ローカルWebサーバーを保護する

このオプションは、GNU/Linux OSの製品ディストリビューションでのみ使用できます。

Dr.Web for UNIX Internet Gatewaysがインストールされているのと同じホスト上で実行されているWebサーバーを保護するには、Dr.Web Firewall for Linuxコンポーネントを設定して、WebサーバーへのトラフィックがSpIDer Gateモニターでスキャンされるようにする必要があります。

このセクションの内容:

接続のリダイレクトを設定する

スキャン設定

接続のリダイレクトを設定する

Webサーバー保護を構成するには、Dr.Web Firewall for Linux設定のセクション(セクション[LinuxFirewall])で、設定ファイルのいくつかのパラメータ値を変更します。

パラメータ

必要な値

InspectHttp

On

AutoconfigureIptables

Yes

AutoconfigureRouting

Yes

LocalDeliveryMark

Auto

ClientPacketsMark

Auto

ServerPacketsMark

Auto

TproxyListenAddress

127.0.0.1:0

Dr.Web Firewall for Linuxの操作に特別なIPアドレスまたはポートを使用する場合は、ここで指定します

InputDivertEnable

Yes

InputDivertNfqueueNumber

Auto

InputDivertConnectTransparently

Yes

Dr.Web Firewall for Linux>の設定を表示および変更するには、次の方法を使用します。

コマンドラインベースの管理ツール - Dr.Web Ctl(drweb-ctl cfshowおよびdrweb-ctl cfsetコマンドを使用します)。

Dr.Web for UNIX Internet Gatewaysの管理Webインターフェース(デフォルトでは、Webブラウザからhttps://127.0.0.1:4443/にアクセスすると利用できます)。

次は、コマンドの例です。

# drweb-ctl cfset LinuxFirewall.InputDivertEnable Yes

Dr.Web Firewall for Linuxは次のように設定されます。受信接続を介して転送されたデータは、HTTPプロトコルが使用され、対応するInspectHttpパラメータ値がOnに設定されている場合に、SpIDer Gateによってスキャンされます。

HTTPSプロトコルを介して転送されたデータをスキャンするには、さらに次の手順を実行します。

次のコマンドを実行して対応するパラメータの値を指定することで、SSL/TLS経由で送信されるトラフィックのスキャンを有効にします

# drweb-ctl cfset LinuxFirewall.UnwrapSsl Yes

drweb-ctlツールのcfsetコマンドまたは管理Webインターフェースを使用することを推奨します。これらを使用した場合、スキャンルールが自動的に更新されるためです。スキャンルールはこのパラメータに依存します。

次のコマンドを実行して、Dr.Web for UNIX Internet Gatewaysが保護されたSSL/TLSチャネルに統合するために使用する証明書をエクスポートします(証明書をPEM形式で保存するために使用されるファイルの名前を指定する必要があります)。

$ drweb-ctl certificate > <cert_name>.pem

取得した証明書を信頼できる証明書のシステムリストに追加し、可能な場合には、それをWebクライアント(ブラウザ)およびWebサーバー用の信頼できる証明書として書き込みます。詳細は、付録E. SSL証明書を生成するセクションを参照してください。

スキャン設定

設定ファイルのDr.Web Firewall for Linuxの設定のセクション([LinuxFirewall]セクション)で次のパラメータを指定する必要があります。

1.転送データのスキャンパラメータ(ScanTimeoutHeuristicAnalysisPackerMaxLevelArchiveMaxLevelMailMaxLevelContainerMaxLevelMaxCompressionRatio)。これらのパラメータは、スキャンの長さとリソース強度を制限します。きめ細かい設定が不要な場合は、パラメータデータの値をデフォルトの状態にしておくことを推奨します。

2.不要なURLとコンテンツのブロックパラメータ。そのためには、対応するBlock*パラメータの値を設定します。

3.受信データをスキャンできない場合のSpIDer Gateの対応を定義するBlockUncheckedパラメータ値を設定します。

4.HTTPのフィルタリングルールをよりきめ細かく(さまざまな条件に基づいて)設定するには、Lua procedureまたはRuleSetルールを編集します。

すべての設定を調整したら、Dr.Web for UNIX Internet Gatewaysを再起動します(コマンドdrweb-ctl reloadを使用します)。設定デーモンDr.Web ConfigDを再起動することもできます(service drweb-configd restartコマンドを使用します)。