースおよび名前ベースの仮想ホスティングをサポートします。このサポートにより、Firewall は、複数のアドレス可能ホストの逆プロキシとして機能できます。ACE Web Application Firewall の仮想ホスト名設定は、ポリシーのポート オブジェクト設定に表示されます。

ポートの仮想ホスト名は、指定されたホスト名を宛先とするサービス要求に ACE Web Application Firewall を送ります。ポリシーの複数のポートで、ホスト名または IP アドレスが異なる、単一のポート各番号をリッスンするように設定できます。

ACE Web Application Firewall で仮想ホスト名を設定するには、次の手順に従います。


ステップ 1 ACE Web Application Firewall がホストの要求をリッスンするポート オブジェクトを作成または変更します。ポート オブジェクトの作成に関する詳細については、「ポートを開く」を参照してください。

ステップ 2 [Listen For] メニューで、[requests to a hostname](名前ベースの仮想ホスティングの場合)、または [requests to specific IP addresses](IP ベースの仮想ホスティングの場合 )を選択します。

ステップ 3 IP アドレスの要求をリッスンするポートを設定した場合、テキスト フィールドに IP アドレスを指定します。入力する IP アドレスは、ACE Web Application Firewall アプライアンスのネットワーク インターフェイスでも設定する必要があります。詳細については、『 Cisco ACE Web Application Firewall Administration Guide 』を参照してください。

ステップ 4 ホスト名の要求をリッスンするポートを設定した場合、テキスト フィールドにホスト名を入力します。ホスト名に正規表現照合を使用するには、[Allow regular expression matching in the hostname] チェックボックスを選択して、次のように、正規表現としてホスト名を入力します。

^example$ | example:80 | example.cisco.com |

この場合、ポートは、ホストが example(単語全体)、example.cisco.com または example:80 のようにアドレス指定される要求を許可します。正規表現照合が有効になっている場合、単に「example」というホストの値は、意図するかどうかに関係なく、「example」がサブストリングとして表示される任意の要求 URL と一致します。

ステップ 5 終了したら、[Save Changes] をクリックして、ポリシーを導入して ACE Web Application Firewall への変更を有効にします。


 

静的コンテンツ応答の設定

ACE Web Application Firewall は、ポートの特定の URL に静的応答メッセージを使用するように設定できます。その他のネットワーク要素(ロード バランサなど)は、このメカニズムを使用して、ACE Web Application Firewall に対してヘルス チェックを実行できます。静的応答は、HTML ページ、SOAP 応答、テキストだけの応答などの形式で設定できます。

次に、静的応答ページに関するいくつかの注意事項を示します。

ポートの仮想ホスト設定(つまり、[Listen For] オプションの特定の設定)は、静的ページ応答には影響を与えません。つまり、たとえばポート 8080 を設定して、ホスト名「mygateway」の要求だけをリッスンする場合、静的コンテンツ ページは、要求されたホスト名に関係なく、ポート 8080 で設定された URL パスへの要求に利用されます。

ロード バランサは、ロード バランシングされるデバイスのヘルス チェックのために HEAD 方式要求を送信します。ポートの応答ページは、自動的に HEAD 方式要求および GET 要求に応答します。

ポートで圧縮を有効にする場合、圧縮は静的応答には適用されません。

静的応答を設定するには、次の手順を実行します。


ステップ 1 ポート オブジェクトを作成または編集します(「ポートを開く」を参照)。

ステップ 2 [Static Content] メニューから、オプション [serve the following static page on this port] を選択します。

ステップ 3 [Path] で、応答の宛先となる URL パスを指定します。

ステップ 4 応答タイプを [Content-Type] メニューから選択します。

HTML

XML

SOAP

Text

カスタム応答

応答コンテンツ タイプの場合、適切な本文コンテンツを入力する必要があります。たとえば、HTML の場合、適切なマークアップ タグを応答に含めます。

ステップ 5 [Body] フィールドで、応答メッセージの本文を入力します。

適切な場合には、本文に選択したコンテンツ タイプに適切なマークアップ タグを含める必要があります。たとえば、SOAP メッセージの場合、本文には、次の図に示すように、XML 要素およびエンベロープ マークアップを含める必要があります。

図 8-1 静的コンテンツ メッセージの設定

 

ステップ 6 [Save Changes] をクリックして、作業ポリシーの変更を確定します。


 

ポリシーが導入されると、ページは、次のような、ACE Web Application Firewall アドレスで使用できます。

http://xmlgate.example.com:80/gateway/status