ディレクティブによる設定
- 純国産WAF「SiteGuardシリーズ」
- ソフトウェア型
- ホスト型 WAF
- ディレクティブによる設定
Apache版とNginx版では、検査の有効・無効やログ出力先の指定、除外ルールをディレクティブで設定することができます。バーチャルホスト毎に、検査やログ出力の設定をする場合に有効です。
Apache(httpd.conf)での設定
Apacheの設定ファイル(httpd.conf)では、以下の設定が可能です。
- 検査の有効・無効
- 監視モード
- トラステッド・シグネチャの除外
- 接続元IPアドレスによる検査の除外
- ログ出力先の指定
検査の無効化
設定方法の一例となりますが、特定ファイルの検査を無効にする場合は、
<Files ~ "demo\.cgi$">
SiteGuard off
</Files>
のように、<Files>で”SiteGuard off“を記述します。これにより、demo.cgiへのアクセスは検査の対象外となります。
ログ出力先の指定
バーチャルホストの設定で、検出ログの出力先を指定する場合は、
<VirtualHost *:80>
ServerName virtual1
DocumentRoot /home/user01/html/virtual1
SiteGuard_DetectLog /home/user01/logs/virtual1/waf-detect.log
</VirtualHost>
のように、<VirtualHost>で”SiteGuard_DetectLog 検出ログのパス“を記述します。これにより、Virtual1の検出ログは、ユーザーのlogs/virtual1/waf-detect.logに出力されるようになります。
いずれも設定後は、以下のコマンドを実行し、設定を反映してください。
# cd /opt/jp-secure/siteguardlite
# make reconfig
make reconfigにより、apachectl gracefulが実行されます。(ウェブ管理画面の[適用]ボタンを押した場合と同じです。)
.htaccessによる設定
以下の設定については、.htaccessを使用して設定することも可能です。
- 検査の有効・無効
- トラステッド・シグネチャの除外
- 接続元IPアドレスによる検査の除外
.htaccessの場合、編集内容を保存した段階で、設定が適用されます。
(Apacheのサービス再起動やウェブ管理画面の[適用]ボタンを押す必要はありません。)
.htaccessによる設定を有効にする場合は、SiteGuard Server Editionの設定ファイル(conf/siteguardlite.ini)で、htaccess_exclude=yes にする必要があります。(デフォルトno)
トラステッド・シグネチャの除外
指定したシグネチャによる検出を除外する場合は、.htaccessに
SiteGuard_User_ExcludeSig url-waf-test-1
のように、”SiteGuard_User_ExcludeSig シグネチャ名“を記述します。これにより、.htaccessを設定しているディレクトリ以下について、シグネチャurl-waf-test-1による検出が除外されます。
この設定は、httpd.confによる設定と同様、
<Files ~ "demo\.cgi$">
SiteGuard_User_ExcludeSig url-waf-test-1,url-waf-test-2
</Files>
のように、<Files>でも指定可能です。これにより、demo.cgiへのアクセスについて、シグネチャurl-waf-test-1とurl-waf-test-2による検出が除外されます。
複数のシグネチャを指定する場合は、カンマ区切りか、複数行に分けて指定することができます。また、allを指定することで、すべてのシグネチャによる検出を除外することができます。(SiteGuard_User_ExcludeSig all)
接続元IPアドレスによる検査の除外
接続元IPアドレスを指定して、検査を除外する場合は、.htaccessに
SiteGuard_User_ExcludeSig 192.168.1.1
のように、”SiteGuard_User_ExcludeSig 接続元IPアドレス(完全一致)“を記述します。これにより、接続元IPアドレスが 192.168.1.1 の場合は、すべてのアクセスを安全とみなします。管理者アクセスを検査の対象外にする場合に有効な設定です。
Nginx(nginx.conf)での設定
Ver4.10以降、Nginx版でも同様の設定が可能になりました。
nginx.confのhttp, server, locationコンテキストについて、Apache版同様に以下の設定ができます。
- 検査の有効・無効
- 監視モード
- トラステッド・シグネチャの除外
- 接続元IPアドレスによる検査の除外
- ログ出力先の指定
以上、一部ではありますが、ディレクティブによる設定例を紹介させていただきました。
詳細については、管理者用ガイドの「Apacheのディレクティブによる設定」「Nginxのディレクティブによる設定」を参照してください。
本機能は、ホスティングサービス等で活用される場合に特に便利な機能です。管理者側で設定を制御しながら、ユーザー側でのチューニングを可能にするなど、柔軟な対応が可能となります。サービス利用をご希望の際はサービスパートナーへのご加入をご検討ください。
SiteGuardシリーズにご興味のある方はこちら