Imperva Cloud WAF FAQ
このページはImperva Cloud WAFに関してよくあるご質問とその回答を記載したページです。
1. サイト設定
2. WAF・Security
3. SSL
4. アカウント管理
1. サイト設定
1-1: Management Consoleからサイトを削除後、別のサイトを再登録しましたが、新しいサイトが表示されません。
最大24時間ほどかかる場合がございます。
サイト登録後しばらく時間を空けてから再度ご確認ください。
最終更新日:2022年3月30日
1-2:サーバのグローバルIPアドレスを変更します。Cloud WAFではどのような設定が必要ですか?
新しいIPアドレスを入力してください。
Save後直ちに新しいIPアドレスに通信が転送されます。
最終更新日:2022年3月30日
1-3:オリジンサーバとサイトの設定は同一のまま、管理コンソールのドメイン名を変更できますか。
またコンフィグもございませんので、パラメータシート等に設定を転写し、
改めてサイト登録・設定する必要がございます。
最終更新日:2020年1月24日
1-4:Origin and Network > General > DNSのOriginal DNS SettingsのIPアドレスが変更されません。
オリジンサーバのIP変更に応じて表示は更新されません。
最終更新日:2022年3月30日
1-5:カスタムエラーページの設定要件を教えてください。
(コメントアウト可能)。
なお日本語を含むページの場合は、文字化け対策のため<HTML lang=“ja”> および
<meta charset=“utf-8”> をソースコード内で明示してください(Shift_JIS不可)。
下記ドキュメントも併せてご確認ください。
https://docs.imperva.com/bundle/cloud-application-security/page/more/custom-error-pages.htm
最終更新日:2020年1月24日
1-6:WAF経由でCloud WAFに未登録のサイトに通信できますか。
別のドメインのDNSレコードに登録する方法です。ただし下記の注意点がございます。
①WAFからの転送先が、再利用するCNAMEが払い出されたサイトのオリジンサーバになる
②異なるドメインへのアクセスであっても統計情報が1サイトに集約される
③SSL通信の場合、対象ドメインがWAFに登録されている証明書でカバーされている必要がある
(できない場合はHTTP通信のみ可)
④Aレコード用のIPアドレスの再利用はサポート対象外
導入構成等詳しい情報はドキュメントをご確認ください。
https://docs.imperva.com/bundle/cloud-application-security/page/more/cname-reuse.htm
最終更新日:2020年1月24日
2. WAF・Security
2-1:どのようにWAFルールからの除外設定を行いますか?
例えば、SQLインジェクションルールからの除外設定を行う場合は、Management Consoleにログイン後
Applicationタブ > Websites > Websites Settings > WAF > SQL Injectionの左下にある
add exceptionをクリックします。
開いたウィンドウから、IP・Country・ユーザエージェント・URL・Client ID・HTTPパラメータといった
条件を組み合わせて設定可能です。
正規表現は使えませんが、URLのみワイルドカードが使用できます。
また、WAFルール移行後のアカウントの場合は、
Applicationタブ > WAF > WAF Policies > 任意のWAF RuleのMore > Edit > Configureタブの各攻撃カテゴリの [+Add Exception]から編集可能です。
なお、ACL・WAFルールすべてから特定の送信元の通信を除外したい場合は、
Applicationタブ > WAF > WAF PoliciesでWhitelistポリシーを作成し、サイトに適用してください。
最終更新日:2022年7月8日
2-2:DDos検知の条件は何ですか?
この際送信元の種類は問われません。Mitigation開始後に送信元がRequest Challengeを通過できなかった場合
Ddosと判定され、Management consoleのEvents pageに表示されます。
最終更新日:2020年1月24日
2-3:WAFに設定されているシグネチャやWAFで防御可能なCVEを確認することはできますか?
https://docs.imperva.com/bundle/cloud-application-security/page/cves.htm
最終更新日:2022年3月30日
2-4:レスポンスに挿入されるScriptタグの目的を教えてください。
クライアントに外部のスクリプトの実行を要求する場合がございます。
特定の数列の生成や特定文字を含んだファイルの作成など、
JSの求める動作を実行できた場合はブラウザと判定されます。
一方多くのBotの場合はJSをサポートしていないため上記のような動作を実行できません。
最終更新日:2020年11月18日
2-5:どのようにACLやWhitelistを設定しますか?
任意のサイトに適用します。
ポリシー編集画面の[Apply to assets]で複数適用先を指定することで
1つのポリシーを複数のサイトに適用することが可能です。
最終更新日:2022年3月30日
3. SSL
3-1:HTTPSでサイトにアクセスする場合に制約はありますか?
非対応の場合は、Incapsula Generated Certificate(SANS証明書)を利用していただくことで、
HTTPS通信が可能となります。
最終更新日:2020年1月24日
3-2: Imperva Generated Certificateの更新はどのように行えばよいですか?
ドメインの再認証が必要な場合は、Account Management > Notification Settingsの
Certificate Management Notificationのポリシーに指定されたメールアドレスに
メールで通知されます。
再認証には主にDNSにTXTレコードを追加する方法とドメイン管理者宛のEメールで認証する方法があります。
最終更新日:2022年3月30日
3-3: オリジンサーバの証明書を更新する場合はCloud WAFでどのような操作が必要となりますか?
(必要な場合はパスフレーズも)を登録する必要があります。
任意のサイト > Websites Settings > General > SSL Support > Custom CertificateのConfigureから
設定できます。
最終更新日:2022年3月30日
3-4: Cloud WAFでサポートしているCipher Suiteを教えてください。
(TLS1.0/1.1は有効化した場合のみ使用されます)。
https://docs.imperva.com/bundle/cloud-application-security/page/cipher-suites.htm
最終更新日:2022年3月30日
3-5: カスタム証明書の期限切れリマインダはいつ送信されますか?
最終更新日:2020年1月24日
3-6: nakedドメインのサイトを保護する場合は、www付きライセンスで保護対象となりますか。
最終更新日:2020年1月24日
3-7: どのように最小サポートTLSバージョンを変更しますか。
まず①Account Management > Account Settings > Support all TLS versionsにチェックを入れ、
つぎに②各サイトのOrigin and Network > GeneralのSupport all TLS versionsチェックを入れます。
なおTLS1.0/1.1を不許可に戻す場合はサイトのチェックのみ外してください。
変更時の注意点として
①nakedサイト用AレコードIPアドレスを使用している場合新しいIPが払い出されます。
②Imperva Generated Certificateを設定している場合はドメインの再認証が必要となります。
最終更新日:2022年3月30日
3-8: カスタム証明書作成時の注意点を教えてください。
サーバ証明書・中間証明書・ルート証明書の順で結合してください。
また、コモンネームもしくはSANフィールドでサイトのドメインをカバーしているかご確認ください。
例:サイト www.hoge.fuga.jpにアップロードできる証明書のCN/SAN
〇www.hoge.fuga.jp
〇*.hoge.fuga.jp
〇hoge.fuga.jp (ネイキッドサイトの場合)
×www.hoge.hoge.jp
×*.hoge.hoge.jp
×hoge.hoge.jp
×*.fuga.jp
その他の詳細な要件は下記でご確認いただけます。
https://docs.imperva.com/bundle/cloud-application-security/page/more/upload-ssl.htm
最終更新日:2022年7月8日
4. アカウント管理
4-1: 使用帯域はどちらで確認できますか?
最終更新日:2022年3月30日
4-2: ユーザの名前・メールアドレス・パスワードはどこで変更可能ですか。
User Management > My Profileに移動します。
Personal Detailsの任意の項目を編集しSaveします(メールアドレス変更の場合は認証メールが送信されます)。
またパスワードの変更は、Account Management > User Management > User > 任意のユーザ >
Actions > Reset Passwordをクリックした際に表示されるリンクからも可能です。
最終更新日:2022年3月30日
4-3: パスワード設定の要件とパスワード利用期間を教えてください。
パスワードは90日ごとに変更する必要がございます。
https://docs.imperva.com/bundle/cloud-application-security/page/password-policy.htm
最終更新日:2022年3月30日
- 1-1:Management Consoleからサイトを削除後、別のサイトを再登録しましたが、新しいサイトが表示されません。
- 1-2:サーバのグローバルIPアドレスを変更します。Cloud WAFではどのような設定が必要ですか?
- 1-3:オリジンサーバとサイトの設定は同一のまま、管理コンソールのドメイン名を変更できますか。
- 1-4:Origin and Network > General > DNSのOriginal DNS SettingsのIPアドレスが変更されません。
- 1-5:カスタムエラーページの設定要件を教えてください。
- 1-6:WAF経由でCloud WAFに未登録のサイトに通信できますか。
2. WAF・Security
- 2-1:どのようにWAFルールからの除外設定を行いますか?
- 2-2:DDos検知の条件は何ですか?
- 2-3:WAFに設定されているシグネチャやWAFで防御可能なCVEを確認することはできますか?
- 2-4:レスポンスに挿入されるScriptタグの目的を教えてください。
- 2-5:どのようにACLやWhitelistを設定しますか?
3. SSL
- 3-1: HTTPSでサイトにアクセスする場合に制約はありますか?
- 3-2: Imperva Generated Certificateの更新はどのように行えばよいですか?
- 3-3: オリジンサーバの証明書を更新する場合はCloud WAFでどのような操作が必要となりますか?
- 3-4: Cloud WAFでサポートしているCipher Suiteを教えてください。
- 3-5: カスタム証明書の期限切れリマインダはいつ送信されますか?
- 3-6: nakedドメインのサイトを保護する場合は、www付きライセンスで保護対象となりますか。
- 3-7: どのように最小サポートTLSバージョンを変更しますか。
- 3-8: カスタム証明書作成時の注意点を教えてください。
4. アカウント管理
1. サイト設定
1-1: Management Consoleからサイトを削除後、別のサイトを再登録しましたが、新しいサイトが表示されません。
回答:
DNSに古いレコードが残存しているため、新サイトのレコードに書き換わるのに最大24時間ほどかかる場合がございます。
サイト登録後しばらく時間を空けてから再度ご確認ください。
最終更新日:2022年3月30日
1-2:サーバのグローバルIPアドレスを変更します。Cloud WAFではどのような設定が必要ですか?
回答:
Mamegement Consoleにログイン後、 任意のサイト>Websites Settings>Origin ServersのOrigin Server IPに新しいIPアドレスを入力してください。
Save後直ちに新しいIPアドレスに通信が転送されます。
最終更新日:2022年3月30日
1-3:オリジンサーバとサイトの設定は同一のまま、管理コンソールのドメイン名を変更できますか。
回答:
恐れ入りますが、ドメイン名の変更はできません。またコンフィグもございませんので、パラメータシート等に設定を転写し、
改めてサイト登録・設定する必要がございます。
最終更新日:2020年1月24日
1-4:Origin and Network > General > DNSのOriginal DNS SettingsのIPアドレスが変更されません。
回答:
この項目はあくまでもレファレンス機能であり、サイト登録時のIPアドレス/CNAMEが表示されます。オリジンサーバのIP変更に応じて表示は更新されません。
最終更新日:2022年3月30日
1-5:カスタムエラーページの設定要件を教えてください。
回答:
カスタムエラーページのソースコードには$TITLE$および$BODY$プレースホルダが必須となります(コメントアウト可能)。
なお日本語を含むページの場合は、文字化け対策のため<HTML lang=“ja”> および
<meta charset=“utf-8”> をソースコード内で明示してください(Shift_JIS不可)。
下記ドキュメントも併せてご確認ください。
https://docs.imperva.com/bundle/cloud-application-security/page/more/custom-error-pages.htm
最終更新日:2020年1月24日
1-6:WAF経由でCloud WAFに未登録のサイトに通信できますか。
回答:
CNAME reuseという方法で可能です。すでに払い出されているCNAMEを別のドメインのDNSレコードに登録する方法です。ただし下記の注意点がございます。
①WAFからの転送先が、再利用するCNAMEが払い出されたサイトのオリジンサーバになる
②異なるドメインへのアクセスであっても統計情報が1サイトに集約される
③SSL通信の場合、対象ドメインがWAFに登録されている証明書でカバーされている必要がある
(できない場合はHTTP通信のみ可)
④Aレコード用のIPアドレスの再利用はサポート対象外
導入構成等詳しい情報はドキュメントをご確認ください。
https://docs.imperva.com/bundle/cloud-application-security/page/more/cname-reuse.htm
最終更新日:2020年1月24日
2. WAF・Security
2-1:どのようにWAFルールからの除外設定を行いますか?
回答:
Cloud WAFでは各WAFルールごとに除外設定が可能です。例えば、SQLインジェクションルールからの除外設定を行う場合は、Management Consoleにログイン後
Applicationタブ > Websites > Websites Settings > WAF > SQL Injectionの左下にある
add exceptionをクリックします。
開いたウィンドウから、IP・Country・ユーザエージェント・URL・Client ID・HTTPパラメータといった
条件を組み合わせて設定可能です。
正規表現は使えませんが、URLのみワイルドカードが使用できます。
また、WAFルール移行後のアカウントの場合は、
Applicationタブ > WAF > WAF Policies > 任意のWAF RuleのMore > Edit > Configureタブの各攻撃カテゴリの [+Add Exception]から編集可能です。
なお、ACL・WAFルールすべてから特定の送信元の通信を除外したい場合は、
Applicationタブ > WAF > WAF PoliciesでWhitelistポリシーを作成し、サイトに適用してください。
最終更新日:2022年7月8日
2-2:DDos検知の条件は何ですか?
回答:
Security ruleのDDos対策でadvancedを設定している場合は、設定した閾値以上のリクエストがPOPに到達した場合mitigationが開始されます。この際送信元の種類は問われません。Mitigation開始後に送信元がRequest Challengeを通過できなかった場合
Ddosと判定され、Management consoleのEvents pageに表示されます。
最終更新日:2020年1月24日
2-3:WAFに設定されているシグネチャやWAFで防御可能なCVEを確認することはできますか?
回答:
下記メーカのドキュメントページから、対応済みCVEをご確認いただけます。https://docs.imperva.com/bundle/cloud-application-security/page/cves.htm
最終更新日:2022年3月30日
2-4:レスポンスに挿入されるScriptタグの目的を教えてください。
回答:
Cloud WAFではクライアントがBotかブラウザかを識別するためクライアントに外部のスクリプトの実行を要求する場合がございます。
特定の数列の生成や特定文字を含んだファイルの作成など、
JSの求める動作を実行できた場合はブラウザと判定されます。
一方多くのBotの場合はJSをサポートしていないため上記のような動作を実行できません。
最終更新日:2020年11月18日
2-5:どのようにACLやWhitelistを設定しますか?
回答:
Applicationタブ > WAF > WAF Policiesの[Create Policy]でポリシーを作成し任意のサイトに適用します。
ポリシー編集画面の[Apply to assets]で複数適用先を指定することで
1つのポリシーを複数のサイトに適用することが可能です。
最終更新日:2022年3月30日
3. SSL
3-1:HTTPSでサイトにアクセスする場合に制約はありますか?
回答:
ブラウザがSNI対応である必要がございます。非対応の場合は、Incapsula Generated Certificate(SANS証明書)を利用していただくことで、
HTTPS通信が可能となります。
最終更新日:2020年1月24日
3-2: Imperva Generated Certificateの更新はどのように行えばよいですか?
回答:
通常は失効期限が近づきますと自動で更新されます。ドメインの再認証が必要な場合は、Account Management > Notification Settingsの
Certificate Management Notificationのポリシーに指定されたメールアドレスに
メールで通知されます。
再認証には主にDNSにTXTレコードを追加する方法とドメイン管理者宛のEメールで認証する方法があります。
最終更新日:2022年3月30日
3-3: オリジンサーバの証明書を更新する場合はCloud WAFでどのような操作が必要となりますか?
回答:
お客様のカスタム証明書を更新する場合は、Management Consoleから新たな証明書と秘密鍵(必要な場合はパスフレーズも)を登録する必要があります。
任意のサイト > Websites Settings > General > SSL Support > Custom CertificateのConfigureから
設定できます。
最終更新日:2022年3月30日
3-4: Cloud WAFでサポートしているCipher Suiteを教えてください。
回答:
CloudWAFでは2022年3月時点で下記URL記載のCipher suiteを採用しております(TLS1.0/1.1は有効化した場合のみ使用されます)。
https://docs.imperva.com/bundle/cloud-application-security/page/cipher-suites.htm
最終更新日:2022年3月30日
3-5: カスタム証明書の期限切れリマインダはいつ送信されますか?
回答:
失効の30日前にAccount Adminに送信されます。最終更新日:2020年1月24日
3-6: nakedドメインのサイトを保護する場合は、www付きライセンスで保護対象となりますか。
回答:
保護対象となります。最終更新日:2020年1月24日
3-7: どのように最小サポートTLSバージョンを変更しますか。
回答:
最小サポートTLSバージョンをTLS1.0/1.1にしたい場合、まず①Account Management > Account Settings > Support all TLS versionsにチェックを入れ、
つぎに②各サイトのOrigin and Network > GeneralのSupport all TLS versionsチェックを入れます。
なおTLS1.0/1.1を不許可に戻す場合はサイトのチェックのみ外してください。
変更時の注意点として
①nakedサイト用AレコードIPアドレスを使用している場合新しいIPが払い出されます。
②Imperva Generated Certificateを設定している場合はドメインの再認証が必要となります。
最終更新日:2022年3月30日
3-8: カスタム証明書作成時の注意点を教えてください。
回答:
フルチェーンの証明書をご用意していただく必要がございます。サーバ証明書・中間証明書・ルート証明書の順で結合してください。
また、コモンネームもしくはSANフィールドでサイトのドメインをカバーしているかご確認ください。
例:サイト www.hoge.fuga.jpにアップロードできる証明書のCN/SAN
〇www.hoge.fuga.jp
〇*.hoge.fuga.jp
〇hoge.fuga.jp (ネイキッドサイトの場合)
×www.hoge.hoge.jp
×*.hoge.hoge.jp
×hoge.hoge.jp
×*.fuga.jp
その他の詳細な要件は下記でご確認いただけます。
https://docs.imperva.com/bundle/cloud-application-security/page/more/upload-ssl.htm
最終更新日:2022年7月8日
4. アカウント管理
4-1: 使用帯域はどちらで確認できますか?
回答:
Management ConsoleのAccount Management > Usage Reportからご確認いただけます。最終更新日:2022年3月30日
4-2: ユーザの名前・メールアドレス・パスワードはどこで変更可能ですか。
回答:
変更したいユーザでログイン後、管理コンソール右上の人型アイコン > Account Management >User Management > My Profileに移動します。
Personal Detailsの任意の項目を編集しSaveします(メールアドレス変更の場合は認証メールが送信されます)。
またパスワードの変更は、Account Management > User Management > User > 任意のユーザ >
Actions > Reset Passwordをクリックした際に表示されるリンクからも可能です。
最終更新日:2022年3月30日
4-3: パスワード設定の要件とパスワード利用期間を教えてください。
回答:
8文字以上で英字(大・小文字両方)、数字、記号が含まれている必要がございます。パスワードは90日ごとに変更する必要がございます。
https://docs.imperva.com/bundle/cloud-application-security/page/password-policy.htm
最終更新日:2022年3月30日
免責:本サポートサイトの技術情報は製品の仕様変更により変更となる場合がございます。
