Cisco ACE XML Gateway ユーザ ガイド
仮想 Web アプリケーションに関する作業
仮想 Web アプリケーションに関する作業
発行日;2012/02/01 | 英語版ドキュメント(2009/11/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

仮想 Web アプリケーションに関する作業

仮想 Web アプリケーションの作成

Basic Virtual URL を使用した仮想 Web アプリケーションの作成

[Custom Virtual URL With Filters] を使用した仮想 Web アプリケーションの作成

監視モードの使用

修飾子の作成

修飾子の直接作成

インシデントベースの修飾子の作成

仮想 Web アプリケーションに関する作業

この章では、Web アプリケーションのセキュリティの設定方法について説明します。内容は次のとおりです。

仮想 Web アプリケーションの作成

監視モードの使用

修飾子の作成

仮想 Web アプリケーションの作成

仮想 Web アプリケーションは、特定のトラフィック クラスにルール セットやセキュリティを適用します。一般に、保護する実際のバックエンド Web アプリケーションそれぞれについて、1 つの仮想 Web アプリケーションをポリシーに追加する必要があります。ただし、仮想 Web アプリケーションと実際のバックエンド アプリケーション間で完全に一致するかどうかは、アプリケーションの性質によって異なることがあります。

仮想 Web アプリケーションを作成する際、そのアプリケーションが適用するメッセージを選択するユーザ インターフェイスを定義します。メッセージの曖昧な合致を防ぐため、Manager はユーザが同一トラフィック フィルタリング基準を備えた 2 つの仮想 Web アプリケーションを設定するのを防止します。ただし、プレフィクス照合、正規表現、または他の重複するフィルタリング条件を使用することで、1 つのメッセージで合致する複数の仮想 Web アプリケーションを導入することは可能です。メッセージが複数の仮想 Web アプリケーションと適合している場合、より特異性を持つユーザ インターフェイスを備えたアプリケーションが優先されます。ユーザ インターフェイス側から見ると、より特異性を持つというのは、たとえば、より長いパスを持つ仮想 URL またはより大きい番号を持つパラメータなどを意味します。

新しい仮想 Web アプリケーションを作成する際、2 つの基本モードがあります。

[Basic Virtual URL] オプションを使用する場合:Manager は、ユーザが入力した URL に基づいて仮想 Web アプリケーションのユーザ インターフェイスに関するさまざまな設定を自動的に生成します。

[Custom Virtual URL with Filters] オプションを使用する場合:仮想 Web アプリケーションに対して生成されるユーザ インターフェイス(パラメータまたは HTTP ヘッダー値に基づいてトラフィックを選択する機能など)を詳細に調整できます。

仮想 Web アプリケーションのクライアント インターフェイスは、仮想 URL と要求フィルタの設定で構成されています。このアプリケーションに高度なトラフィック選択基準(要求パラメータ フィルタリングなど)が必要でない場合は、[Basic Virtual URL] メニュー オプションを使用してインターフェイスを設定できます。

[Custom Virtual URL with Filters] オプションで提供される設定は、[Basic Virtual URL] オプションを使用して作成された仮想 Web アプリケーションでも使用できます。したがって、ほとんどの場合、[Basic Virtual URL] オプションで仮想 Web アプリケーションを作成して、後で必要に応じて高度なフィルタリング プロパティを修正するとわかりやすいでしょう。

仮想 Web アプリケーションへのメッセージは、Reactor 処理エンジンによって処理されます。仮想 Web アプリケーションを設定する際、アプリケーションと互換性があるのはポリシー内の Reactor 対応のポートおよびサーバ定義だけであることに注意してください。Flex Path だけを使用するよう設定されたポートまたはサーバ定義は、これらのアトリビュートを仮想 Web アプリケーションに割り当てる際にユーザ インターフェイスで使用できません。仮想 Web アプリケーションの作成後、そのポートまたはサーバ定義を Flex Path を使用するよう変更した場合、ポリシーのコンパイル エラーが発生します。

Basic Virtual URL を使用した仮想 Web アプリケーションの作成

Basic Virtual URL モードを使用して新しい仮想 Web アプリケーションを作成するには、次の手順を実行します。


ステップ 1 操作メニューで [Virtual Web Applications] リンクをクリックします。

ステップ 2 [New Virtual Web Application] ボタンをクリックして、ポリシーに新しい仮想 Web アプリケーション定義を作成します。仮想 Web アプリケーションには、ACE XML Gatewayでトラフィックを処理および検証する特定のバックエンド アプリケーションの設定が含まれています。

ステップ 3 次の表に示した情報を使用して仮想 Web アプリケーションを設定します。

表 25-1 仮想 Web アプリケーションの設定

 

ラベル
説明

[Name]

ポリシー内での仮想 Web アプリケーションの識別に使用する説明的な名前。この名前はポリシー内の仮想 Web アプリケーションに対して一意であることが必要です。この名前は仮想 Web アプリケーションに関連するイベントのログの説明に出現するので、イベント ログのユーザにわかりやすいものであることが必要です。

[Web App Group]

作成される Web アプリケーションが属するグループ メニューに表示されている既存グループから選択することも、または [new Web App Group] を選択してグループ名を入力してアプリケーション向けに新しいグループを作成することもできます。

一般に、グループは、管理と監視が必要な仮想 Web アプリケーションすべてを保持することが必要です。グループに対して実行可能な管理操作には、オペレーティング モードの設定と仮想 Web アプリケーションの無効化があります。Web App Firewall Incidents レポートではグループごとの情報が表示されるので、グループは監視のための参照ポイントでもあります。

[Basic Virtual URL]

このオプションを使用して、次に示すような仮想 Web アプリケーションが処理する着信要求内の要求 URL の識別用の部分を指定します。

sikhttp://example.com/oakinsurance/

これは、ユーザが Gatewayへの要求を処理するアドレスです。これを使用して、要求 URL に対する プレフィクス照合 を実行します。この URL または任意のサブパスに対する要求が、この仮想 Web アプリケーション(http://example.com/oakinsurance/customer など)と照合されます。要求された URL のそれ以降の部分は発信要求に反映されます。

URL のホスト部分は、ホスト名または IP アドレスを指定できます。ポリシーが導入される ACE XML Gatewayのネットワーク インターフェイスでもこれが設定されている場合は、IP アドレスしか指定できません。そうでない場合は、Gatewayでの Reactor プロセスは、ポリシーの導入後に開始できません。

入力した仮想 URL の値は、次に示すとおり仮想 Web アプリケーションのいくつかのプロパティを配置するのに使用されます。

値のホスト部分は、ホストとポートの組み合わせに対してポート/ホスト名オブジェクトが存在しない場合、新しいポート/ホスト名オブジェクトの作成に使用されます。

デフォルトでは、サーバ定義は要求ホストに基づいて作成され、新しい仮想 Web アプリケーション オブジェクトの宛先サーバとして設定されます。

パスのホスト名以外の部分は、仮想 Web アプリケーション オブジェクトの Path 値として使用されます。Web アプリケーションが Cisco ACE XML ゲートウェイによってクライアントに公開される URL は、パスとポートのホスト名で構成されます。

仮想 Web アプリケーション エディタによって作成されるポート/ホスト名オブジェクトは、仮想ホスト名で正規表現照合を行えるよう後で設定できますが、仮想 Web アプリケーションの作成時に、正規表現を [Virtual URL] フィールドに直接入力はできません。このフィールドに入力できるのは、文字、数字、ドット、およびハイフンだけです。

[Matching Mode]([Custom Virtual URL with Filters] 設定)

入力したパスに基づいて、ACE XML Gatewayが要求の照合に値をどのように使用するかを選択します。また、このオプションのチェックボックスを選択することにより、大文字と小文字が区別されない方式で値を照合するかどうかも選択します。

詳細については、[Path] フィールドに関する前述の説明を参照してください。

[Destination Server]

この仮想 Web アプリケーションのバックエンドの宛先として機能する HTTP サーバ。Cisco ACE XML ゲートウェイはこの仮想 Web アプリケーションによって認定されたトラフィックを宛先ホストへ送信します。このメニューに表示されるサーバは、[Destination HTTP Servers] ページで設定されています。

[same as virtual URL] に設定されている場合、宛先サーバは [Virtual URL] フィールドで指定されているホストに自動的に設定されます。[Custom Virtual URL with Filters] オプションを選択している状態では、宛先サーバは [Port/Hostname] フィールドにマッピングします。


) 仮想 Web アプリケーションを割り当てることができるのは、Reactor 処理だけを使用する宛先サーバです。Flex Path 処理を使用する宛先サーバとは互換性がありません。仮想 Web アプリケーションの設定ページでは、Flex Path 処理を使用する宛先サーバは宛先サーバの選択メニューに表示されません。仮想 Web アプリケーションが宛先サーバに割り当てられていて、後で Flex Path 処理を使用するよう修正された場合、仮想 Web アプリケーションは正常に動作せず、ポリシーのコンパイル時にエラーとなります。また、HTTP ポートにも同様のことが言えます。


[Timeout]

各要求に対する宛先サーバからの応答を ACE XML Gatewayが待機する時間。

[Firewall Profile]

この Web アプリケーションに適用するトラフィック処理および検証プロファイル。プロファイルは、ルールとアクティブ セキュリティ設定で構成される指定された項目の集合です。設定には、指定されたルールが有効かどうかと、その設定パラメータが含まれます。

使用するプロファイルが存在しない場合は、プロファイルを組み込みプロファイルのいずれかに設定して、後で変更できます。

[Monitor Mode]

選択されている場合、仮想 Web アプリケーションの初期動作モードが監視モードに設定されます。監視モードでは、適用されたプロファイルでメッセージ インスペクション ルールをトリガーするメッセージはブロックされません。その代わりに、メッセージはイベントをログに記録した状態で通過されます。

仮想 Web アプリケーションを初めて導入およびテストする際は、監視モードに設定しておくと便利なケースが多くあります。監視モードにより、現在実稼動中のトラフィックに影響を与えることなく、false positive(つまり、攻撃署名に合致する正規のトラフィック)がないかチェックできます。仮想 Web アプリケーションにより false positive が生成された場合、ブロッキング イベントをトリガーしたルールから合致したトラフィックを除外する修飾子を、イベントに関するログの説明を基にすばやく作成できます。

メッセージ リライト ルールは、監視モードで仮想 Web アプリケーションが処理するトラフィックに適用されることに注意してください。

また有効モードでは、メッセージはルールに違反した最初のインスタンスで拒否されるため、プロファイルの他のルールに照らし合わせての評価は行われません。イベント ログまたはインシデント レポートに表示されるのは、メッセージのブロックの原因となったルールだけで、違反の可能性があるその他のルールは処理を続行します。一方、監視モードでは、メッセージが違反したすべてのルールが報告されます。

ステップ 4 完了したら [Save Changes] をクリックし、新しい仮想 Web アプリケーションを作業ポリシーにコミットします。


 

[Custom Virtual URL With Filters] を使用した仮想 Web アプリケーションの作成

[Custom Virtual URL With Filters] モードを使用して新しい仮想 Web アプリケーションを作成するには、「Basic Virtual URL を使用した仮想 Web アプリケーションの作成」の手順を実行します。ただし、[Basic Virtual URL] オプションの代わりに [Custom Virtual URL With Filters] を選択して、このオプションに固有の設定を行います。

表 25-2 仮想 URL フィルタ設定

 

ラベル
説明

[Port/Hostname]([Custom Virtual URL with Filters] 設定)

仮想 Web アプリケーションが、この Web アプリケーションのトラフィックをリッスンするポート オブジェクト。ポートでは、リスニング ポート番号と仮想ホスト名を定義します。また、Cisco ACE XML ゲートウェイでのヘルス チェックに使用できる固定応答ページの設定も提供されます。ポートがメニューに含まれていない場合は、[HTTP Ports & Hostnames] ページで作成します。

[Destination Server] オプションが [same as virtual URL] に設定されている場合、ポート/ホスト名の値は仮想 Web アプリケーションの宛先サービスとして自動的に反映されます。既存の宛先サーバ設定を維持したままポートとホスト名の値を変更するには、[same as virtual URL] オプションの [Destination Server] を特定のサーバ定義に変更します。


) 仮想 Web アプリケーションを割り当てることができるのは、Reactor 処理だけを使用するポートです。Flex Path 処理を使用するポートとは互換性がありません。仮想 Web アプリケーションの設定ページでは、Flex Path 処理を使用するポートはポート セクション メニューに表示されません。仮想 Web アプリケーションがポートに割り当てられていて、後で Flex Path 処理を使用するよう修正された場合、仮想 Web アプリケーションは正常に動作せず、ポリシーのコンパイル時にエラーとなります。また、HTTP サーバにも同様のことが言えます。


Path([Custom Virtual URL with Filters] 設定)

この仮想 Web アプリケーションを照合させる着信要求によって処理されるパス。パスの [Matching Mode] 設定による指定に従って、パスは次のようになります。

照合対象メッセージ内の正確な要求パス(oakinsurance/customer など)

これは、要求パスとして文字列全体を指定する、余分な文字を持たない要求だけに合致します。

要求パスのプレフィクス(oakinsurance/ など)。

このパスは、oakinsurance/ で始まる任意の要求アドレス(oakinsurance/customer/getquote または oakinsurance/partners など)と照合します。

このようなパスには、正規表現コンポーネント(oakinsurance/.*/getquote など)が含まれます。

この場合、正規表現のコマンド シーケンス(.*)を使用して文字の照合が行われるため、oakinsurance/customer/getquote および oakinsurance/partners/getquote の両方が合致します。

このフィールドでは、正規表現のコマンド文字をエスケープするのにバックスラッシュ文字を使用できます。

Cisco ACE XML ゲートウェイの Web Application Security 機能での正規表現の実装は、Perl-Compatible Regular Expressions(PCRE)に基づいています。

[Matching Mode]([Custom Virtual URL with Filters] 設定)

入力したパスに基づいて、ACE XML Gatewayが要求の照合に値をどのように使用するかを選択します。また、このオプションのチェックボックスを選択することにより、大文字と小文字が区別されない方式で値を照合するかどうかも選択します。詳細については、[Path] フィールドに関する前述の説明を参照してください。

[Methods]([Custom Virtual URL with Filters] 設定)

この仮想 Web アプリケーションと照合する要求の HTTP 要求方式。方式名は、要求の要求行内の最初のトークンとして表示されます(例:GET /images/logo.gif HTTP/1.1 内の GET など)。オプションは次のとおりです。

[ignore]:HTTP 要求方式は考慮されません。

[basic HTTP methods](GET/POST/HEAD):表示されている方式だけに合致し、他の方式(DELETE または TRACE など)を使用した要求は除外されます。

[any standard HTTP 1.x method]:要求は、標準 HTTP 1.0 または 1.1 方式(GET、POST、HEAD、PUT、DELETE、OPTIONS、または TRACE など)のいずれかであることが必要です。

[specified HTTP 1.x methods]:標準 HTTP 1.0 または 1.1 方式のいずれか選択した方式。

[custom]:指定した任意の方式名。複数の方式名を入力する場合は、1 行に 1 つずつ指定します。方式名は、要求の 1 行目に指定されている方式名と完全に合致していることが必要です。入力した方式名は、自動的に大文字に変換されます。これらは大文字と小文字を区別する方法でメッセージと照合されます。

[HTTP Headers]([Custom Virtual URL with Filters] 設定)

要求内の 1 つまたは複数の HTTP ヘッダーがあるかどうか、またはその値に基づいて仮想 Web アプリケーションと要求を照合する場合は、このオプションを設定します。指定された HTTP ヘッダーまたは値がない要求は、仮想 Web アプリケーションによって処理されません。HTTP ヘッダーの値は大文字と小文字を区別する方法で照合されますが、HTTP ヘッダー名は、大文字と小文字を区別しない方法で照合されます。

[Parameters]([Custom Virtual URL with Filters] 設定)

1 つまたは複数の要求パラメータがあるかどうか、またはその値に基づいて仮想 Web アプリケーションと要求を照合する場合は、このオプションを設定します。要件に合致しないパラメータを持つ要求は、仮想 Web アプリケーションによって処理されません。パラメータ名と値は大文字と小文字を区別する方法でメッセージと照合されます。

パラメータは要求内の URL 引数または POST 要求の本文内のパラメータを指定できます。URL 引数は、要求 URL 内にアンパサンド(&)で区切った名前と値のペアとして表示されます。次の、"zip" および "session" パラメータを参照してください。

oakinsurance/partners/getquote?zip=94114&session=01234

パラメータの要件は、Perl 形式の正規表現を使用するか、またはパラメータを名前で識別することにより設定できます。次の演算子を使用して要求パラメータ要件を指定します。

exists:メッセージに名前付きパラメータが含まれていることが必要です。

matches regex:名前付きパラメータの値が指定した正規表現に合致することが必要です。

is:名前付きパラメータの値が指定した文字(大文字と小文字の区別あり)に合致することが必要です。

is not:名前付きパラメータの値が指定した文字(大文字と小文字の区別あり)に合致しないことが必要です。

合致する、または合致しない("is not")要件を指定する場合、パラメータが要求内に存在する必要はありません。つまり、それ以外の方法でフィルタに合致する要求に、合致する、または合致しない値を指定したパラメータが含まれない場合でも、この要求は受け入れられます。

監視モードの使用

仮想 Web アプリケーションの処理モードは次のいずれかに設定できます。

有効:ACE XML Gatewayは、メッセージ インスペクション ルールに違反しているメッセージをブロックし、コンテンツ リライト ルールとアクティブ セキュリティ機能を適用します。

監視モード:選択した場合、ACE XML Gatewayはメッセージ インスペクション ルールに合致したトラフィック、またはアクティブ セキュリティ機能に違反しているをブロックしません。その代わり、イベントをログに記録します。このモードは、トラフィック フローに影響を与えることなく、設定をテストしたり、悪意のある可能性のあるトラフィックが広まっていないかを監視する際に便利です。仮想 Web アプリケーションが監視モードであっても、メッセージ リライト ルール、HTTP 処理、例外マッピング、およびクッキー セキュリティはトラフィックに適用されます。

無効:ACE XML Gatewayが仮想 Web アプリケーション向けに定義されているユーザ インターフェイスでトラフィックを受信しないようにします。無効化された仮想 Web アプリケーションが照合することになるメッセージを照合する、特異性の低い仮想 Web アプリケーションのユーザ インターフェイスが存在していない場合、トラフィックはブロックされます。

監視モードは、ポリシーのテストや作成に特に有用です。有効モードでは、メッセージはルールに違反した最初のインスタンスで拒否されるため、プロファイルの他のルールに照らし合わせての評価は行われません。イベント ログまたはインシデント レポートに表示されるのは、メッセージのブロックの原因となったルールだけで、違反の可能性があるその他のルールは処理を続行します。一方、監視モードでは、メッセージがルールに違反していることが判明した場合、プロファイル内の他のルールによってメッセージの処理が続行されます。これにより、最初にトリガーされたブロッキング ルールだけでなく、メッセージが違反しているすべてのルールをログで確認できます。

ポリシーでの動作状態は次のとおり複数のコンテキストで設定できます。

プロファイルでのルール向け

個々の仮想 Web アプリケーション向け

グループ向け

ポリシー内のすべての仮想 Web アプリケーション向け

また、新規作成された仮想 Web アプリケーションに対するデフォルト モードも指定できます。仮想 Web アプリケーションのネットワーク トラフィックとの対話がネットワーク トラフィックに影響を与えないうちに、通常は対話をパッシブ モードで監視することを推奨します。

ある仮想 Web アプリケーションの場合、監視モードは、ポリシー全体で設定されていても、グループごとまたは仮想 Web アプリケーションだけに設定されていても、同様に動作します。

動作モードをポリシー全体に設定するには、次の手順を実行します。


ステップ 1 操作メニューで [Virtual Web Applications] リンクをクリックします。

ステップ 2 [Virtual Web Applications] の [Set all virtual web apps to] メニューで、目的の動作モード(有効、監視モード、または無効)を選択します。


 

動作モードをグループごとに設定するには、次の手順を実行します。


ステップ 1 操作メニューで [Virtual Web Applications] リンクをクリックします。

ステップ 2 設定する仮想 Web アプリケーション グループの名前をクリックします。グループ名が緑の影が付いた見出しに表示されます。

ステップ 3 グループのページので [Set all virtual web apps to] メニューで、目的の動作モード(有効、監視モード、または無効)を選択します。


 

動作モードを個々の仮想 Web アプリケーションごとに設定するには、次の手順を実行します。


ステップ 1 操作メニューで [Virtual Web Applications] リンクをクリックします。

ステップ 2 設定する仮想 Web アプリケーションの名前をクリックします。グループ名が緑の影が付いた見出しに表示されます。

ステップ 3 概要ヘッダーの右側にある [edit] リンクから 、ページ下部の [Monitor Mode] チェックボックスをクリックします。


 

モードの変更は 1 回限りのイベントとして適用されます。つまり、このコントロールを使用して監視モードを設定した後、グループまたは仮想 Web アプリケーションの動作モードを個別に変更できます。

修飾子の作成

仮想 Web アプリケーションには 1 つまたは複数の修飾子を含めることができます。仮想 Web アプリケーションと同様に、修飾子はルールとセキュリティ処理を選択されたトラフィックに適用します。ただし、修飾子が選択するトラフィックは、仮想 Web アプリケーションによって処理されたトラフィックに限られます。修飾子は、仮想 Web アプリケーションによって処理されるトラフィックのサブセットにトラフィック処理設定を適用します。

修飾子の設定は、元は仮想 Web アプリケーションから取得したものですが、それ以外の点では仮想 Web アプリケーションから独立したものです。つまり、修飾子により選択されたメッセージは、その処理設定の影響だけを受けます(仮想 Web アプリケーションの設定と同様、修飾子の影響も受けません)。

修飾子は直接作成することも、イベント ログから作成することもできます。仮想 Web アプリケーションのルールに関連するイベントの場合、イベント ログの説明には [Create Exemption] リンクが含まれ、これによりポリシーをすばやく修正して false positive を回避できます。このリンクによって、イベントに基づくプリセット設定を備えた仮想アプリケーションの新しい修飾子ページが作成されます。


) 処理または検証を個別に行う仮想 Web アプリケーションで、異なるトラフィック サブクラスがある場合だけ、修飾子を使用する必要があります。多くの場合、false positive を生成する要求の品質は、修飾子によって選択されたトラフィック サブクラスではなく、Web アプリケーションの他の部分への要求内に存在する可能性があります。この場合、修飾子を追加するよりも、プロファイル レベルの変更によって false positive に対処する方がより適切です。


修飾子を作成する際、仮想 Web アプリケーションから取得した必要なフィルタ基準とともに、トラフィック フィルタがあらかじめ配置されています。必須の設定を変更しようとすると、インターフェイスにエラー メッセージが表示されます。仮想 Web アプリケーションのフィルタ基準を変更して、既存の修飾子と互換性がなくなった場合、コンパイル時エラーが発生します。

修飾子の直接作成

修飾子を(イベント ログのインシデントを使用しないで)直接作成するには、次の手順を実行します。


ステップ 1 操作メニューで [Virtual Web Applications] リンクをクリックします。

ステップ 2 修飾子を作成する仮想 Web アプリケーションの名前をクリックします。

ステップ 3 [add modifier] リンクをクリックします。

ステップ 4 [Request Filter for Firewall Modifier] ページで、この修飾子が適用するトラフィック選択基準を指定します。設定は、仮想 Web アプリケーションのトラフィック選択基準とともにあらかじめ配置されています。

修飾子は、要求フィルタ基準に基づいて仮想 Web アプリケーションが処理するトラフィック フローからトラフィックを選択することに注意してください。したがって、修飾子選択基準は、より特異性を持つことが必要ですが、仮想 Web アプリケーションの選択基準と互換性があることも必要です。URL パスで選択する修飾子の場合、修飾子のパスは仮想 Web アプリケーションのパスを拡張する必要があります。

次の表に示すフィルタ設定を行います。

表 25-3 フィルタ設定

 

ラベル
説明

[Path]

この修飾子を適用するメッセージを選択する要求パス。修飾子は仮想 Web アプリケーションが処理するトラフィック ストリームからメッセージを選択します。したがって、パスは仮想 Web アプリケーションのパスを拡張する必要があります。たとえば、仮想 Web アプリケーションのパスが "/oakinsurance" の場合、修飾子のパスは "/oakinsurance/customer" または "/oakinsurance/partners/quotes/" となります。

[Methods]

仮想 Web アプリケーションが受け入れる HTTP メソッドから、この修飾子が受け入れるサブセットを選択します。仮想 Web アプリケーションが受け入れる方式は要求フィルタに配置されています。

[HTTP Headers]

着信要求の HTTP ヘッダー値に基づいて、トラフィック選択基準を指定します。

[Parameters]

着信要求のパラメータに基づいて、トラフィック選択基準を指定します。

ステップ 5 [Save Changes] をクリックします。

ステップ 6 [Edit Firewall Modifier] ページに、親の仮想 Web アプリケーションが適用するプロファイルが表示されます。ルールを無効にするリンクをクリックすることで、この修飾子によるトラフィックの処理向けに、設定を必要に応じて修正します。修飾子が適用する特殊なセキュリティ処理、メッセージ チェック ツール、メッセージ リライト ツールを設定できます。

ステップ 7 完了したら、[Exit to Virtual Web App Group] リンクをクリックします。

インシデントベースの修飾子の作成

ACE XML Managerでは、Gatewayで実際のトラフィックによって生成されたインシデントに基づいて、ポリシーをすばやく調整できます。この機能により、通常は(セキュリティの脅威として誤って分類される正規メッセージに対する)false positive の結果である、インシデントを生成したトラフィックを受け入れるようすばやくポリシーを設定できます。


) インシデントベースの修飾子は、デフォルトでは非常に特異性の高いトラフィック選択基準を生成します。修飾子は、個別に処理または検証される仮想 Web アプリケーションで異なるトラフィック サブクラスを持つためだけに、作成する必要があります。多くの場合、false positive を生成する要求の品質は、修飾子によって選択されたトラフィック サブクラスではなく、Web アプリケーションの他の部分への要求内に存在する可能性があります。この場合、修飾子を追加するよりも、プロファイル レベルの変更によって false positive に対処する方がより適切です。


インシデントベースの修飾子を作成するには、次の手順を実行します。


ステップ 1 操作メニューで [Event Log] リンクをクリックします。

ステップ 2 修飾子を作成するイベントのログの説明を探します。ページ上部にあるログ表示フィルタリング基準の調整が必要な場合があります。

Web アプリケーションのセキュリティ イベントに関連するイベント説明には、[Create Exemption] リンクが含まれます。

ステップ 3 この項目に対する [Create Exemption] リンクをクリックします。ページが表示されるので、イベントに基づく修飾子を作成できます。

ステップ 4 必要に応じてデフォルト設定を調整し、設定を保存します。修飾子の設定の詳細については、「修飾子の直接作成」を参照してください。