インストール(初期設定)
- 純国産WAF「SiteGuardシリーズ」
- ソフトウェア型
- ホスト型 WAF
- インストール~初期設定
SiteGuard Server Editionインストール・設定ガイド
インストール
ウェブ管理画面の動作環境としてJREが必要です。IIS版は、Visual C++ 再頒布可能パッケージのインストールも必要となります。
製品のインストールは、
- インストールコマンドの実行
- セットアップ
の2ステップで行います。
Apache版(Linux/FreeBSD)では、RPMパッケージ、またはTAR.GZパッケージで、インストールコマンドを実行します。
RPM:
# rpm -Uvh siteguard-server-edition-X.XX-X.x86_64.rpm
TAR.GZ:
# tar -zxvf siteguard-server-edition-X.XX-X.bsd64.tar.gz
# cd siteguard-server-edition-X.XX-X.bsd64
# make install
IIS版では、インストーラを実行し、ウィザードにしたがってインストールを進めます。
通常、「次へ」を押していくだけでインストールが完了します。
セットアップ
インストールが完了したら、セットアップを行います。
Apache版(Linux/FreeBSD)では、セットアップスクリプトを実行します。
# cd /opt/jp-secure/siteguardlite/
# ./setup.sh
セットアップでは、Apacheの設定ファイルや実行コマンドの指定、SiteGuard Server Editionのウェブ管理画面で使用するポート番号の指定、ウェブ管理画面のアクセス制限などを行います。
難しそうに思われるかもしれませんが、対話形式のスクリプトで簡単に設定できるようになっており、システム要件を満たしている環境であれば、基本的に[Enter]を押していくだけで完了します。
このように、簡単にセットアップを進めることができますが、ウェブ管理画面のアクセス制限に関する項目については、適切に設定していただくことを推奨しています。
please enter the addresses allowed to access the web console for https.
ex:192.168.1. 10.0.0.0/24
please enter allowed addresses. [ALL] -->192.168.100.100(例)
デフォルト値はALLで、ウェブ管理画面について、全ての接続元からのアクセスを許可します。
一般的な管理ページのアクセス制限と同様、アクセスを許可する接続元を登録するようにしてください。
セットアップスクリプトの最後の処理で、Apacheの再起動を行い、セットアップ完了です。
Apache restart. Are you sure? [yes]|no -->Enter押下
stopping apache ...
starting apache ...
apache restart done.
-----------------------------------------------------
+ finished SiteGuard Server Edition setup +
-----------------------------------------------------
Please access following URL for starting service.
https://hostname:9443/
(default user:admin, default password:admin)
IIS版の場合は、インストール完了後にユーティリティが起動します。
こちらも、アクセス制御のデフォルト値はALLで、全ての接続元からウェブ管理画面へのアクセスが許可されています。
一般的な管理ページのアクセス制限と同様、アクセスを許可する接続元の登録を推奨しています。
初期設定
ウェブ管理画面への接続と初期パスワードの変更
セットアップ完了後は、ウェブ管理画面を使用してSiteGuard Server Editionの設定を行います。
ブラウザを起動して、ウェブ管理画面に接続します。
https://[サーバーホスト名(またはIPアドレス)]:9443
にアクセスすると、SiteGuard Server Editionのログイン画面が表示されます。
ログイン画面が表示されたら、初期ID・パスワードで、ウェブ管理画面にログインします。ログイン画面が表示されない場合は、ポート9443への接続が許可されているかiptablesなどの設定を確認してください。
初回ログイン時に、管理パスワードの変更画面が表示されますので、新しいパスワードを設定してからご利用ください。
(初期パスワードの変更は必須です。変更するまで他の操作を行うことはできません。)
同じ画面で、管理ユーザ名を変更することもできます。
ライセンス情報の登録
初期パスワードの変更が完了したら、ライセンス情報を登録します。
(評価版としてご利用の場合、この手順は不要です。)
「契約内容確認書」に記載されているシリアルキー、サポートID、パスワードを入力し、[適用]ボタンを押してください。
検査を有効にする
ここまでの設定が完了したら、検査機能を有効にします。(初期値:無効)
稼働中のWebサイトへWAFを導入する場合は、設定内容や手順を検討してから検査機能を有効にしますが、ここでは新規構築のイメージで、順に設定と確認方法を紹介します。
[モジュール設定]の[基本設定]を選択し、ウェブ攻撃検査のスイッチを有効にします。
画面下の[適用]ボタンを押して、設定を反映します。
各種設定の変更時には、以下のように設定内容の確認ダイアログが表示されますので、内容を確認して[OK]ボタンを押してください。
動作確認
初期設定が完了したら、動作確認を行います。
ブラウザを起動して、Webページの表示を確認します。
http://[サーバーホスト名(またはIPアドレス)]
Webサイトのページが正しく表示されることを確認してください。
次に、SiteGuard Server Editionの検査機能が有効になっていることを確認します。
URLのパスに、”WAF-TEST-SIGNATURE”という文字列が含まれている場合に検出するテスト用のシグネチャが用意されていますので、この検出テストパスにアクセスして確認します。
http://[サーバーホスト名(またはIPアドレス)]/WAF-TEST-SIGNATURE/
今度は、検査機能によって検出したことを示す[検出メッセージ]が表示されることを確認してください。
該当のリクエストは拒否(BLOCK)となり、HTTPの応答コードは「403 Forbidden」です。
表示される検出メッセージの内容は、[検出メッセージ]の画面で変更することができます。(9000バイトまで)
なお、Apacheの設定で、"ErrorDocument 403"を指定している場合は、ErrorDocumentで指定したメッセージが表示されます。
オリジナルのエラーページを表示する場合は、ErrorDocumentの設定を使用してください。
検出ログの確認
検出内容の詳細は、[動作ログ]-[検出ログ]で確認することができます。
ログの表示を展開すると、検出した日時や動作・接続元・メソッド・URL・検出したシグネチャなどの情報を見やすいかたちで確認することができます。
以上で、インストール~初期設定、基本動作の確認は終了です。
SiteGuardシリーズにご興味のある方はこちら