...

Barracuda Web Application Firewall 日本語セットアップガイド

by user

on
Category: Documents
977

views

Report

Comments

Transcript

Barracuda Web Application Firewall 日本語セットアップガイド
Barracuda Web Application Firewall Setup Guide
Barracuda Web Application Firewall
日本語セットアップガイド
バラクーダネットワークスジャパン株式会社
Barracuda Web Application Firewall Setup Guide
改版履歴
日付
改版
変更箇所
2009 年 7 月 7 日
第1版
2009 年 9 月 3 日
第2版
Firmware7.3.0.015 対応
2010 年 4 月 15 日
第3版
Firmware7.3.2.027 対応
2010 年 8 月 5 日
第4版
Firmware7.4.0.022 対応
FAQ 更新
管理ページ追加
2010 年 10 月 13 日
第5版
Firmware7.4.2.005 対応
構成上の注意、HA 情報更新
2010 年 11 月 2 日
第6版
構成上の注意更新
IIS の SSL 証明書について更新
2011 年 12 月 1 日
第7版
Firmware7.6.0.x対応
2012 年 1 月 16 日
第 7.1 版
本体内保持ログ行数変更
2012 年2月 16 日
第 7.2 版
付録 1.アクションポリシーの説明と設定資料 追加
2013 年 3 月 22 日
第 7.7 版
改版と Firmware を合わせる。
Firmware7.7 対応版
構成上の注意更新
HA 機能部分更新
ファームウェア更新
付録1.7.7 用に改変
2013 年 5 月 13 日
第 7.7.1 版
HA 同期されない項目 追加
2013 年 8 月 20 日
第 7.8 版
Firmware7.8.0.010 対応
以下の機能は別紙機能マニュアルとしてリリース
Syslog 出力
HA 構成
1
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
1.
はじめに ............................................................................................................................. 7
1.1.
同梱物の確認 .................................................................................................................... 7
1.2.
最新情報の入手 ................................................................................................................. 7
2.
構成上の注意(必ずご参照ください) ........................................................................................ 8
3.
導入構成の決定 ..................................................................................................................... 9
3.1.
ブリッジモード ................................................................................................................. 9
3.2.
リバースプロキシモード .................................................................................................... 10
3.3.
ワンアームプロキシモード ................................................................................................. 11
3.5.
管理端末セグメントの注意 ................................................................................................. 12
4.
機器の初期設定 ................................................................................................................... 13
4.1.
IP アドレスの設定 ........................................................................................................... 13
4.1.1.
Administrative Console への接続 ............................................................................. 13
[ファームウェアバージョン 7.4 以前の場合] .................................................................................... 13
IP アドレスの設定 ................................................................................................................... 14
Ping による確認 ..................................................................................................................... 14
[ファームウェアバージョン 7.4 以降の場合] .................................................................................... 15
IP アドレスの設定 ................................................................................................................... 15
Ping による確認 ..................................................................................................................... 15
5.
GUI からの IP 設定 ............................................................................................................. 16
2
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
5.1.
製品登録(アクティベーション)<必須(評価機の場合は不要です)> ........................................ 16
5.2.
基本 IP の設定<必須> ...................................................................................................... 18
5.3.
詳細 IP の設定 ................................................................................................................ 20
6.
管理設定 ........................................................................................................................... 21
6.1.
シャットダウン、リブート ................................................................................................. 21
6.2.
基本管理設定<必須> ........................................................................................................ 21
6.3.
管理ユーザの追加と権限設定 .............................................................................................. 23
6.4.
セキュア管理 .................................................................................................................. 24
6.5.
ログの外部書き出し.......................................................................................................... 25
6.6.
その他の設定<必須> ........................................................................................................ 26
6.6.1.
クッキー暗号化設定 ................................................................................................... 26
6.6.2.
NTP サーバ設定 ....................................................................................................... 27
7.
証明書のインストール .......................................................................................................... 28
7.1.
7.1.1.
Apache + OpenSSL の場合 ...................................................................................... 28
7.1.2.
IIS の場合 .............................................................................................................. 29
7.1.3.
CSR を生成する場合(新規申請) ................................................................................ 30
7.2.
8.
証明書の用意 .................................................................................................................. 28
証明書のインストール ....................................................................................................... 31
サービスの追加<必須> ........................................................................................................ 32
3
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8.1.
ブリッジモードの場合 ....................................................................................................... 32
8.2.
プロキシモードの場合 ....................................................................................................... 33
8.2.1.
負荷分散機能の設定 ................................................................................................... 34
8.3.
基本設定<HTTP> ........................................................................................................... 35
8.4.
基本設定<HTTPS SSL の設定、オフロード設定> .................................................................. 36
9.
セキュリティの定義
-セキュリティポリシーと Web サイト- ....................................................... 37
10.
ポリシーの設定 ................................................................................................................... 38
10.1.
新しいポリシーの作成 ................................................................................................... 38
10.2.
各ポリシーの詳細設定 ................................................................................................... 38
10.3.
ポリシーのサービスへの適用 ........................................................................................... 41
11.
データ盗難プロテクションの有効 ............................................................................................ 42
12.
細分化して制御するか、おおまか管理するか… .......................................................................... 43
13.
おおまか管理をする ............................................................................................................. 43
14.
Web サイトプロファイルの設定(詳細管理) ............................................................................ 44
14.1.
Web サイトプロファイルの設定 ...................................................................................... 45
14.2.
URL プロファイルの作成 ............................................................................................... 46
14.3.
パラメータプロファイルの作成 ........................................................................................ 47
14.4.
Web サイトプロファイルの上手な使い方 ........................................................................... 48
同一のパラメータが複数にまたがって点在している場合 ................................................................... 48
4
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
特定 IP から、特定 URL へのアクセスは特定の攻撃を検知しないようにする。 ...................................... 48
14.5.
15.
Web サイトプロファイルの有効化 ................................................................................... 49
ポリシーウィザードによるチューニング(誤検知解除) ............................................................... 50
15.1.
Web Firewall Logs の見方 ........................................................................................... 50
15.2.
ウィザードによるチューニング ........................................................................................ 51
16.
信頼するホストの設定 .......................................................................................................... 52
16.1.
信頼するホストの追加 ................................................................................................... 52
16.2.
サービスへの追加 ......................................................................................................... 53
17.
拡張マッチの設定方法 .......................................................................................................... 54
18.
その他情報 ........................................................................................................................ 55
18.1.
製品利用に当たって必要なネットワーク情報 ...................................................................... 55
18.2.
最新ファームウェアへのアップデート ............................................................................... 56
最新ファームウェアの通知 ......................................................................................................... 56
最新ファームウェアの適用 ......................................................................................................... 56
冗長構成時のファームウェアの適用手順(7.6 以前) ......................................................................... 57
冗長構成時のファームウェアの適用手順(7.6
>
7.7) ................................................................... 58
18.3.
設定情報のバックアップ ................................................................................................ 59
18.4.
設定情報のリストア ...................................................................................................... 59
18.5.
バラクーダセントラルへの接続(リモートサポート機能/SSH) ............................................. 61
5
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
19.
エネルギー充填サービス(シグネチャ更新)について .................................................................. 62
20.
管理について ...................................................................................................................... 63
20.1.
ステータス画面 ............................................................................................................ 63
20.2.
サービス画面 ............................................................................................................... 64
20.3.
Log の参照 ................................................................................................................. 64
20.4.
レポート機能 ............................................................................................................... 65
21.
工場出荷時状態に戻す .......................................................................................................... 66
FAQ ........................................................................................................................................... 67
付録 1.アクションポリシーの説明と設定資料 ..................................................................................... 70
6
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
1. はじめに
この度は、Barracuda Web Application Firewall Appliance をご選択いただき誠にありがとうございます。
Barracuda Web Application Firewall Appliance(以下 BWF)は Web アプリケーションのセキュリティ向上に加え、サイト運用に必要な様々
な機能をご提供しております。本書では、シグネチャによる防御を基本としたアプライアンスの導入に関しての設定方法をご紹介いたします。対
象のファームウェアバージョンは 7.7.0.X となります。
なお、チューニング等のご質問(お客様環境に依存するコンサルティング)は、承っておりませんのでお客様のご責任でご使用ください。
1.1. 同梱物の確認
以下の部材が同梱されております。もし不足等がございましたら、購入代理店、または弊社担当営業までご連絡いただければ幸いです。また、検
証機の場合、送付に使用致しました箱、クッション材、静電気防止ビニール等は捨てずに、返却の際まで保管いただきますようお願い申し上げま
す。
同梱物
アプライアンス本体
電源ケーブル
UTP ケーブル(LAN ケーブル)
ラックマウントキット(Model660、860、960 のみ)
1.2. 最新情報の入手
製品のマニュアルは紙媒体ではご用意しておりません。最新の情報(英語)は以下のサイトより入手可能です。
http://techlib.barracuda.com
7
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
2. 構成上の注意(必ずご参照ください)
<<注意>>

ネットワークファイヤーウォールの内側に WAF を設置されることを強く推奨します。

管理GUIにアクセスする際の推奨ブラウザは、Firefoxとなります。その他のブラウザでご覧になった場合、デザイン崩れや、Met character
が正常に入力できない可能性があります。

機器背面にあるマネジメントポートのネットワークセグメントはWAN、LANそれぞれのサービスポートと異なるネットワークにしてくださ
い。BWFに保持しているルーティングテーブル情報の整合性が合わず、正常にサービスが提供できない可能性があります。

ファームウェア7.6以前のWAFにおいて、リモートサポート機能に関する脆弱性が指摘されております。セキュリ定義2.0.7を適用頂くか、
ファームウェア7.7以上にバージョンアップされることを強く推奨します。

「19 章 エネルギー充填サービス(シグネチャ更新)について」 を必ずご一読ください。
<<評価の際の注意点>>
評価の際、実環境に入れて検証される場合、以下の設定をご確認ください。

WAF の各サービスのモードは“パッシブ(Passive)”としてください。パッシブとは、検知はしますが、ブロックしないモードとなります。
(基本設定>サービス>VIP の編集ボタン>モード

パッシブ)
クッキーセキュリティーは“なし(None)”としてください。
(セキュリティポリシー>Cookie セキュリティ>[対象のポリシー選択]>改ざん防御モード
なし)
クッキーの設定をしていない場合、アプリケーションの仕様により誤動作を起こす、Cookie が消えるなどの問題を引き起こす可能性があ
ります。

クローキングのエラーコードの設定は“いいえ(No)”としてください。
(セキュリティポリシー>クローキング>[対象のポリシー選択]>リターンコードの抑制 いいえ)
Web サーバが出すエラーページが表示されず、WAF の内部エラーページが表示されてしまいます。
8
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
3. 導入構成の決定
BWF のネットワークへの導入構成はブリッジモード、リバースプロキシモード、ワンアームプロキシモードの 3 タイプございます。この章では、
それぞれのメリットデメリットをご紹介いたします。
3.1. ブリッジモード
長所:
•
バックエンド、フロントエンドのネットワーク変更の必要なし
•
インストールが容易
•
フェールオープン-障害時バイパス-可能 (フェールクローズも可能)
短所:
•
導入実績が少ない
•
パフォーマンスへの影響(全トラフィックが通過するため)
•
サーバロードバランス機能なし
•
TCP プーリング機能なし
•
スパニングツリー動作環境ではループなどの影響を受ける可能性あり
•
Vx 版ではブリッジモードは使用できません
•
ブリッジで HA 構成は推奨いたしません
9
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
3.2. リバースプロキシモード
長所:
•
導入実績が非常に多い
•
ロードバランス、インスタント SSL 機能を含む全機能が動作
•
バックエンドサーバが隔離されているので、最もセキュアな構成
•
高速な HA フェールオーバ構成を取ることが可能
短所:
•
サーバ IP の変更や DNS マッピングの変更など、ネットワークの変更が必要となる場合がある。
•
メンテナンス等で実サーバにアクセスする際も WAF を介した通信となる。
10
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
3.3. ワンアームプロキシモード
長所:
•
導入実績が多い
•
リバースプロキシに比較して、容易な導入構成、ネットワークインフラの変更の必要なし
•
実サーバの場所は、同一ネットワーク以外でも対応可能
•
メンテナンスなど、WAF を介さず実サーバに直接アクセス可能。
短所:
•
DNS/IP の設定変更が必要
•
1 ポート(WAN)しか使用しないため、スループットに若干影響(860 以上)
ロードバランサーをすでにお持ちの場合、WAF
をワンアーム構成で配置することにより、万一
WAF に障害があった場合、ロードバランサー
側で通信経路を切り替えるといったことが可
能です。これにより、シングル構成で導入され
ても安心です。
11
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
3.4. 構成選択のアドバイス
この 3 タイプの構成のうち、採用事例が多いのはワンアームプロキシ > リバースプロキシ > ブリッジとなります。
新規にサイトを構築される場合であれば、もっともセキュアですべての機能が使えるリバースプロキシモードを推奨いたします。
Web サーバが複数のセグメントにまたがる様な場合は、ワンアームプロキシが便利です。
どうしても IP アドレスが変えられない場合、ブリッジ構成としてください。
3.5. 管理端末セグメントの注意
機器背面にあるマネジメントポートのネットワークセグメントは WAN、LAN それぞれのサービスポートと異なるネットワークにしてください。
BWF に保持しているルーティングテーブル情報の整合性が合わず、正常にサービスが提供できない可能性があります。
12
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
4. 機器の初期設定
この章では、機器の初期設定についてご説明いたします。
初期設定に際し、システムコンソールへ接続するため、キーボード(PS2 タイプ)とディスプレイ(DE-15/D-Sub15)を あらかじめご用意ください。
4.1. IP アドレスの設定
4.1.1. Administrative Console への接続
アプライアンスを設置後、キーボードとディスプレイを接続し、BWF を起動します。このとき、UTP ケーブルは、まだ接続しないでください。
キーボード
管理ポート
ディスプレイ
起動が完了しますとコンソールへアクセスするための ID、パスワードが求められます。初期値は以下の通りです。
Login ID:admin
パスワード:admin
[ファームウェアバージョン 7.4 以前の場合]
正常にログインが完了しますと、以下の画面が表示されます。
このコンソールでは初期のIPアドレスの設定の他、バラクーダセントラルへの接続
(後述)のほか、Ping などのネットワーク確認(後述)を行うことが可能です。
メニューボタン、およびフィールド間の移動は[TAB]キーを利用します。
決定は、[Enter]を利用します。
13
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
IP アドレスの設定
[TAB]キーを利用し、カーソルを「Change」に移動させ、[Enter]を押します。
設定されるポートは筐体前面の「WAN ポート」です。
IP アドレス、ネットマスク、デフォルトゲートウェー、および、DNS の設定を行いま
す。
セカンダリ DNS がない場合は空白にします。
フィールド間の移動は[TAB]キーを利用
設定が完了しましたら「SAVE」を押し、設定を保存します。
なお、設定が反映されるまで、時間がかかる場合がありますが、異常ではありません。
設定が終わりましたら、WAN ポートに UTP ケーブルを接続し、ネットワークに接続し
ます。
Ping による確認
コンソールのメニューから[TEST]にすすみ、Ping コマンドによる、ネットワーク通信確認を行います。
実在する IP を入力し[Ping]を実行します。
Ping は同一セグメント、別セグメント両方行うことをおすすめします。
正常に動作しない場合、IP アドレスの設定を再度見直してください。
「Exit」を選択し、コンソールを終了させます。これで IP アドレスの初期設定は終了です。初期設定に際し使用したキーボード、ディスプレイな
どを BWF から外してください。
14
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
[ファームウェアバージョン 7.4 以降の場合]
正常にログインが完了しますと、以下の画面が表示されます。
このコンソールでは初期のIPアドレスの設定の他、
バラクーダセントラルへの
接続(後述)のほか、Ping などのネットワーク確認(後述)を行うことが可能
です。
メニューボタン、およびフィールド間の移動は[矢印]キーを利用します。
決定は、[Enter]を利用します。
IP アドレスの設定
[矢印]キーを利用し、カーソルを「TCP/IP Configuration」に移動させ、[Enter]を押します。
設定されるポートは筐体前面の「WAN ポート」です。
IP アドレス、ネットマスク、デフォルトゲートウェー、および、DNS の設定
を行います。
セカンダリ DNS がない場合は空白にします。
フィールド間の移動は[矢印]キーを利用
設定が完了しましたら「Save」を押し、設定を保存します。
なお、設定が反映されるまで、時間がかかる場合がありますが、異常ではあり
ません。設定が終わりましたら、WAN ポートに UTP ケーブルを接続し、ネットワークに接続します。
*本画面でマネジメント IP を設定された場合、Managemnt Gateway を設定する必要があります*
Ping による確認
コンソールのメニューから[Troubleshooting]にすすみ、Ping コマンドによる、ネットワーク通信確認を行います。
実在する IP を入力し[Ping]を実行します。
Ping は同一セグメント、別セグメント両方行うことをおすすめします。
正常に動作しない場合、IP アドレスの設定を再度見直してください。
「Exit」を選択し、コンソールを終了させます。これで IP アドレスの初期設定
は終了です。初期設定に際し使用したキーボード、ディスプレイなどを BWF
から外してください。
CLI のパスワードは変更されることを推奨します。CLI と WebGUI のパスワードは異なります。
15
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
5. GUI からの IP 設定
この章では、ネットワーク、管理に関する設定を行います。
GUI へのアクセス方法および初期 ID、パスワードは以下の通りです。
ID:admin
パスワード:admin
URL:http://IP アドレス or FQDN:8000/ もしくは https://IP アドレス or FQDN/
5.1. 製品登録(アクティベーション)<必須(評価機の場合は不要です)>
製品の登録方法をご説明します。
GUI からシステムにログインします。
エネルギー充填サービス(Energize Update)が無効または未登録(Not Activated)の状態となっていることを確認し、製品登録するにはここを
クリック(Click here to activate)リンクをクリックします。有効期限が表示されていたり、デモユニット(Demonstration Unit)と表示されて
いる場合には、製品登録済みの状態です。
新しいウィンドウがポップアップします。必要情報を入力し、[Activate]ボタンを押してください。
16
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
製品登録が正常に終了したことを確認します。「バラクーダ製品の登録は完了しました。」と表示されない場合には、製品登録ができていない恐れ
があります。再度、登録を行ってください。どうしても正常に終了しない場合には、購入代理店までお問い合わせください。
エネルギー充填サービス(Energize Update)ステータスを確認し、製品登録が行われていることを確認します。
17
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
5.2. 基本 IP の設定<必須>
基本設定>IP 設定 を選択します。
WAN IP 設定: 前章で既に設定されているため設定は不要です。
変更が必要な場合はこちらで変更してください。
LAN IP 設定:
リバースプロキシモードの場合、設定します。
ブリッジ、ワンアームプロキシでは不要です。
マネジメント IP 設定: 筐体背面の管理ポートを利用する場合設
定します。「2. 構成上の注意」も併せてご参照ください。
各ポートの管理アクセスを許可: 当該ポート IP アドレスでの管
理 GUI へのアクセス可否の設定。
Note:
運用段階では WAN は No にし、他のポートを Yes にすること
を推奨します。但し、他のポート経由でアクセスできることを
確認してから、No にすることを強く推奨します
動作モード:プロキシモードかブリッジモードかを選択します。3.導入構成の決定を合わせてご覧ください。
<<リザーブプロキシ、ワンアームプロキシの場合>>
<<ブリッジモードの場合>>
バイパス設定:ブッリッジモードでの機器障害時の挙動の設定です。プロキシ構成の場合、いずれも No にしてください。
フェール時にバイパス:障害時、すべての通信を通過させる場合は「はい」
、すべて止める場合は「いいえ」。
「はい」の場合、障害時
BWF のセキュリティチェックが機能しないためセキュリティレベルは下がりますが、サービスレベルは向上します。
ハードバイパス:「はい」の場合、即座に完全な L2 として動作します。通常は「いいえ」です。
18
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
ドメイン設定:BWF の FQDN 設定を行います。DNS に WAF が登録されていなくても問題ありませんが、ホスト名、ドメイン名を必ず設定して
ください。レポートメールの送信元ドメインとしても利用されます。また、HA 構成の際、認識名として利用されます。HA 構成を利用される場合、
両機でホスト名が、重複しないようにしてください。
Web プロキシサーバ設定:インターネットアクセスの際、プロキシサーバの経由を必要とする場合使用します。インターネットアクセスはエネル
ギー充填サービス使用時に必要となります。
ローカルホストマップ:一般的な hosts 機能となります。
設定変更が終了したら、最後に「Save Changes」をクリックし、設定を反映させます。項目ごとにボタンがありますが、いずれのボタンを押した
場合でも、すべての設定の反映が可能です。
設定が完了すると、上記のように反映された旨のメッセージが表示されます。設定失敗した場合、赤い帯でエラーメッセージが表示されます。
また、IP の設定にはモジュールリロード等が発生するため、お時間がかかる場合があります。
WAN ポートの IP を変更した場合 Web ページをリロードしない場合があります。この場合、手動でリロードしてください。
19
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
5.3. 詳細 IP の設定
ここでは IP 設定のより細かい項目を設定可能です。
高度な設定>高度なネットワーク設定 を選択します。
ネットワークグループ
BarracudaWAF、7.7 ではネットワークグループや vsite 毎に設定を変更可能です。デフォルトでは、システム、マネジメント、vsite の default
が用意されています。
システム:WAN ポート及び LAN ポートのネットワークを設定する場合に使用
マネジメント:マネジメントポートのネットワークを設定する場合に使用
Vsites:Vsites 毎にネットワーク構成が異なる設定をする必要がある場合に使用
スタティックルート:スタティックルートの設
定が可能です。
インターフェースルート:指定した IP/ネットワ
ークの通信を指定したポートから行うことが可
能です。
20
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
6. 管理設定
この章では、BWF の管理に関する設定を設定することが可能です。
6.1. シャットダウン、リブート
基本設定>管理 を選択します。
ページ最後部 システムリロード/シャットダウン を表示します。
シャットダウン:シャットダウン処理を行います。
リスタート:リブート処理を行います。
リロード: 各内部プロセスだけをリスタートします。
統計とログを削除:統計(ログイン直後のグラフ、レポート)、ログ(全て)を削除します。
6.2. 基本管理設定<必須>
基本>管理 を選択します。
パスワード変更: 管理ユーザ「admin」のパスワードを変更す
ることが可能です。この変更は「admin」ユーザでなければ変
更できません。
時刻: タイムゾーンと現在時刻の設定を行います。NTP サーバ
の指定については[高度な設定>システム設定]の設定画面で変更
可能です。
タイムゾーン、時間の変更後は、
リブート処理を実行してください
Barracuda のデフォルト言語:WAF 内部のキャラセット設定を
行います。ここでは、English を選択してください。
(日本語を選
択した場、SNMP でも日本語が適用されツール側で不具合が生じ
る可能性があります)
21
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
管理者 IP/範囲:管理 GUI にアクセスすることが出来るネットワークを限定することが可能です。
端末固定の場合:例 192.168.0.25/255.255.255.255
ネットワークレンジの場合:
例 192.168.0.0/255.255.255.255
Warning:
間違って設定すると GUI にアクセスできなくなってしまいます。これを回避する為、以下のと手順を推奨します。
1.
現在アクセスを行っている端末を登録
2.
本来アクセス許可をする情報を入力し、そのネットワークからアクセスできることを確認
3.
1.の設定を消す
許可された API IP/範囲:、WAF に対して外部アプリケーションに対してリクエストを出すことによって、API を通じて WAF を操作可能です。通
常は使用しません。ただし、API パスワードを設定しないと有効になりません。
Web インターフェース HTTP ポート:管理 GUI にアクセスする際のポート番号を変更することが可能です。
セッション終了期限:管理 GUI のセッションタイムアウト時間を設定可能です。単位は分です。
SNMP マネージャ トラップ受信者:SNMP プロトコルで機器監視を行う場合、設定します。
メール通知:アラート、お知らせ等のメール送信先アドレス情報、SMTP サーバ情報を設定します。
Note:
デフォルトでは、送信元のメールアドレスは、[email protected] となります
22
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
6.3. 管理ユーザの追加と権限設定
高度な設定>管理者アクセスコントロールを選択します。
①
管理者ロールにおいて、追加する管理ユーザの動作範囲を指定することが可能です。
[Add Administrator Role]をクリックすると、下図のポップアップが開きます。
ロール名:
設定する役割ルールの名前を指定します。
サービス:
各サービスに対する 閲覧/変更 権限を指定します。
(サービスを追加していない場合表示されません)
セキュリティポリシー:
各ポリシーに対する閲覧/変更権限を指定します。
認証サービス: この設定など管理権限に対する閲覧/変更権限を指定します。
GUI の各ページへのアクセス権限を設定します。
チェックは入っていると許可になります。
23
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
②
管理者アカウントにおいて管理者のアカウントを追加します。
[ローカル管理者の追加] をクリックすると、下図のポップアップが開きます。
必要事項を記入します。
ロール: は①で作成したポリシーを選択します。
Note:
追加された管理ユーザのパスワード変更は、この画面で変更することが出来ます。
管理ユーザ「admin」ユーザのパスワードは、BASIC>Administration で設定可能です。
6.4. セキュア管理
管理 GUI への SSL アクセスに関する設定をすることが可能です。
管理者>セキュア管理 を選択します。
[Web インターフェース HTTPS/SSL 設定]
HTTPS/SSL アクセスのみに限定:管理 GUI へのアクセスを SSL に限定する場合、Yes を選択します。
Web インターフェース HTTPS/SSL ポート:SSL アクセスポ
ートを設定します。
証明書タイプ:使用する証明書タイプを選択します。
Note:
プライベート証明書の場合:CSR 作成後、証明書タイプを「プライベート」にします。
証明書発行機関の証明書の場合:CSR 作成後、CSR、秘密鍵(PrivateKey)のダウンロードを行い、CSR を用いて当該機関に発行申請を行
います。発行され次第、[信頼できる証明書]にて、証明書、秘密鍵をアップロードし、証明書タイプを「信頼できる証明書」にします。
24
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
6.5. ログの外部書き出し
BWF のログを Syslog、FTP に書き出すことが可能です。本章では Syslog について説明します。
Syslog の facility を指
高度な設定>ログ出力に移動します。
定可能です
Syslog サーバを指定します。
従来の UDP のほか、TCP や暗号化も選択可能です。
Syslog の出力フォーマットを変更する事が可能です。お持ちのログツールに合致するよう変更する事も可能です。
各ログのフォーマット演算子はヘルプボタンでもご覧になれます。
25
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
6.6. その他の設定<必須>
6.6.1. クッキー暗号化設定
BWF は Web アプリケーションから払い出されるクッキーを暗号化する機能があります。その機能で使用する暗号キーの有効期限を指定します。
デフォルトでは期限が切れているため、変更を行う必要があります。キーが切れますと管理者宛にアラートメールが出ます。
(cookie セキュリティ
を使用しない場合も設定してください。
)
高度な設定>システム設定を選択します。
Cookie 暗号化鍵: 暗号キーを入力します。
Cookie 暗号化の有効期限:キーが切れる期限を設定します。
Note:
cookie セキュリティを使用する場合、期限を大幅に延ばしてしまうとセキュリティレベルが下がってしまいます。
セキュリティレベルを上げるには、定期的に有効期限を変更することをお勧めします。
cookie セキュリティを使用しない場合、期限を大幅に延ばしても問題ありません。最長 2037 年まで設定可能。
26
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
6.6.2. NTP サーバ設定
引き続き 高度な設定>システム設定 を行います。
デフォルトでは、NTP サーバとして米国の弊社提供 NTP サーバを参照します。
時間を正確に保つため、なるべく近いネットワークの NTP サーバをご指定ください。
NTP サーバへの確認は、10 分に 1 回の割合で行われます。
27
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
7. 証明書のインストール
SSL による通信を監視、防御を行う場合、Web サーバの SSL 証明書をインストールする必要があります。
本章では、その方法についてご説明いたします。なお、証明書は複数インストール可能です。防御対象のサーバすべての証明書を登録してくださ
い。
7.1. 証明書の用意
7.1.1. Apache + OpenSSL の場合
証明書類は次のものが必要です。
秘密鍵、CA 証明書、中間証明書、ルート証明書(発行元によっては必要ない場合があります)
Note:
作業の前に、各ファイルは CP コマンド等でバックアップされることをお勧めします。
証明書等のディレクトリ
ssl.conf (一般的には/etc/httpd/conf.d/ssl.conf)のファイルに記述されているディレクトリパスに保存されています 。
SSLCertificateFile: CA 証明書
SSLCertificateKeyFile: 秘密鍵
SSLCertificateChainFile: 中間証明書
なお、ルート証明書につきましては、証明書発行元の Web サイト等から入手してください。
Note:
秘密鍵はパスワード(パスフレーズ)を解除する必要があります。
パスワードがかかっているかどうか確認する場合は、サーバ上で次のコマンドにて確認可能です。
[確認コマンド]
# openssl rsa -text -noout -in [KeyFile]
このコマンドを実行した際、パスワード入力が促されると以下のコマンドで、解除する必要があります。
[解除コマンド]
# cp [KeyFile] [KeyFile].org
(元ファイルのバックアップ)
# openssl rsa -in [KeyFile] -out [Output_KeyFile]
現在のパスワード入力を求められますので、入力します。 再度 Output_KeyFile を確認コマンドでパスワード入力が促されないことを確認
してください。
28
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
7.1.2. IIS の場合
証明書類は次のものが必要です。
PKCS#12 形式の証明書、ルート証明書(発行元によっては必要ない場合があります)
IIS からのエクスポート方法
(IIS のバージョンにより異なります。詳しくは Microsoft のサイト等をご参照ください。
)
インターネットインフォメーションサービス(IIS)マネージャか
ら、証明書をインストールしたサイトの[プロパティー] > [ディ
レクトリ セキュリティ] > [証明書の表示] をクリックします。
証明書画面で、[詳細] > [ファイルにコピー]と遷移しますとウィ
ザードが起動します。
ウィザードでの指定オプションは以下の通りです。

秘密キーをエクスポート

PKCS#12 形式

証明のパスにある証明書を可能であればすべて含む
Warning:
ウィザードで[正しくエクスポートされたときは秘密キー
を削除する] はクリックしないでください。サーバで使用
中の証明書が使用できなくなります。
Warning:
証明書一覧画面からのエクスポートは行わないでくださ
い、中間証明書などが含まれず、正しく SSL 通信が行われ
なくなります。
29
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
7.1.3. CSR を生成する場合(新規申請)
基本設定>証明書 の証明書の作成ボタンを押します。
機器上での識別名
取得する証明書の FQDN
所在地情報
組織、会社名など
発行する証明書に
合わせてください
最後にクリック
CSR をダウンロードしテキストエディタで開き、赤で囲まれた部分を申請します。
30
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
7.2. 証明書のインストール
基本設定>証明書 を選択します。
<<Apache など、テキスト形式の証明書の場合>>
証明書名:
証明書を識別する名前を指定します。
証明書タイプ: PEM 証明書: Apache など、テキスト形式の証明書の場合。
署名付き証明書のアップロード: 発行された証明書を指定します。
秘密キーをアサインする:
CSR を WAF で生成した場合「はい」を選択します。
それ以外の場合インポートする場合「いいえ」を選択します。
Certificate Key: 秘密鍵を指定します。
「秘密キーをアサインする」が「いいえ」の場合のみ表示されます。
中間証明書: 中間証明書 と ルート証明書を指定します。
[+]ボタンでフィールドを増やすことが可能です。
秘密鍵のエクスポートを禁止:
秘密鍵の事後エクスポート可否に関する設定です。
チェックを入れるとエクスポートを許可しません。
必要項目を設定した後、[今すぐアップロード]を押しアップロードを行います。
<<IIS など、PFX ファイル形式の証明書の場合>>
証明書名:
証明書を識別する名前を指定します。
証明書タイプ: PKCS12 トークン
署名付き証明書のアップロード: PFX ファイルを指定します。
Certificate Password:
証明書エクスポート時、指定した PFX ファイルのパスワ
ードを入力します。
秘密鍵のエクスポートを禁止:
密鍵の事後エクスポート可否に関する設定です。
チェックを入れるとエクスポートを許可しません。
必要項目を設定した後、[今すぐアップロード]を押しアップロードを行います。
Warning:
「秘密鍵のエクスポートを禁止」にチェックを入れた場合、コンフィグ情報のバックアップは機能しません。
31
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8. サービスの追加<必須>
防御対象のサーバを追加します。追加は、プロトコル単位で行います。このため、同一サーバ内で HTTP、HTTPS の通信を提供している場合、HTTP、
HTTPS それぞれを追加する必要があります。
8.1. ブリッジモードの場合
基本設定>サービスを選択します。
サービス名: 識別名を指定します。
タイプ: プロトコルを指定します。HTTP、HTTPS などを選択してください。
仮想 IP:
防御対象の実サーバ IP を指定します。(仮想となっていますが、VIP が作成されるわけではありません)
ポート: プロトコルのポート番号を指定します。
証明書: HTTPS サイトの場合、証明書のインストールで設定した証明書を選択します。
すべて指定した後、[追加]を押しサービスを追加します。
Service Groups: 管理上サービスをグループ分けすることが可能です。新しいグループを作りたい場合は「Create Group」を選択し、グループ
名を指定します。
32
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8.2. プロキシモードの場合
基本設定>サービスを選択します。
サービス名: 識別名を指定します。
タイプ: プロトコルを指定します。HTTP、HTTPS などを選択してください。
仮想 IP: 防御対象の実サーバを束ねる VIP を指定します。
ポート: Type で選択したプロトコルのポート番号を指定します。
実サーバ:
証明書:
防御対象のサーバのリアル IP を指定します。
HTTPS サイトの場合、証明書のインストールで設定した証明書を選択します。
Service Groups: 管理上サービスをグループ分けすることが可能です。新しいグループを作りたい場合は「Create Group」を選択し、グループ
名を指定します。
指定後、[追加]を押しサービスを追加します。
33
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8.2.1. 負荷分散機能の設定
プロキシモードでは負荷分散機能が利用可能です。利用する場合、VIP に対し複数のサーバを指定する必要があります。
VIP の [追加] -「サーバ」 (赤丸)
をクリックすると下図のポップアップウィンドウが表示されます。
Server Name: サーバ名を指定します
IP:
追加する実サーバの指定をします。
ポート: そのサービスのポート番号を指定します。
Backup Server: 最終転送サーバとして使用する場合、「はい」に
します。負荷分散の対象とする場合は「いいえ」を選択します。
重み: 重み付けラウンドロビンの際に利用する重みを指定します。
負荷分散についての実際の設定については、VIP の[オプション]の「編集」をクリック(緑丸)しポップアップウィンドウの<負荷分散>セクショ
ンにて挙動を指定します。
ヘルスチェック、ウェイト設定については、各実サーバの[オプション]の「編集」をクリック(黄色)しポップアップウィンドウで設定可能です。
34
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8.3. 基本設定<HTTP>
VIP の{編集}をクリック(緑丸)しポップアップウィンドウにて挙動を指定します。
アクセスログの有効化:
該当サービスで、アクセスログ排
出を行うかどうか選択します。Syslog 設定をされている場
合、Syslog への排出も抑制されます。
セッショウンタイムアウト: クライアント-VIP 間でのセッ
ションタイムアウト時間を秒で指定します。
Web ファイアウォールポリシー:
適用するセキュリティ
ポリシーを指定します。 ポリシーの設定をご参照ください。
Web ファイアウォールログレベル:
ログの書出レベルを
指定します。通常は”Notice”で問題ございません。
モード:
パッシブ:
ログモードで動作します。評価期間中はこのモードで導入されることをお勧めいたします。また購入後、導入一週間程度はこの
モードで導入しチューニングを行うことをお勧めいたします。
アクティブ: 攻撃防御モードで動作します。
信頼するホストアクション/信頼するホストアクション:
指定した IP からの動作を指定します。詳しくは信頼するホスト信頼するホスト信頼する
ホストの設定をご参照ください。
大文字/小文字区別なし: URL や、リクエストラインで、検知の際、大文字、小文字の識別を、WAF が行うかどうかの設定となります。
クライアントの実 IP のヘッダ名:
この項目に指定されたヘッダの IP を WAF がソース IP として認識します。WAF の上位で NAT され、その機
器が HTTP ヘッダにソース IP を埋め込んでいる場合に活用できます。
35
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
8.4. 基本設定<HTTPS SSL の設定、オフロード設定>
VIP の{編集}をクリック(緑丸)しポップアップウィンドウにて挙動を指定します。
基本的には設定の必要はありません。
割り当てたい証明書を変更したい場合などは「証明書」のプルダウンから選択してく
ださい。
実サーバの{編集}をクリック(紫丸)しポップアップウィンドウにて挙動を指定します。
SSL サービスを追加した場合、デフォルトでは、WAF<=>実サーバ間は HTTP 通信となります。
(ブリッジは、全通信 HTTPS です。)
全ての通信を HTTPS/SSL 化するには、以下のように設定します。
実サーバのポートを指定します。
HTTPS/SSL の場合、通常 443 です。
「はい」を選択します
サーバが正しい証明書を使用しているか検証
を行います。
有名ベンダーの証明書をお使いの場合「はい」
を選択してください。
自己証明書/テスト証明書をお使いの場合、ま
た、全ての証明書を受け入れる場合は「いい
え」を選択してください。
36
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
9. セキュリティの定義
-セキュリティポリシーと Web サイト-
セキュリティの定義の方法として、「セキュリティポリシー」
、「Web サイト」が存在します。
「セキュリティポリシー」は、複数のサービス(VIP)で共有可能な定義となります。一方、「Web サイト」は、そのサービス(VIP)専用の定義とな
ります。一部の設定は、重複する場合があります。もし、両方に設定がなされていた場合は、
「Web サイト」の設定項目が優先されます。
注:URL プロテクション・パラメータプロテクションと Web サイトプロファイルは重複項目が多数あり、Web サイトプロファイルが優先されます。
本マニュアルでは極力 Web サイトの項目は使わず、シグネチャとクローキング、データ盗難防止機能を用いた、最もポピュラーな設定方法をご説
明いたします。シグネチャのみの攻撃防御でも多くの攻撃が防御可能になりセキュリティレベルが向上します。
37
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
10. ポリシーの設定
ポリシーは、サービスの攻撃に対する詳細設定となります。サービスを追加時、標準では「default」ポリシーが適用されています。ポリシーはサ
ービス毎に作成することも可能です。また、サービスとポリシーを対に設定することも可能です。
10.1.
新しいポリシーの作成
セキュリティポリシー>ポリシーマネージャを選択します。
[新規ポリシー作成]セクションで新しいポリシー名を入力し「追
加」ボタンをクリックします。
ここで作成したポリシーの設定は次項にて説明します。
10.2.
各ポリシーの詳細設定
default ポリシーおよび前項で設定したポリシーの詳細設定を行うことが可能です。
各設定項目の上部分には[ポリシー名]項目があり、ポリシーマネージャにあるポリシーがプルダウンで表示されます。各項目において[ポリシー名]
で選択したポリシーが設定対象となります。
リクエストリミット: HTTP リクエストヘッダフィールドにおけるサイズ限界を超えたリクエストを投げつけるような攻撃に対しての防御設定で
す。定義された以上の数値のリクエストがあった場合防御を行います。
どの程度のリクエストの長さが適切か、Cookie
の数、名前の長さ、URL の長さなど、サイト設
計に関わる設定です。本書では使用しない設定
にします。[リクエスト制限を有効化]を「いい
え」にします。
38
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
Cookie セキュリティ:
Cookie 改ざん防御を行います。クッキーの秘密性を高め、クッキーの改ざんを防止します。
正確に設定を行わないと、誤検知や、クライ
アント Java スクリプトによる Cookie の消失、
誤検知等が発生する可能性はあります。
本書では使用しない設定にします。[改ざん防
御モード]を「いいえ」にします。
URL プロテクション: URL プロテクション設定は、URL に対する攻撃に関しての設定を行います。
本機能は使用します。[URL プロテクションを有効化]を
「有効」にします。
ブロックする攻撃タイプに関しては、デフォルトでは、
「リ
モートファイルインクルージョン」が OFF になっていま
す。PHP に関する攻撃ですが、もし PHP をコンテンツに
お使いの場合は ON にしてください。
各攻撃に「strict」と入ったものがございます。これはか
なり厳しいシグネチャとなります。On にした場合、誤検
知が発生するかもしれませんが、強度は上がります。
パラメータプロテクション: パラメータプロテクション設定は、パラメータに対する攻撃に関しての設定を行います。
本機能は使用します。[パラメータプロテクションを有
効化]を「有効」にします。
ブロックする攻撃タイプに関しては、デフォルトでは、
「リモートファイルインクルージョン」
、
「ディレクトリ
トラバーサル」が OFF になっています。リモートファ
イルインクルージョンは、PHP に関する攻撃ですが、も
し PHP をコンテンツにお使いの場合は ON にしてくだ
さい。
ディレクトリトラバーサルは、パラメータの中にパス情
報「../../../」などを使用していなければ、ON にしてく
ださい。
各攻撃に「strict」と入ったものがございます。これはかなり厳しいシグネチャとなります。On にした場合、誤検知が発生するかもしれませんが、
強度は上がります。
39
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
クローキング:
Web サイトのバージョンなどを隠蔽し攻撃者に、アタック手法のヒントとなる情報を渡さないようにする機能です。
本機能は使用します。
リターンコードの抑制は、オフにすることを推奨しま
す。Web サーバが出すエラーページが表示されず、
WAF の内部エラーページが表示されてしまいます。
レスポンスヘッダをフィルタは、オンにします。サー
バが出す余分な情報をカットします。
データ盗難プロテクション: カード番号などのパターン化されたデータ通信が外部に流出するのをブロックする機能です。
本機能は使用します。
(クレジットカード情報を扱わない場合、無効
にしても構いません。)
credit-cards カードパターンとマッチした場
ディレクトリ一覧の例
合 XXXX とマスキングを行います。
directory-indexing
ディレクトリのファイ
ル一覧を表示させたくない場合、有効にしてく
ださい。
ssn アメリカの社会保障番号です。日本では関係ありませんので無効にしても構いません。
但し、この設定だけではデータ盗難プロテクションは機能しません。データ盗難プロテクションの有効の項目も併せてご覧ください。
URL 正規化: 文字コードが正常であるか、規格に準拠しているかをチェックします。
デフォルト文字コードを Web サイトが使用している文字
コードに変更します。(必ずご変更ください)
グローバル ACL: Web サイトのコンテンツへのアクセスコントロール設定を行います。特に設定の必要はありません。
40
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
アクションポリシー: 各攻撃への対処方法を設定します。防御の可否や、どのようなアクション、レスポンスをするか設定します。
チェックボックスにチェックを入れ、「一括編集」を押すことで複数の攻撃アクションに同じ設定を反映可能です。
各攻撃アクションに関する設定、説明については巻末の
『付録 1.アクションポリシーの説明と設定』
についてを必ず参照ください
10.3.
ポリシーのサービスへの適用
新規に作成したポリシーのサービスへの適用は基本設定 をご参照ください。
41
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
11. データ盗難プロテクションの有効
データ盗難プロテクションは、セキュリティポリシーの設定だけでは有効になりません。本設定も有効にする必要があります。
Web サイト>高度なセキュリティ に移動します。
高度なセキュリティ セクションの各サービス[編集]をクリックするとします。
データ盗難プロテクションを有効化 を はい にします。
42
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
12. 細分化して制御するか、おおまか管理するか…
ここまで、検知の設定を行いました。しかし、シグネチャは 100%正しい通信を止めないかというと、ごくまれに、誤検知が起こる場合がありま
す。誤検知であった場合、除外設定を行いますが、設定方法で、以下の 2 タイプ御座います。
「Web サイトプロファイルを使わない、おおまか管理」
ポリシー単位で特定シグネチャは除外したい方。
細かい管理はイヤな方。
「Web サイトプロファイルを使う詳細管理」
この URL/パラメータだけ、特定のシグネチャは除外したい方。
管理が多少煩雑でも良い方。
少しでもセキュリティレベルを上げたい方。
いずれかを選択して頂く必要があります。
13. おおまか管理をする
Web サイトプロファイルを OFF にします。
Web サイト>Web サイトプロファイル に移動します。
Web サイトから、設定するサービスをプルダウンから選択し、「編集」ボタンを押します。
プロファイルを使用を 「いいえ」に変更します。
次章、
「Web サイトプロファイルの設定(詳細管理)
」は飛ばしてください。
43
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14. Web サイトプロファイルの設定(詳細管理)
サービス内にあるそれぞれの URL、もしくはフォームパラメータ毎のセキュリティ設定を行う際の準備を行います。Web サイトプロファイルは
URL プロファイルと、パラメータプロファイルから構成されます。
<URL プロファイルとは?>
URL プロファイルは指定した URL に対する「セキュリティポリシー>URL プロテクション」と基本的に同様です。しかし、URL プロファイルは
「URL 毎」に細かく設定することが可能になります。
<パラメータプロファイルとは?>
また、パラメータプロファイルも同様に、
「セキュリティポリシー>パラメータプロテクション」と基本的に同様です。しかし、パラメータプロフ
ァイルは「パラメータ毎」に細かく設定することが可能になります。
また、パラメータプロファイルは、そのパラメータが存在する URL プロファイルに紐付きます。この為、パラメータプロファイルを設定する場合、
まず URL プロファイルを作成する必要があります。この章では URL プロファイルをより効率的に使う方法を含め説明いたします。
Note:
Web サイトプロファイルは、細かく設定することは出来ますが、反面、URL やパラメータの数が多ければ多いほど、設定を大量に
行わないといけません。ご注意ください。
44
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14.1.
Web サイトプロファイルの設定
Web サイト >Web サイトプロファイルに移動します。
Web サイトから、設定するサービス
を選択し、編集 をクリックすると以
下のポップアップが開きます。
プロファイルを使用:Web サイトプロファイルの使用可否
Web サイトプロファイルのみを適用:
いいえ:プロファイルが無い場合、セキュリティポリシーの情報を適用します。
はい:Website プロファイルのみを参照します。
(必然的に全ての URL,パラメータの設
定が必要になります)
モード:
(手動設定したものに限る)
パッシブ:ログモードとなります。
アクティブ: 実際に防御(または除外)します。
許可するドメイン:このサービスで受け付けるドメインを記載します。
(空欄でもかまい
ません)
除外する URL パターン:URL プロファイルの適用を除外する URL(ファイル名*.tiff、
フォルダなど含む/images/*)を記載します。
除外しない URL パターン:URL プロファイルの適用必ずする URL を記載します。
45
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14.2.
URL プロファイルの作成
[サービス]セクションの WEB サイトのプルダウンから設定するサービスを選択します。
[URL プロファイル]セクションの{Add URL}ボタンを押すと下図のポップアップが表示されます。
URL Profile Name:
この URL プロファイルの名称を指定します。
(仮にココでは
Default_Profile と指定)
URL: URL を指定します。
Extended Match: この URL プロファイルの合致条件を指定します。設定方法は
Extended Match の設定をご覧ください。
Extended Match Sequence: 上記条件の適用優先順を指定します。
Hidden Parameter Protection: Hidden Parameter の改ざん対策
CSRF Prevention: クロスサイトリクエストフォージェリーの対策
Hidden Parameter Protection、CSRF Prevention に関しては画面遷移や、セッ
ションの状態等で、誤検知する場合がございます。
Max Content Length: 最大コンテンツ長(空欄で無制限)
Max Parameter Name Length: 最大パラメータ名長(空欄で無制限)
Max Upload Files: 最大ファイルアップロード数(空欄で無制限)
Blocked Attack Types: 該当 URL でブロックする攻撃の指定
Custom Blocked Attack Types: 該当 URL でブロックするカスタム攻撃の指定
入力完了後、{Add}ボタンを押します。
46
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14.3.
パラメータプロファイルの作成
パラメータプロファイルは、URL のパラメータ毎に、パラメータ関連攻撃の設定を行います。13.2.URL プロファイルの作成の画面で引き続き作
業を行います。
[Parameters for: Default_Profile(前項で設定した名称)]セクションの{Add Param}をボタンを押すと下図のポップアップが表示されます。
Parameter Profile Name: こ の パ ラ メ ー タ の 名 称 を 指 定 し ま す 。 こ こ で は
「default_param_profile」とします。
Parameter:
パラメータの名前を指定します。
Type: パラメータの種類を指定します。
Input:基本的には入力のパラメータですが、全てのパラメータ形式に適用できます。
Read Only:hidden parameter
Session Choice:ドロップダウン形式
Global Choice:チェックボックス、ラジオボタン形式
Session Invariant:同一のパラメータに同一のセッションから複数のリクエストが
あるパラメータに適用します。
File Upload:ファイルアップロード形式
Parameter Class:どの様な文字列が入るかなどの設定。
それぞれの class の内容は ADVANCE>View Internal
Patterns[Parameter Class]から閲覧可能。
Max Value Length:パラメータの数値をバイト数で指定します。
(空欄の場合は無制限)
Max Instances:
最大インスタンス数を指定します。(ラジオボタン、チェックボックス時使用)
(空欄の場合は無制限)
File Upload Extensions: (編集の際に出現します)ファイルアップロードの際、許可する拡張子を”*.gif”の形式で記載します。“*”の場合は無
制限となります。
Allowed Metacharacters: 記号など、入力を許可するメタキャラクターを記載します。
入力完了後、{Add}ボタンを押します。
Exception Patterns: (編集の際に出現します)検知を除外するシグネチャパターン名を記載します。
パターンは、ADVANCED> View Internal Patterns の[Attack Types]から閲覧可能です。
47
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14.4.
Web サイトプロファイルの上手な使い方
同一のパラメータが複数にまたがって点在している場合
検索用パラメータなど、複数のページに同一のパラメータが点在している場合、以下の設定により、省力化出来ます。
URL プロファイルで、URL が” /* “のプロファイルを作成
/*のパラメータプロファイルとして該当のパラメータを作成
特定 IP から、特定 URL へのアクセスは特定の攻撃を検知しないようにする。
まず該当の URL プロファイル、パラメータプロファイルともに作成します。
それぞれの Exception Patterns で、除外するシグネチャパターンを記載します。
URL プロファイルの Extended Match にて特定の IP アドレスを指定するコードを編集ボタンから作成します。
48
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
14.5.
Web サイトプロファイルの有効化
Web サイトプロファイルはデフォルトでは Passive モード(ログモード)になっています。正式にサービスインする場合、Active モードに変更する
必要があります。
WEB サイト>WEB サイトプロファイルに移動します。
[Service]セクションの WEB サイトのプルダウンから設定するサービスを選択します。
[URL Profile]セクションの{Edit}ボタンを押すと下図のポップアップが表示されます。
Mode: Passive から Active に変更します。
入力完了後、{Add}ボタンを押します。
49
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
15. ポリシーウィザードによるチューニング(誤検知解除)
15.1.
Web Firewall Logs の見方
基本設定> Web ファイアウォールログ を選択します。
ログの情報は以下の通りです。
時間: 時間情報
クライアント IP: アクセス元の IP 情報
サービス IP:ポート:
攻撃を受けているサービス(VIP)の情報
アクション: 攻撃に対するアクション アクションポリシーや、グローバル ACLs、許可/拒否のアクション設定に従って表示されます。パッシブ
モードの場合は ログ と表示されます。
URL: 攻撃を受けたコンテンツ URL
攻撃名: セキュリティポリシー>アクションポリシーの項目です。
詳細: 攻撃されたパラメータなどの情報
ルールタイプ: どの設定で検知したかを表示。
* Global/ グローバル – セキュリティポリシーでの設定
* Global URL ACL/ グローバル URL ACL - セキュリティポリシーのグローバル ACL での設定
* URL ACL/ URL ACL - セキュリティポリシーの 許可/拒否 ルールでの設定
* URL Policy/ URL ポリシー – WEBS サイトの 高度なセキュリティ での設定
* URL Profile/ URL プロファイル – WEB サイトの URL プロファイルでの設定
* Parameter Profile/ パラメータプロファイル – WEB サイトのパラメータプロファイルでの設定
ルール: 各ルールタイプの、どのルールで検知したかを表示
修正: 誤検知の場合、該当ルールタイプの該当ルールを自動的にチューニング
詳細: 攻撃の詳細情報を表示
50
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
15.2.
ウィザードによるチューニング
BASIC> Web Firewall Logs を選択します。
赤線の例の場合:パラメータの長さが規定値を超えているというアラートです。
サービス名「HTTP166」に設定された WEBSITES プロファイル「Default_Profile」のパラメータ「default_param_profile」のパラメータ値が
設定値よりも高い値でアクセスが来ています。もしこのアクセスが正常であった場合、
「修正」ボタンを押し、パラメータ値を変更します。
ポリシー修正のポップアップウィンドウが表示され、
「どのような攻撃であったのか」
、
「どのような修正をどこの設定ページに対して行うのか」と
いった情報が表示されます。
例の場合、WEB サイトプロファイル「Default_Profile」に対し、”cx[]”の、新しいパラメータプロファイルを作成し、許容可能な最大パラメータ
値を”4123”に設定します。
この修正設定を適用する場合、「修正を適用」を押し修正します。
修正を行った情報は、自動的に設定されています。
51
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
16. 信頼するホストの設定
信頼するホストは、設定したホストに対して、特別なアクション(攻撃検知しない など)を設定することが可能です。
16.1.
信頼するホストの追加
WEB サイト>信頼するホスト を選択します。
[信頼するホストの新規追加]にてグループ名を設
定します。
[Add Host]をクリックしクライアントを追加し
ます。クライアントは同じグループの中に複数設
定可能です。
ポップアップウィンドウが表示されますので、設
定を入力します。
52
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
16.2.
サービスへの追加
設定した 信頼するホスト をサービスに適用します。
基本設定>サービス を選択します。
VIP の[編集]を選択します。
信頼するホストアクション:
許可: ホストからの攻撃をブロックせず、ログも記載しません。
パッシブ: 攻撃はブロックしませんが、ログに記載します。
デフォルト: モードの動作に依存します。
信頼するホストグループ:適用するホストグループを選択します。
17.
53
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
17. 拡張マッチの設定方法
グローバル ACL、許可/拒否や URL プロファイルなどで、この設定を行う事で、より細やかな条件設定が可能になります。
たとえば、特定の IP アドレスや URI 情報を持っている(持っていない)と、設定項目のフィルタを適用/不適用などの設定が可能です。
拡張マッチは 編集ボタンを押し、以下のウィザードで設定します。
54
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
18. その他情報
18.1.
製品利用に当たって必要なネットワーク情報
必要に応じて、ネットワークファイヤーウォールの設定を行ってください。
アプライアンスからからインターネットへの通信
TCP22
リモート診断(バラクーダセントラルへの通信)
TCP25
アラートメール、通知メール
TCP80 および 443
ファームウェア・攻撃定義更新(バラクーダセントラルへの通信)
UDP123
時間同期(NTP)(バラクーダセントラルへの通信)
TCP/UDP53
DNS の名前解決
最新の通信先については以下のリンクを参照ください。
http://www.barracuda.com/kb?id=50160000000Hb4J
インターネットからバラクーダへの通信
TCP80
HTTP 用 Web サービス
TCP443
HTTPS 用 Web サービス
TCP8000
管理 GUI 必要に応じて
その他、Custom で設定された通信
55
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
18.2.
最新ファームウェアへのアップデート
最新ファームウェアの通知
最新ファームウェアがリリースされた場合、メールにて通知されます(英語)。通知先は、基本設定>管理 で指定したアドレスです。
リンクをクリックすると、最新ファームウェアの情報が表示されます。
最新ファームウェアの適用
高度な設定>ファームウェア更新 を選択します。
使用中のファームウェア
よりも 利用可能な最新バージョン が上位バージョンであれば、[今すぐダウンロード]ボタンをクリックして、ファー
ムウェアをダウンロードします。[更新]ボタンをクリックして、ダウンロードステータスを更新します。
[今すぐ適用]をクリックして、ファームウェアを更新します。機器は自動的に再起動されます。
再起動後、WebGUI にログインして、ファームウェアが更新されたことを確認します。
56
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
冗長構成時のファームウェアの適用手順(7.6 以前)
1.
プライマリ機側にて
[高度な設定]>[ファームウェア更新]>[ダウンロード可能なファームウェア]
利用可能な最新バージョンをダウンロードします。
2. バックアップ機側にて
[高度な設定]>[ファームウェア更新]>[ダウンロード可能なファームウェア]
利用可能な最新バージョンをダウンロードします。
3. バックアップ機側にて
[今すぐ適用]ボタンをクリックしダウンロードしたファームウェアを適用させます。
※一時的にプライマリ機側だけで動く形になりますが、サービスに影響はなし。
4. バックアップ機が正常に立ち上がり、バックアップ:Standby になっていることを確認します。
5. プライマリ機側にて
[今すぐ適用]ボタンをクリックしダウンロードしたファームウェアを適用させます。
※バージョンアップ完了後に再起動が自動的に発生し、フェールオーバーが発生しますので、
おおよそですが、1 分程度のサービスダウンが発生することが考えられます。
6. プライマリ機が正常に立ち上がり、フェールバックが発生しますので、
おおよそですが、1 分程度のサービスダウンが発生することが考えられます。
7. プライマリ機が正常に立ち上がり、プライマリ:Active で動いていることを確認します。
57
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
冗長構成時のファームウェアの適用手順(7.6 >
7.7)
注意:
冗長構成のファームウェア 7.6 の WAF を、ファームウェア 7.7 にアップデートする場合、フェイルバックモードを「手動」に変更の上、
スタンバイ側からアップデートを行ってください。
高度な設定>高可用性
[クラスタ設定] フェイルバック「手動」
1. プライマリ機側にて
高度な設定>高可用性
[クラスタ設定] フェイルバックモードを「手動」
にします。
2. プライマリ機側にて
[高度な設定]>[ファームウェア更新]>[ダウンロード可能なファームウェア]
利用可能な最新バージョンをダウンロードします。
3. バックアップ機側にて
[高度な設定]>[ファームウェア更新]>[ダウンロード可能なファームウェア]
利用可能な最新バージョンをダウンロードします。
4. バックアップ機側にて[今すぐ適用]ボタンをクリックしダウンロードしたファームウェアを適用します。
※一時的にプライマリ機側だけで動く形になりますが、サービスに影響はなし。
5. バックアップ機が正常に起動し、Peer でサービスが提供され
ていることを確認します。
6. プライマリ機側にて[今すぐ適用]ボタンをクリックしダウンロードしたファームウェアを適用します。
※バージョンアップ完了後に再起動が自動的に発生し、フェールオーバーしますので
おおよそですが、1 分程度のサービスダウンが発生することが考えられます。
7. プライマリ機が正常に起動し、バックアップ機側で正常
にサービスが提供されていることを確認します。
7.プライマリ機側で「許可されている SNMP の IP/範囲:」などサービスに影響の無い部分の設定を変更しバックアップ機側に反映されていること
でクラスタが正常に
構成されていることを確認します。
8.必要に応じて、プライマリ機にて手動でフェイルバックさせます。※フェイルバック時、1 分程度のサービス断が発生します。
その後プライマリ機で、フェイルバックを「自動」にします。
58
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
18.3.
設定情報のバックアップ
高度な設定>バックアップ に移動します。
[バックアップ]ボタンをクリックして、設定ファ
イルをローカルのデスクトップにダウンロードし
ます。
Note:
Config ファイルに含まれない情報は下記になります。
・システムパスワード
・IP アドレス情報
・DNS 設定
・LAN と MGMT の管理アクセス
18.4.
設定情報のリストア
*稼働機にリストアしますと全設定が消えます。また、再起動が発生します。
高度な設定>バックアップ画面に移動します。
バックアップファイルのリストアで[参照]をクリッ
クして、設定ファイルを指定し、
「アップロード」を
クリックします。
アップロードが完了しましたら[今すぐ適用]ボ
タンをクリックします。
[OK]をクリックすると、設定情報が適用されます。
59
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
以下の画面がでている場合は、設定情報を適用中です。ログイン画面が表示されるまでしばらく待ってください。
60
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
18.5.
バラクーダセントラルへの接続(リモートサポート機能/SSH)
バラクーダネットワークスでは、製品サポートを円滑に行うために、トラブル発生時には、リモートから原因の特定および問題解決までを実施で
きるように「リモートサポート機能」を実装しております。これにより、お客様の機器にトラブルが発生した場合には、バラクーダネットワーク
スのテクニカルサポートエンジニアよっておお客様所有の BWF にリモート
アクセスし、トラブルシューティングを実施することがあります。
なお、お客様が明示的にバラクーダセントラルへ接続したときのみ、バラク
ーダセントラルからテクニカルサポートエンジニアのリモートアクセスが可
能となります。リモートアクセスには、SSH を利用したセキュアなコネクシ
ョンを使用しており、BWF ではバラクーダセントラル以外からのリモートア
クセスは全て拒否されます。
*サポートトンネルの接続を確立するには WAF がインターネットへの接続できる環境で、FW で内側から外側へのポート 80、22 の接続を許可し
ている必要があります。
[高度な設定] – [トラブルシューティング]
のページに移動します。診断サポートの[バラクーダセントラルへの接続の確立] ボタンをクリックしてください。ボタンをクリックすると新しい
ウィンドウがポップアップし接続に成功すると下のような画面が表示されます。
61
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
19. エネルギー充填サービス(シグネチャ更新)について
WAF のエネルギー充填サービスは、攻撃定義、ウィルス定義(モデル 660 以上)
、セキュリティ定義、ジオ IP の 4 つ御座います。
デフォルトでは、10-30 分の間隔で更新の自動チェックします。必要に応じて、手動更新にすることも可能です。
なお、ファームウェア 7.8 では、攻撃定義ファイルを「適用」する際、プロセス再起動による通信の寸断が発生します。但し、以下の設定を行う
ことで、寸断のタイミングをコントロール可能です。
高度な設定>エネルギー充填サービス
高度な設定>システム設定>Auto
自動更新
Apply Attack Definition
有効=自動ダウンロード
はい=自動適用
挙動
自動的にダウンロード、自動的に適用するため、最新の定義が
リリースされたタイミングで寸断します。
有効=自動ダウンロード
いいえ=手動適用
自動ダウンロードしますが、手動での適用時寸断します。
無効=手動ダウンロード
はい=自動適用
手動ダウンロードと同時に適用し寸断します。
「寸断をコンとロースされたい場合、推奨」
無効=手動ダウンロード
いいえ=手動適用
手動ダウンロード、手動適用時寸断します
高度な設定を On にすると表示される
手動適用:以下ページに、適用ボタンが出ます
基本設定> ステータス
高度な設定 > エネルギー充填
62
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
20. 管理について
Barracuda Web Application Firewall では、様々な管理機能が装備されております。
20.1.
ステータス画面
ステータス画面では機器統計情報が表示されます。ログイン直後の画面となります。(基本設定>ステータス)
63
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
20.2.
サービス画面
サービス画面では各サーバ、サービスの稼働状況の確認、無効化が可能です。基本設定>サービスを選択します。
20.3.
Log の参照
Log は 3 種類装備されています。
Web ファイアウォールログ:攻撃検知ログ:WAF が攻撃として検知したログを記載します。サイトにアクセス出来なくなった等の場合、どの様な
状況が発生しているのか、確認することが可能です。
アクセスログ:Web サーバへのアクセスログ:Web サーバからの HTTP ステータスコード、アクセス URL 等が表示されます。サイトにアクセス
出来ないなどの場合、どの様な状況が発生しているのか、確認することが可能です。
管理ログ:管理者の LogIn / LogOut や設定変更情報等が記録されます。
Warning:
各ログ画面には「Generate CSV File」(CSV で出力)ボタンがございますが、使用しますと CPU 使用率が急激に上がり、サービスの運用に
支障をきたす可能性がございます。十分にご注意の上、ご使用ください。
CSV ファイルの生成しますと、生成完了まで
少々お時間がかかります。生成完了後、ダウン
ロードボタンが選択可能となります。
64
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
20.4.
レポート機能
本体内に蓄えられた情報を元に、レポートを生成することが可能です。
レポート>スケジュール を選択します。
なお、スケジュールを生成した場合、設定されたタイムゾーンの深夜 0 時頃生成され配信されます。システムの負荷状況によりレポートを生成す
ることが出来ない場合もございます。
65
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
21. 工場出荷時状態に戻す
工場出荷時の状態に戻すことができます。ただし、この作業を行うと設定内容、ファームウェア、定義ファイルの情報などすべての情報が失われ
ます。この作業を行う前にはサポート窓口へお問い合わせください。
この作業を行う前に設定のバックアップをあらかじめ取得することをお勧めします。バックアップについては[設定のバックアップ]の項を参照く
ださい。
工場出荷時状態にするにはシステムを再起動してください。起動中の下記画面で[Recovery]を選択します(下記画面は起動時に 3 秒程度しか表示
されません)
。
[Recovery]を選択すると Barracuda はリカバリモードで起動します。起動が完了すると下記の画面になります。
1.) Barracuda Repair(no data lost):各パーティション
のファイルシステムを修復します。
2.) Full Barracuda Recovery (all data lost) :工場出荷
時に戻す(すべての設定、データが失われます)。
3,) Enable remote administration (reverse tunnel) リ
カバリモードからサポートトンネルをつなぎます。
4.) Diagnostic memory test :メモリーチェックを行いま
す。
5.) Exit :リカバリモードを終了します。
工場出荷時状態に戻すには[2.) Full Barracuda Recovery] を選択します。リカバリが完了したら[5.) Exit] を選択して終了してください。
以上で作業は完了です。これですべての設定、データは削除されました。再度設定などを行う場合にはファームウェアも初期状態に戻るためを
必ずアップデートしてください。
66
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
FAQ
Q1: Web サーバのログを確認すると、IP アドレスが WAF の IP アドレスでした。クライアントの情報を取ることは出来ますか?
A1: プロキシ構成の場合、このようなことが発生します。回避策としては、X-Forwarded-For というヘッダにオリジナル IP が付与されますので、
Web サーバ側でフィルタリングをかける事によって回避可能です。
(WEB サイト>Web サイトトランスレーションのレスポンスリライトにて確認可能です。サービスが追加された際、自動的に追加されます。
)
Q2: リバースプロキシモードにおいて、防御されているサーバから外部のサーバにアクセスしたいのですが、通信が出来ません。何か設定が必要
ですか?
A2:
リバースプロキシモードでは内から外に対する通信はすべて遮断されています(デフォルト)
。
この問題を回避するには、高度な設定>高度なネットワーク設定 【システム】の【設定】タブ に移動します。
NAT for LAN Servers
を選択した場合、すべての LAN 側サーバが WAN セグメントに通信できます。
個別に、必要なポートだけ通信を許可させる場合は
ACL で設定可能です。
また、Source Network Address Translation を設定すると SourceNAT の設定が可能です。
Q3: Proxy モードにおいて、サービスの VIP のネットマスクを指定したいのですが可能ですか?
A3:
可能です。高度な設定> 高度な IP 設定 の[Multiple IP Address Configuration]で変更可能です。
Q4:
WAF がブロックし攻撃のアクションの「白い画面(下図)」を変更したい。
A4:
1. 画面文言を変更する場合
高度な設定>ライブラリに移動します。
新規にレスポンスページを作成する場合は[レスポンス画面]の「レスポン
ス画面を追加」をクリックします。
既存の Default を編集する場合、[編集]をクリックします。
(日本語は使
用できません)
その後以下の手順でアクションを編集します。
2. コネクション切断・Sorry サーバ指定・カスタムレスポンス(上記)の設定
セキュリティポリシー>アクションポリシーに移動します。
各攻撃名の[Edit]をクリックします。
コネクション切断:拒否レスポンスにて、接続をクローズ を選択します。
Sorry サーバ指定:拒否レスポンスにて、リダイレクト を選択し、リダイレクトする URL に Sorry サーバの URL を指定します。
カスタムレスポンス:拒否レスポンスにて、レスポンスを送信 を選択し、レスポンス画面 にてレスポンスページを指定します。
67
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
Q5: 電源のシャットダウン、リブートの方法はどうすればいいですか?
A5:
基本設定>管理 ページの最下部の項目にボタンがございます。
また、フロントパネル電源ボタンを“軽く”押すと、シャットダウンコマンドが発行され、正常にシャットダウンされます。長押しをします
と、強制シャットダウンとなります。
Q6: ブリッジモードでバイパス設定をした場合、どの様な条件下でバイパスされますか?
A6:
電源供給の切断、OS パニックなどの障害、ハードディスクなどの機器障害の際バイパスされます。
Q7: 冗長構成構成を組んだ場合の注意点は?どの様な条件下で、切り替わりが発生しますか?
A7:
注意点:ブリッジモードの際、STP(スパニングツリー)は使用しないでください。
全構成において設定変更はアクティブ機に対して行ってください。
IP 情報、モニタリング情報、システムパスワード、タイムゾーン設定は同期されません。
ハートビートは WAN ポート経由で行われます。
切り替わり条件:インターフェースのリンクダウン
特定の内部プロセスのクラッシュ時
ハートビートが出来なかった場合
Q8: ブリッジモードとワンアーム/リバースプロキシモードの混在は可能ですか?
A8:
ブリッジモードと他のモードの混在は出来ません。
但し、ワンアームプロキシ構成とリバースプロキシ構成同士は 1 筐体内で混在可能です。
Q9:
WAF の英語マニュアル、資料、より細かい FAQ 集はありますか?
A9:
Web サイトにて公開されています。
マニュアル、資料等、設定 FAQ:
http://techlib.barracuda.com/display/BWAFv76/Barracuda+Web+Application+Firewall+-+Overview
Q10:
ログは筐体内でどのくらい保持できますか?
A10: Web Firewall Logs (攻撃ログ):500,000
アクセスログ:500,000
Audit Logs (監査ログ):500,000
Q11:
コンフィグがエクスポートできません。考えられる原因は何ですか?
A11: 証明書の鍵情報のエクスポートを許可しないと設定した場合、システムのコンフィグをエクスポートできません。
(SSL 証明書関連情報を
ご覧ください。)
68
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
Q12:
証明書の有効期限が切れそうです。証明書の更新の際、どの様な操作をすればよいですか?
A12: 流れは以下の通りです。
1.新しい期限の証明書を既存とは違う名前で登録(中間証明書、ルート証明書も同様)
2.BASIC>Services ページの該当サービス VIP の [編集]ボタンをクリック
3.ポップアップウィンドウの<SSL>の Certificate から先ほどアップロードした証明書を指定
4.証明書ページにて、期限切れ証明書を削除
69
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
付録 1.アクションポリシーの説明と設定資料
70
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
71
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
72
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
・防御なし)]
*1 推奨アクションが空欄の部分は、 [許可&ログ(ログ出力
実施、防御なし)]または[なし(ログ出⼒
Barracuda Web Application Firewall Setup Guide
73
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Barracuda Web Application Firewall Setup Guide
お問い合せ先:
弊社から直接お貸し出しさせて頂いた、評価機の場合、お問い合わせは以下までご連絡ください。
代理店を経由してご購入された場合、その代理店までお問い合せください。
バラクーダネットワークスジャパン株式会社
–
受付時間:平日 9:00-17:00(土日祝日・弊社休業日を除く)
–
電話番号:03-5436-6236
–
メール:[email protected]
–
問い合わせに際しての必要情報
【E/U 詳細】 シリアルナンバー/モデル/ファームウェア/ユーザ名/代理店
【事象詳細】
【依頼内容】
74
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
Fly UP