Cisco ACE Web Application Firewall ユーザ ガイド
Cisco ACE Web Application Firewall の 概要
Cisco ACE Web Application Firewall の概要
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Cisco ACE Web Application Firewall の概要

Web アプリケーションの保護

配置環境

ACE Web Application Firewall Manager について

Cisco ACE Web Application Firewall の概要

この章では、Cisco ACE Web Application Firewall の概要を説明します。内容は次のとおりです。

「Web アプリケーションの保護」

「配置環境」

「ACE Web Application Firewall Manager について」

Web アプリケーションの保護

Cisco ACE Web Application Firewall は、Cisco Application Control Engine(ACE)ファミリ製品のメンバーであり、Web アプリケーションのセキュリティを確保するのに役立ちます。Cisco ACE Web Application Firewall は、セキュリティの脅威や誤用から重要なバックエンド リソースを保護する逆プロキシです。このファイアウォールがアプリケーションとユーザ間にトラフィックの検査と処理を行うレイヤとなって、セキュリティ ポリシーを定義し、ネットワーク上に維持することが可能になります。

従来のファイアウォールはエンベロープ レベルのメッセージに対して動作する一方、Cisco ACE Web Application Firewall ではメッセージ本体を調べることができます。ポリシー内のルールに基づいて、有害なコンテンツを持つメッセージを識別、遮断、またはリライトすることが可能です。ACE Web Application Firewall には、システムに対する一般的なタイプの多数の攻撃や脅威を防止するための組み込みルールが用意されています。この組み込み機能は、Payment Card Industry(PCI)Data Security Standard によって指定された要件を含む、バックエンド Web アプリケーションのセキュリティを保つための幅広い要件を満たす手助けとなります。

Cisco ACE Web Application Firewall は、そのポリシーで指示されるとおりに、Web アプリケーションのトラフィックを保護します。ポリシーの中で、Web アプリケーション トラフィックを保護するための 2 つの主要コンポーネントはシグニチャとルールです。シグニチャは、Cisco ACE Web Application Firewall の対象となるコンテンツを識別するコンテンツ パターンです。シグニチャは、ルールによってメッセージ トラフィックに適用され、シグニチャ照合の対象となるメッセージの部分を他のプロパティとともに示します。

Cisco ACE Web Application Firewall には、Web アプリケーションとそのユーザを保護するために使用できる組み込みルールおよびシグニチャのライブラリが含まれています。組み込みルールは、クロスサイト スクリプティング攻撃、Structured Query Language(SQL)および Lightweight Directory Access Protocol(LDAP)インジェクション攻撃、およびコマンド インジェクション攻撃など、システムに対する一般的なタイプの多数の攻撃および脅威を防止するためのものです。コンテンツ スクリーニング ルールは、重要なクレジット カード情報がバックエンド アプリケーションによって不適当に出力されることを防ぎます。

配置環境

配置された Cisco ACE Web Application Firewall は、保護するクライアントとバックエンド アプリケーションの間のネットワークに存在します。ハイ アベイラビリティを確保するため、複数のアプリケーションをロード バランサの背後に置く必要があります。

トラフィックを処理するなかで、ACE Web Application Firewall はクライアントからの要求を受信し、それらの要求にポリシーを適用し、資格のある要求を宛先サーバに渡します。完全な逆プロキシとして、ACE Web Application Firewall はバックエンド システムにはクライアントとして認識され、クライアントにはサーバとして認識されます。バックエンド サーバは、ACE Web Application Firewall を介して応答を送信します。ACE Web Application Firewall では、応答に機密情報が含まれていないことを確認できます。

Cisco ACE Web Application Firewall の利用により、容易に監査できる方法で、セキュリティ ポリシーを継続的にアプリケーションに適用することができます。クライアントやバックエンド アプリケーションを変更する必要はありません。対象のコンテンツが検出されたときは、メッセージを遮断するか、コンテンツを変更するか、または単にイベントを記録することができます。一般的には、メッセージ処理の設定で指定されているとおりにメッセージを変更します。ルールによって適用されたシグニチャにメッセージ コンテンツが一致した場合、メッセージを遮断するか、変更するか、イベント ログ付きで通過させることができます。

ACE Web Application Firewall Manager について

システムに対するポリシーの開発および管理用のインターフェイスが、ACE Web Application Firewall Manager Web コンソールです。Web コンソールは、ブラウザベースの ACE Web Application Firewall ポリシー開発環境です。Web コンソールには、ネットワークにシステムを配置し、トラフィック処理を設定するタスクを非常に容易にするツールと機能が含まれています。