Q1: Webサーバのログを確認すると、IPアドレスがWAFのIPアドレスでした。クライアントの情報を取ることは出来ますか?
A1: プロキシ構成の場合、このようなことが発生します。回避策としては、XQ1:Webサーバのログを確認すると、IPアドレスがWAFのIPアドレスでした。クライアントの情報を取ることは出来ますか?
A1:プロキシ構成の場合、このようなことが発生します。回避策としては、X-Forwarded-ForというヘッダにオリジナルIPが付与されますので、Webサーバ側でフィルタリングをかける事によって回避可能です。 (WEBサイト>Webサイトトランスレーションのレスポンスリライトにて確認可能です。
「WEBサイト」>「Webサイト変換」の「HTTPレスポンスリライト」にて確認可能です。サービスが追加された際、自動的に追加されます。) Q2: リバースプロキシモードにおいて、防御されているサーバから外部のサーバにアクセスしたいのですが、通信が出来ません。何か設定が必要ですか?
A2: リバースプロキシモードでは内から外に対する通信はすべて遮断されています(デフォルト)。
この問題を回避するには、高度な設定>高度なネットワーク設定 【システム】の【設定】タブ に移動します。
NAT for LAN Servers を選択した場合、すべてのLAN側サーバがWANセグメントに通信できます。
個別に、必要なポートだけ通信を許可させる場合は ACLで設定可能です。
また、Source Network Address Translationを設定するとSourceNATの設定が可能です。
Q3: Proxyモードにおいて、サービスのVIPのネットマスクを指定したいのですが可能ですか?
A3: 可能です。高度な設定> 高度なIP設定 の[Multiple IP Address Configuration]で変更可能です。
Q4: レスポンス画面(WAFが攻撃をブロックした際に表示される画面)の内容を変更することは可能ですか?
A4:
...
...
Q2:リバースプロキシモードにおいて、防御されているサーバから外部のサーバにアクセスしたいのですが、通信が出来ません。何か設定が必要ですか?
A2:リバースプロキシモードでは内から外に対する通信はすべて遮断されています(デフォルト)。
この問題を回避するには、「高度な設定」>「高度なネットワーク設定」から「システム」の「設定」タブに移動します。
LANサーバのNATより、「LANサーバのSNATを有効化」を選択した場合、LAN側にある全サーバが WANセグメントに通信できます。
個別に、必要なポートだけ通信を許可させる場合は「ACL」で設定可能です。
...
Q3:プロキシモードにおいて、サービスのVIPのネットマスクを指定したいのですが可能ですか?
A3:可能です。「基本設定」>「サービス」の「Services」にある各VIPの「edit」で変更可能です。
...
Q4:レスポンス画面(WAFが攻撃をブロックした際に表示される画面)の内容を変更することは可能ですか?
A4:画面文言を変更する場合「高度な設定」>「ライブラリ」に移動します。新規にレスポンスページを作成する場合は[レスポンス画面]の「レスポンス画面を追加」をクリックします。既存のDefaultを編集する場合、[編集]をクリックします。(日本語は使用できません)
その後以下の手順でアクションを編集します。
コネクション切断・Sorryサーバ指定・カスタムレスポンス(上記)の設定
セキュリティポリシー>アクションポリシーに移動します。
各攻撃名の[Edit]をクリックします。
コネクション切断:拒否レスポンスにて、接続をクローズ を選択します。
Sorryサーバ指定:拒否レスポンスにて、リダイレクト を選択し、リダイレクトするURLにSorryサーバのURLを指定します。
カスタムレスポンス:拒否レスポンスにて、レスポンスを送信 を選択し、レスポンス画面 にてレスポンスページを指定します。
...
Q5: 電源のシャットダウン、リブートの方法はどうすればいいですか?
A5: 基本設定>管理 ページの最下部の項目にボタンがございます。
また、フロントパネル電源ボタンを"軽く"押すと、シャットダウンコマンドが発行され、正常にシャットダウンされます。長押しをしますと、強制シャットダウンとなります。
...
Q6: ブリッジモードでバイパス設定をした場合、どの様な条件下でバイパスされますか?
A6: 電源供給の切断、OSパニックなどの障害、ハードディスクなどの機器障害の際バイパスされます。
...
Q7: 冗長構成構成を組んだ場合の注意点は?どの様な条件下で、切り替わりが発生しますか?
A7: 注意点:ブリッジモードの際、STP(スパニングツリー)は使用しないでください。
全構成において設定変更はアクティブ機に対して行ってください。
IP情報、モニタリング情報、システムパスワード、タイムゾーン設定は同期されません。
ハートビートはWANポート経由で行われます。
切り替わり条件:インターフェースのリンクダウン
特定の内部プロセスのクラッシュ時
ハートビートが出来なかった場合
...
Q8: ブリッジモードとワンアーム/リバースプロキシモードの混在は可能ですか?
A8: ブリッジモードと他のモードの混在は出来ません。
但し、ワンアームプロキシ構成とリバースプロキシ構成同士は1筐体内で混在可能です。
...
Q9: WAFの英語マニュアル、資料、より細かいFAQ集はありますか?
A9: Webサイトにて公開されています。
マニュアル、資料等、設定FAQ: {+}https://techlib.barracuda.com/BWAFOverview+
...
Q10: ログは筐体内でどのくらい保持できますか?
A10: モデルにより保存可能な件数は異なり、ログの種類ごとに、以下が最大保存件数です。
上限を超えると古いログから上書きされます。
(V7.9.0以降の仕様です。)
...
Q11: コンフィグがエクスポートできません。考えられる原因は何ですか?
A11: 証明書の鍵情報のエクスポートを許可しないと設定した場合、システムのコンフィグをエクスポートできません。(SSL証明書関連情報をご覧ください。)
...
Q12: 証明書の有効期限が切れそうです。証明書の更新の際、どの様な操作をすればよいですか?
A12: 流れは以下の通りです。
1.新しい期限の証明書を既存とは違う名前で登録(中間証明書、ルート証明書も同様)
2.BASIC>Servicesページの該当サービスVIPの [編集]ボタンをクリック
3.ポップアップウィンドウの<SSL>のCertificateから先ほどアップロードした証明書を指定
4.証明書ページにて、期限切れ証明書を削除