Imperva FAQ
このページはImpervaに関するFAQを記載したページです。
【基本機能】
【ADC】
【管 理】
【冗長】
【トラブル】
【TLS (SSL)】
【基本機能】
質問1:LearnedHostはどのように学習されていますか?
質問2:モニター>アラートでの表示と同じレポートは作成可能ですか?
【ADC】
質問1:ADCコンテンツアップデート(ADC更新)情報をWebから確認することは可能ですか?
質問2:ADC自動更新時の動作において、ADCポリシーの適用はデフォルトサイトのみでしょうか? ユーザ定義のサイトに自動適用する方法はありますか?
WAF機器上でADC更新後、WAF機器上で新たに作成したユーザ定義のサイト情報(メイン>セットアップ>サイト)へは、当該新規追加セキュリティポリシーは自動で適用される動作となります。
質問3:ADCスケジューリングはどこで設定しますか?
【管理】
質問1:GatewayでのCPU使用率や処理スループットが高いかどうかを把握するにはどうすれば良いですか?
過去のCPU使用率および処理スループットが高い時のログを確認することができます。
(デフォルトではCPU使用率90%以上、処理スループット90Mbps以上の際にシステムイベントが発生します。)
リアルタイムでの状態を確認する場合はメイン>モニター>ダッシュボードに進み、
画面中央のグラフから確認することができます。
質問2: 高負荷と判断されるCPU使用率の値は確認できますか?
回答:
可能です。CPU使用率に関してはデフォルトで80%で高負荷、95%で過負荷が閾値として設定されております。 システムイベントとしてアラートが挙がるのは90%(デフォルト値)です。
以下の手順にて高負荷時にイベントが通知される設定値が確認可能です。
1.GUI上管理>システム定義>管理サーバの設定>システムイベント通知へ移動します。
2."次の CPU 使用率を超えた場合、システム イベントを発行する"にて閾値を確認します。
質問3:"impctl platform reboot"コマンドでのネットワーク切断時間はどの程度でしょうか?
質問4:LoadAvgを閾値として、アプライアンス監視を考えていますが、動作に影響を与える値はありますか?
質問5:CLIよりチャレンジコードを取得する方法はありますか?
1.sshで機器MXに一般ユーザでログイン後、"admin"コマンドを実行しroot権限へ移行します。
2. # su - oracle コマンドを実行し、ユーザを変更します。
3. # sqlplus secure/<secureユーザパスワード> と入力します。
4. SQL> select MACHINE_CHALLENGE from CONF_LICENSE_FILES; SQLクエリを発行。
5. MACHINE_CHALLENGE
以下は結果の例です。XXXXXXXXXXがチャレンジコードとなります。
--------------------------------------------------
Imperva AWS OnDemand Default Challenge
XXXXXXXXXX
質問6: GW機器上の一般ユーザへ誤ったパスワードを設定した際の対処方法はありますか?
以下手順でございます。
1. コンソールよりrootユーザでログインします。その後、「impcfg」コマンドを入力します(※ 画面表示されるまでに少々お時間がかかります。)
2. "3) Manage platform."の3を入力
3. "3) Manage users."の3を入力
4. "3) Manage user."の3を入力後、変更するユーザを求められるのでユーザ名を入力
5. "1) Reset password (immediate)."の1を入力後、新しいパスワードを求められるのでパスワードを入力
6. パスワードの確認を求められるので再度同パスワードを入力
質問7: SSHでのCLIログイン後のroot権限移行方法はどのように行いますか?
1.一般ユーザアカウントでSSHログインを行います。
2."admin"と入力します。
3.その後パスワードの入力が求められますのでsshログイン時に使用した一般ユーザアカウントのパスワードを入力します。
※ver12.x以上のOSをご利用の場合、3の手順は必要となりません。
質問8:HTTPサービスグループオブジェクト>エラーページ>ページ(ラジオボタン)上のエラーページの設定に関して制限はありますか?
・CSS、Javascriptは参照できません。
・文字数の上限は4000バイトとなります
質問9: MX,GWに関してSSHログインをrootアカウントで行うことは可能でしょうか?
1.SSH接続にてMX/GWへログインし、"admin"コマンドを実行しrootへ昇格します。
2. 下記コマンドを実行しrootログイン可能IPを設定します。
# impctl hardening config --root-source-ip-exception=X.X.X.X
上記で許可したIPアドレスの削除につきましては、下記手順を実行します。
1. SSH接続にて機器(MX/GW)へ一般ユーザでログインし、"admin"コマンドにてroot権限へ遷移します。
2. /opt/SecureSphere/etc/bootstrap.xmlの
との間にある下記行を削除
X.X.X.X ←削除対象のIPアドレスが記載されている行
3. 編集を保存します。
4. 変更をてきようするため、下記コマンド実行によりOSの再起動を実施します。(ネットワーク断が発生)
# impctl platform reboot
質問10:管理サーバのデータ(設定情報,アラート情報)の取り込み/抽出へはどのような方法が存在しますか?
・エクスポート方法 -- WAF設定情報(config情報)/アラート情報の抽出
1.管理サーバ(MX)のGUIのスケジューリングバックアップ機能を利用する。
2.管理サーバ(MX)のCLIよりコンフィグ情報生成コマンドを実行する。
・インポート方法(リストア方法) -- WAF設定情報(config情報)/アラート情報の設定復元
1.CLI(SSH/シリアルコンソール接続)でMXへ接続し、"admin"コマンドを実行し、root権限へ移行後下記コマンドを実行する。
# impctl server stop
# full_expimp.sh
※インポート(リストア)の実施ではMXプロセスが停止いたします。(上記stopコマンド該当)
※コンフィグエクスポート実施中、MXプロセスの停止は発生いたしません。
質問11: MX機器よりエクスポート、インポートされるデータはどういったデータでしょうか?
・WAF設定情報(サイトツリー、保護対象IPアドレス、セキュリティポリシー、シグネチャ、プロファイリング情報(URL,パラメータ等学習結果)など)
・WAF機器GUI上で生成したレポートファイル
・アラート情報(CLIにてエクスポートした場合のみオプションとしてアラート有無を選択可)
コンフィグデータのインポート・エクスポートは以下の目的に有用です。
・機器障害発生時のWAF設定復元
質問12: CLIユーザのログイン履歴を保存する方法はありますか?
※一例としましてMXでの設定を示しております。(GWも同様の設定でございます。)
※外部syslogサーバが適切にログ受信設定されていることを前提としております。
1. MXへ一般ユーザでCLIログインし、"admin"コマンドを実行しrootへ昇格します。
2. rsyslogの設定ファイルを開き、編集いたします。(/etc/rsyslog.conf)
3. 以下の行を追加いたします。
外部syslogサーバがUDPでlistenしている場合:
authpriv.* @<外部syslogのIP>:<外部syslogポート番号>
外部syslogサーバがTCPでlistenしている場合:
authpriv.* @@外部syslogのIP:<外部syslogポート番号>
4. 下記コマンドにより、MXのsyslogサーバを再起動させます。
# /etc/init.d/rsyslog restart
# systemctl restart rsyslog ※ver14.xOS移行は左記コマンドを実行します
5. MXへ一般ユーザでログインし、3で指定した外部syslogサーバへデータが転送されていることを確かめます。
【冗長】
質問1:IMPVHA(Bridge IMPVHA)冗長化とは何ですか?
補足となりますが、GW機器L2透過型モードの冗長化構成としては、IMPVHA(Bridge IMPVHA)の他にBridge STPが存在します。
参考:
https://docs.imperva.com/bundle/v14.6-waf-administration-guide/page/58962.htm
【トラブル】
質問1:物理ポートがリンクがアップしません。WAF機器の異常、I/Fポート故障でしょうか?
CLI(SSH/コンソール接続)でログインし、"admin"コマンドにてroot権限へ移行し、下記手順を実行します。
# ifconfig -a
# ethtool <事象発生インターフェース名>
# ifconfig <事象発生インターフェース名> down
# ifconfig <事象発生インターフェース名> up
# ifconfig -a
# ethtool <事象発生インターフェース名>
リンクアップしない場合、下記コマンドを実行していただき、デバッグログを生成し、弊社サポートへご連絡ください。
・# impctl support get-tech-info --last-server-archives=5
※デバッグログファイルは/tmpディレクトリ以下へ、.zipファイル形式で生成されます。
また、下記詳細情報も併せてお知らせください。
・上記ifconfig~ethtoolのコマンド実行ログ
・OSバージョン情報
・パッチバージョン情報
・事象発生時間
質問2:GUIログインが接続中のまま、画面遷移しません。エラーは見受けられませんが対処方法はありますか?
暫定的対策としまして、下記コマンドにてMXサーバプロセスの再起動で解決する可能性がございます。
下記詳細情報を弊社カスタマーサポートへお問い合わせください。
・OSバージョン
・パッチバージョン
・MX、クライアント間通信経路上でのプロキシサーバ利用の有無
・事象発生時間
・エラー画面のスクリーンショット
・MXのGTI(get-tech-info)ファイル
【TLS (SSL)】
質問1:メーカの推奨する暗号スイートはありますか?
質問2:利用中のWAFがサポートするTLS(SSL)暗号スイートリストへ存在しない暗号をWAF機器で利用したいと考えていますが、使用する方法は存在しますか?
【ADC】
- 質問1:ADCコンテンツアップデート(ADC更新)情報をWebから確認することは可能でしょうか?
- 質問2:ADC自動更新時の動作において、ADCポリシーの適用はデフォルトサイトのみでしょうか? ユーザ定義のサイトに自動適用する方法はありますか?
- 質問3:ADCスケジューリングはどこで設定しますか?
【管 理】
- 質問1:GatewayでのCPU使用率や処理スループットが高いかどうかを把握するにはどうすれば良いですか?
- 質問2:高負荷と判断されるCPU使用率の値は確認できますか?
- 質問3:"impctl platform reboot"コマンドでのネットワーク切断時間はどの程度ですか?
- 質問4:LoadAvgを閾値として、アプライアンス監視を考えていますが、動作に影響を与える値はありますか?
- 質問5:CUIからチャレンジコードを取得する方法はありますか?
- 質問6:GWに誤ったパスワードを設定した際の対処方法はありますか?
- 質問7:SSHでのCUIログイン後のroot権限移行方法はどのように行いますか?
- 質問8:HTTPサービスグループオブジェクト>エラーページ>ページ(ラジオボタン)上のエラーページの設定に関して制限はありますか?
- 質問9:MX,GWに関してSSHログインをrootアカウントで行うことは可能でしょうか?
- 質問10:管理サーバのデータエクスポート・インポート方法はどういった方法をとれるでしょうか?
- 質問11:MXからエクスポート、インポートされるデータはどういったデータでしょうか?
- 質問12:CLIユーザのログイン履歴を保存する方法はありますか?
【冗長】
【トラブル】
【TLS (SSL)】
【基本機能】
質問1:LearnedHostはどのように学習されていますか?
回答:
HTTP HeaderのHost:レコードから学習されます。質問2:モニター>アラートでの表示と同じレポートは作成可能ですか?
回答:以下の手順にてアラート画面と同じレポートが作成可能です。
1.【一般的な詳細】タブでレポートの形式を選択。
2.【データ範囲】タブで「直前の数日間」もしくは「時間枠」を有効なフィールドに移動して期間指定。
3.【表形式】タブで使用可能な列から下記の順で選択済みに移動。
-------------
アラート番号
即時アクション
重大度
アラート開始時刻
イベント数
アラート説明
-------------
下記ソート方法を選択。
最優先:アラート番号 ソート:降順
4.右上保存をクリック。
【ADC】
質問1:ADCコンテンツアップデート(ADC更新)情報をWebから確認することは可能ですか?
回答:
ADCコンテンツアップデート(ADC更新)に関する情報ですが、メーカ側よりリリースされるADC更新情報(ADCコンテンツファイルの内容)につきましては、弊社サポートサイトへ更新情報(追加/更新セキュリティポリシー、シグネチャ等)のリリースノートを掲載しております。弊社サポートサイトへログインいただきtxtファイルをご確認ください。質問2:ADC自動更新時の動作において、ADCポリシーの適用はデフォルトサイトのみでしょうか? ユーザ定義のサイトに自動適用する方法はありますか?
回答:
メーカ側よりADC更新情報がリリースされ、WAF機器へダウンロード適用されたADC更新情報内へ、新規追加のセキュリティポリシーが追加(リリース)されている場合、WAF機器上でADC更新実施前に作成されたGUI上のサイトツリー設定(メイン>セットアップ>サイト)へは当該新規追加のセキュリティポリシーは自動で適用されません。手動にて適用する必要がございます。WAF機器上でADC更新後、WAF機器上で新たに作成したユーザ定義のサイト情報(メイン>セットアップ>サイト)へは、当該新規追加セキュリティポリシーは自動で適用される動作となります。
質問3:ADCスケジューリングはどこで設定しますか?
回答:
WebUI上の 管理>ADC>ADCの自動更新 から設定可能となります。【管理】
質問1:GatewayでのCPU使用率や処理スループットが高いかどうかを把握するにはどうすれば良いですか?
回答:
MXのWebUIにログイン後、メイン>モニター>システムイベントに進み、画面左側のフィルタからゲートウェイを選択することで過去のCPU使用率および処理スループットが高い時のログを確認することができます。
(デフォルトではCPU使用率90%以上、処理スループット90Mbps以上の際にシステムイベントが発生します。)
リアルタイムでの状態を確認する場合はメイン>モニター>ダッシュボードに進み、
画面中央のグラフから確認することができます。
質問2: 高負荷と判断されるCPU使用率の値は確認できますか?
回答:
可能です。CPU使用率に関してはデフォルトで80%で高負荷、95%で過負荷が閾値として設定されております。 システムイベントとしてアラートが挙がるのは90%(デフォルト値)です。
以下の手順にて高負荷時にイベントが通知される設定値が確認可能です。
1.GUI上管理>システム定義>管理サーバの設定>システムイベント通知へ移動します。
2."次の CPU 使用率を超えた場合、システム イベントを発行する"にて閾値を確認します。
質問3:"impctl platform reboot"コマンドでのネットワーク切断時間はどの程度でしょうか?
回答:
WAF機器設定、また、設置方法に依存しますが、3分から5分ほどネットワーク断が発生します。(再起動完了まで)
質問4:LoadAvgを閾値として、アプライアンス監視を考えていますが、動作に影響を与える値はありますか?
回答:
WAF機器動作に影響を及ぼすLoad Average閾値に関しまして、明確な値(メーカ公表値)は存在しません。質問5:CLIよりチャレンジコードを取得する方法はありますか?
回答:
存在します。以下手順となります。1.sshで機器MXに一般ユーザでログイン後、"admin"コマンドを実行しroot権限へ移行します。
2. # su - oracle コマンドを実行し、ユーザを変更します。
3. # sqlplus secure/<secureユーザパスワード> と入力します。
4. SQL> select MACHINE_CHALLENGE from CONF_LICENSE_FILES; SQLクエリを発行。
5. MACHINE_CHALLENGE
以下は結果の例です。XXXXXXXXXXがチャレンジコードとなります。
--------------------------------------------------
Imperva AWS OnDemand Default Challenge
XXXXXXXXXX
質問6: GW機器上の一般ユーザへ誤ったパスワードを設定した際の対処方法はありますか?
回答:
お手数ですが手動にてパスワードの再設定が必要となります。以下手順でございます。
1. コンソールよりrootユーザでログインします。その後、「impcfg」コマンドを入力します(※ 画面表示されるまでに少々お時間がかかります。)
2. "3) Manage platform."の3を入力
3. "3) Manage users."の3を入力
4. "3) Manage user."の3を入力後、変更するユーザを求められるのでユーザ名を入力
5. "1) Reset password (immediate)."の1を入力後、新しいパスワードを求められるのでパスワードを入力
6. パスワードの確認を求められるので再度同パスワードを入力
質問7: SSHでのCLIログイン後のroot権限移行方法はどのように行いますか?
回答:
下記手順に従い、root権限昇格いたします。1.一般ユーザアカウントでSSHログインを行います。
2."admin"と入力します。
3.その後パスワードの入力が求められますのでsshログイン時に使用した一般ユーザアカウントのパスワードを入力します。
※ver12.x以上のOSをご利用の場合、3の手順は必要となりません。
質問8:HTTPサービスグループオブジェクト>エラーページ>ページ(ラジオボタン)上のエラーページの設定に関して制限はありますか?
回答:
存在します。下記が制限事項です。・CSS、Javascriptは参照できません。
・文字数の上限は4000バイトとなります
質問9: MX,GWに関してSSHログインをrootアカウントで行うことは可能でしょうか?
回答:
以下の設定により特定IPでのrootログインが可能となります。1.SSH接続にてMX/GWへログインし、"admin"コマンドを実行しrootへ昇格します。
2. 下記コマンドを実行しrootログイン可能IPを設定します。
# impctl hardening config --root-source-ip-exception=X.X.X.X
上記で許可したIPアドレスの削除につきましては、下記手順を実行します。
1. SSH接続にて機器(MX/GW)へ一般ユーザでログインし、"admin"コマンドにてroot権限へ遷移します。
2. /opt/SecureSphere/etc/bootstrap.xmlの
との間にある下記行を削除
X.X.X.X ←削除対象のIPアドレスが記載されている行
3. 編集を保存します。
4. 変更をてきようするため、下記コマンド実行によりOSの再起動を実施します。(ネットワーク断が発生)
# impctl platform reboot
質問10:管理サーバのデータ(設定情報,アラート情報)の取り込み/抽出へはどのような方法が存在しますか?
回答:
以下に記載する方法が存在します。・エクスポート方法 -- WAF設定情報(config情報)/アラート情報の抽出
1.管理サーバ(MX)のGUIのスケジューリングバックアップ機能を利用する。
2.管理サーバ(MX)のCLIよりコンフィグ情報生成コマンドを実行する。
・インポート方法(リストア方法) -- WAF設定情報(config情報)/アラート情報の設定復元
1.CLI(SSH/シリアルコンソール接続)でMXへ接続し、"admin"コマンドを実行し、root権限へ移行後下記コマンドを実行する。
# impctl server stop
# full_expimp.sh
※インポート(リストア)の実施ではMXプロセスが停止いたします。(上記stopコマンド該当)
※コンフィグエクスポート実施中、MXプロセスの停止は発生いたしません。
質問11: MX機器よりエクスポート、インポートされるデータはどういったデータでしょうか?
回答:
主に以下のデータでございます。・WAF設定情報(サイトツリー、保護対象IPアドレス、セキュリティポリシー、シグネチャ、プロファイリング情報(URL,パラメータ等学習結果)など)
・WAF機器GUI上で生成したレポートファイル
・アラート情報(CLIにてエクスポートした場合のみオプションとしてアラート有無を選択可)
コンフィグデータのインポート・エクスポートは以下の目的に有用です。
・機器障害発生時のWAF設定復元
質問12: CLIユーザのログイン履歴を保存する方法はありますか?
回答:
MX/GW共に存在いたします。以下の設定にて可能となります。※一例としましてMXでの設定を示しております。(GWも同様の設定でございます。)
※外部syslogサーバが適切にログ受信設定されていることを前提としております。
1. MXへ一般ユーザでCLIログインし、"admin"コマンドを実行しrootへ昇格します。
2. rsyslogの設定ファイルを開き、編集いたします。(/etc/rsyslog.conf)
3. 以下の行を追加いたします。
外部syslogサーバがUDPでlistenしている場合:
authpriv.* @<外部syslogのIP>:<外部syslogポート番号>
外部syslogサーバがTCPでlistenしている場合:
authpriv.* @@外部syslogのIP:<外部syslogポート番号>
4. 下記コマンドにより、MXのsyslogサーバを再起動させます。
# /etc/init.d/rsyslog restart
# systemctl restart rsyslog ※ver14.xOS移行は左記コマンドを実行します
5. MXへ一般ユーザでログインし、3で指定した外部syslogサーバへデータが転送されていることを確かめます。
【冗長】
質問1:IMPVHA(Bridge IMPVHA)冗長化とは何ですか?
回答:
WAF GW機器をL2透過型モード(bridgeモード)で導入した際の冗長化構成の名称となります。補足となりますが、GW機器L2透過型モードの冗長化構成としては、IMPVHA(Bridge IMPVHA)の他にBridge STPが存在します。
参考:
https://docs.imperva.com/bundle/v14.6-waf-administration-guide/page/58962.htm
【トラブル】
質問1:物理ポートがリンクがアップしません。WAF機器の異常、I/Fポート故障でしょうか?
回答:
お手数ですが、以下の手順にて物理ポートがリンクアップすることをご確認ください。CLI(SSH/コンソール接続)でログインし、"admin"コマンドにてroot権限へ移行し、下記手順を実行します。
# ifconfig -a
# ethtool <事象発生インターフェース名>
# ifconfig <事象発生インターフェース名> down
# ifconfig <事象発生インターフェース名> up
# ifconfig -a
# ethtool <事象発生インターフェース名>
リンクアップしない場合、下記コマンドを実行していただき、デバッグログを生成し、弊社サポートへご連絡ください。
・# impctl support get-tech-info --last-server-archives=5
※デバッグログファイルは/tmpディレクトリ以下へ、.zipファイル形式で生成されます。
また、下記詳細情報も併せてお知らせください。
・上記ifconfig~ethtoolのコマンド実行ログ
・OSバージョン情報
・パッチバージョン情報
・事象発生時間
質問2:GUIログインが接続中のまま、画面遷移しません。エラーは見受けられませんが対処方法はありますか?
回答:
既知の不具合の可能性があります。暫定的対策としまして、下記コマンドにてMXサーバプロセスの再起動で解決する可能性がございます。
下記詳細情報を弊社カスタマーサポートへお問い合わせください。
・OSバージョン
・パッチバージョン
・MX、クライアント間通信経路上でのプロキシサーバ利用の有無
・事象発生時間
・エラー画面のスクリーンショット
・MXのGTI(get-tech-info)ファイル
【TLS (SSL)】
質問1:メーカの推奨する暗号スイートはありますか?
回答:
メーカ側で設定を推奨する暗号スイートはございません。
質問2:利用中のWAFがサポートするTLS(SSL)暗号スイートリストへ存在しない暗号をWAF機器で利用したいと考えていますが、使用する方法は存在しますか?
回答:
ご利用OSでサポートされるTLS(SSL)暗号スイート以外の暗号スイートを使うことは不可となります。
ご利用されたい暗号スイートが上位OSバージョン等でサポートされている場合、OSのバージョンアップをご検討ください。
