Citrix ADC VPX on AWS-Bereitstellungshandbuch

Übersicht

Citrix ADC ist eine Lösung für die Anwendungsbereitstellung und den Lastausgleich, die eine qualitativ hochwertige Benutzererfahrung für Web-, herkömmliche und Cloud-native Anwendungen bietet, unabhängig davon, wo sie gehostet werden. Es ist in einer Vielzahl von Formfaktoren und Bereitstellungsoptionen erhältlich, ohne Benutzer an eine einzige Konfiguration oder Cloud zu binden. Die gepoolte Kapazitätslizenzierung ermöglicht die Verschiebung von Kapazität zwischen Cloud-Bereitstellungen.

Als unbestrittener Marktführer bei der Bereitstellung von Diensten und Anwendungen wird Citrix ADC in Tausenden von Netzwerken auf der ganzen Welt eingesetzt, um die Bereitstellung aller Unternehmens- und Cloud-Services zu optimieren, zu sichern und zu steuern. Citrix ADC wird direkt vor Web- und Datenbankservern bereitgestellt und kombiniert High-Speed-Load Balancing und Content-Switching, HTTP-Komprimierung, Content-Caching, SSL-Beschleunigung, Transparenz des Anwendungsflusses und eine leistungsstarke Anwendungs-Firewall zu einer integrierten, benutzerfreundlichen Plattform. Die Erfüllung von SLAs wird durch eine durchgängige Überwachung erheblich vereinfacht, die Netzwerkdaten in umsetzbare Business Intelligence umwandelt. Citrix ADC ermöglicht die Definition und Verwaltung von Richtlinien mithilfe einer einfachen deklarativen Policy-Engine ohne Programmierkenntnisse.

Citrix ADC VPX

Das Citrix ADC VPX VPX-Produkt ist eine virtuelle Appliance, die auf einer Vielzahl von Virtualisierungs- und Cloud-Plattformen gehostet werden kann.

Dieser Bereitstellungshandbuch konzentriert sich auf Citrix ADC VPX in Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) ist eine umfassende, sich weiterentwickelnde Cloud-Computing-Plattform von Amazon, die eine Mischung aus Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Softwarepaketen als Service (SaaS) umfasst. AWS-Services bieten Tools wie Rechenleistung, Datenbankspeicher und Content Delivery Services.

AWS bietet die folgenden wichtigen Services an:

• AWS-Rechenservices

• Migrations-Dienste

• Speicher

• Datenbank-Dienste

• Management-Tools

• Sicherheits-Services

• Analytics

• Netzwerke

• Nachrichten

• Entwickler-Tools

• Mobile Dienste

AWS-Terminologie

Im Folgenden finden Sie eine kurze Beschreibung der wichtigsten Begriffe, die in diesem Dokument verwendet werden und mit denen die Benutzer vertraut sein müssen:

• Elastic Network Interface (ENI) — Eine virtuelle Netzwerkschnittstelle, die Benutzer an eine Instanz in einer Virtual Private Cloud (VPC) anhängen können.

• Elastic IP (EIP) -Adresse — Eine statische, öffentliche IPv4-Adresse, die Benutzer in Amazon EC2 oder Amazon VPC zugewiesen und dann an eine Instance angehängt haben. Elastic IP-Adressen sind mit Benutzerkonten verknüpft, nicht mit einer bestimmten Instanz. Sie sind elastisch, da Benutzer sie einfach zuweisen, anhängen, trennen und freigeben können, wenn sich ihre Anforderungen ändern.

• Subnetz — Ein Segment des IP-Adressbereichs einer VPC, mit dem EC2-Instances verbunden werden können. Benutzer können Subnetze erstellen, um Instanzen entsprechend den Sicherheits- und Betriebsanforderungen zu gruppieren.

• Virtual Private Cloud (VPC) — Ein Webservice für die Bereitstellung eines logisch isolierten Abschnitts der AWS-Cloud, in dem Benutzer AWS-Ressourcen in einem von ihnen definierten virtuellen Netzwerk starten können.

Im Folgenden finden Sie eine kurze Beschreibung anderer in diesem Dokument verwendeter Begriffe, mit denen Benutzer vertraut sein sollten:

• Amazon Machine Image (AMI) — Ein Maschinenimage, das die Informationen liefert, die zum Starten einer Instance erforderlich sind, bei der es sich um einen virtuellen Server in der Cloud handelt.

• Elastic Block Store — Stellt persistente Blockspeicher-Volumes zur Verwendung mit Amazon EC2 EC2-Instances in der AWS-Cloud bereit.

• Simple Storage Service (S3) — Speicher für das Internet. Es wurde entwickelt, um Web-Scale-Computing für Entwickler einfacher zu machen.

• Elastic Compute Cloud (EC2) — Ein Webservice, der sichere, skalierbare Rechenkapazität in der Cloud bereitstellt. Es wurde entwickelt, um Web-basierte Cloud Computing für Entwickler einfacher zu machen.

• Elastic Kubernetes Service (EKS) — Amazon EKS ist ein Managed Service, der es Benutzern erleichtert, Kubernetes auf AWS auszuführen, ohne dass sie aufstehen oder ihre eigene Kubernetes-Steuerebene warten müssen… Amazon EKS führt Kubernetes-Steuerebeneninstanzen über mehrere Availability Zones hinweg aus, um eine hohe Amazon EKS ist ein Managed Service, der es Benutzern erleichtert, Kubernetes auf AWS auszuführen, ohne ihre eigenen Kubernetes-Cluster installieren und betreiben zu müssen.

• Application Load Balancing (ALB) — Amazon ALB arbeitet auf Layer 7 des OSI-Stacks und wird daher eingesetzt, wenn Benutzer Datenverkehr basierend auf Elementen der HTTP- oder HTTPS-Verbindung, ob hostbasiert oder pfadbasiert, weiterleiten oder auswählen möchten. Die ALB-Verbindung ist kontextbezogen und kann direkte Anforderungen haben, die auf einer einzelnen Variablen basieren. Anwendungen werden aufgrund ihres besonderen Verhaltens nicht nur anhand von Serverinformationen (Betriebssystem oder Virtualisierungsebene) mit einem Lastausgleich versehen.

• Elastic Load Balancing (ALB/ELB/NLB) — Amazon ELB verteilt eingehenden Anwendungsdatenverkehr über mehrere EC2-Instances in mehreren Availability Zones. Dies erhöht die Fehlertoleranz von Benutzeranwendungen.

• Network Load Balancing (NLB) — Amazon NLB arbeitet auf Layer 4 des OSI-Stacks und darunter und ist nicht darauf ausgelegt, irgendetwas auf Andwendungslayer wie Inhaltstyp, Cookie-Daten, benutzerdefinierte Header, Benutzerstandort oder Anwendungsverhalten zu berücksichtigen. Es ist kontextlos und kümmert sich nur um die Netzwerkschichtinformationen, die in den Paketen enthalten sind, die es leitet. Es verteilt den Datenverkehr basierend auf Netzwerkvariablen wie IP-Adresse und Zielports.

• Instance-Typ — Amazon EC2 bietet eine große Auswahl an Instance-Typen, die für unterschiedliche Anwendungsfälle optimiert sind. Instance-Typen umfassen unterschiedliche Kombinationen von CPU-, Arbeitsspeicher-, Speicher- und Netzwerkkapazität und bieten Benutzern die Flexibilität, den geeigneten Ressourcenmix für ihre Anwendungen auszuwählen.

• Identity and Access Management (IAM) — Eine AWS-Identität mit Berechtigungsrichtlinien, die festlegen, was die Identität in AWS tun kann und was nicht. Benutzer können eine IAM-Rolle verwenden, um Anwendungen, die auf einer EC2-Instance ausgeführt werden, einen sicheren Zugriff auf ihre AWS-Ressourcen zu ermöglichen. Die IAM-Rolle ist erforderlich, um VPX-Instanzen in einem Hochverfügbarkeits-Setup bereitzustellen.

• Internet-Gateway — Verbindet ein Netzwerk mit dem Internet. Benutzer können den Datenverkehr für IP-Adressen außerhalb ihrer VPC an das Internet-Gateway weiterleiten.

• Schlüsselpaar — Eine Reihe von Sicherheitsanmeldeinformationen, mit denen Benutzer ihre Identität elektronisch nachweisen können. Ein Schlüsselpaar besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel.

• Routing-Tabelle — Eine Reihe von Routing-Regeln, die den Datenverkehr steuern, der jedes Subnetz verlässt, das mit der Routing-Tabelle verknüpft ist. Benutzer können mehrere Subnetze mit einer einzigen Routing-Tabelle verknüpfen, aber ein Subnetz kann jeweils nur einer Routing-Tabelle zugeordnet werden.

• Auto Scale Groups — Ein Webservice zum automatischen Starten oder Beenden von Amazon EC2 EC2-Instances basierend auf benutzerdefinierten Richtlinien, Zeitplänen und Integritätsprüfungen.

• CloudFormation — Ein Service zum Schreiben oder Ändern von Vorlagen, der verwandte AWS-Ressourcen zusammen als Einheit erstellt und löscht.

• Web Application Firewall (WAF) — WAF ist als Sicherheitslösung definiert, die die Webanwendungsebene im OSI-Netzwerkmodell schützt. Eine WAF ist nicht von der Anwendung abhängig, die sie schützt. Dieses Dokument konzentriert sich auf die Darstellung und Bewertung der Sicherheitsmethoden und -funktionen, die speziell von Citrix WAF bereitgestellt werden.

• Bot — Bot ist definiert als ein autonomes Gerät, Programm oder eine Software in einem Netzwerk (insbesondere im Internet), das mit Computersystemen oder Benutzern interagieren kann, um Befehle auszuführen, auf Nachrichten zu antworten oder Routineaufgaben auszuführen. Ein Bot ist ein Softwareprogramm im Internet, das sich wiederholende Aufgaben ausführt. Einige Bots können gut sein, während andere große negative Auswirkungen auf eine Website oder Anwendung haben können.

Beispiel für eine Citrix WAF auf AWS-Architektur

Das vorherige Bild zeigt eine Virtual Private Cloud (VPC) mit Standardparametern, die eine Citrix WAF-Umgebung in der AWS-Cloud aufbaut.

In einer Produktionsbereitstellung werden die folgenden Parameter für die Citrix WAF-Umgebung eingerichtet:

• Diese Architektur setzt die Verwendung einer AWS CloudFormation CloudFormation-Vorlage und einer AWS-Schnellstartanleitung voraus, die Sie hier finden: GitHub/AWS-QuickStart/QuickStart-Citrix-ADC-VPX.

• Eine VPC, die sich über zwei Availability Zones erstreckt und gemäß den Best Practices von AWS mit zwei öffentlichen und vier privaten Subnetzen konfiguriert ist, um Ihnen Ihr eigenes virtuelles Netzwerk auf AWS mit einem /16 Classless Inter-Domain Routing (CIDR) -Block (ein Netzwerk mit 65.536 privaten IP-Adressen) zur Verfügung zu stellen. . *

• Zwei Instanzen von Citrix WAF (primär und sekundär), eine in jeder Availability Zone.

• Drei Sicherheitsgruppen, eine für jede Netzwerkschnittstelle (Management, Client, Server), die als virtuelle Firewalls dienen, um den Datenverkehr für die zugehörigen Instanzen zu steuern.

• Drei Subnetzefür jede Instanz - eines für die Verwaltung, eines für den Client und eines für den Back-End-Server.

• Ein Internet-Gateway, das mit der VPC verbunden ist, und eine Routing-Tabelle für öffentliche Subnetze, die öffentlichen Subnetzen zugeordnet ist, um den Zugriff auf das Internet zu ermöglichen. Dieses Gateway wird vom WAF-Host zum Senden und Empfangen von Datenverkehr verwendet. Weitere Informationen zu Internet-Gateways finden Sie unter: Internet-Gateways. *

• 5 Routing-Tabellen- eine öffentliche Routing-Tabelle, die mit Client-Subnetzen sowohl der primären als auch der sekundären WAF verknüpft ist. Die verbleibenden 4 Routing-Tabellen sind mit jedem der 4 privaten Subnetze verknüpft (Management- und serverseitige Subnetze der primären und sekundären WAF) . *

• AWS Lambda in WAF kümmert sich um Folgendes:

  • Konfiguration von zwei WAF in jeder Availability Zone des HA-Modus

  • Erstellen eines WAF-Beispielprofils und damit Pushen dieser Konfiguration in Bezug auf WAF

• AWS Identity and Access Management (IAM) zur sicheren Kontrolle des Zugriffs auf AWS-Services und -Ressourcen für Ihre Benutzer. Standardmäßig erstellt das CloudFormation Template (CFT) die erforderliche IAM-Rolle. Benutzer können jedoch ihre eigene IAM-Rolle für Citrix ADC ADC-Instanzen bereitstellen.

• In den öffentlichen Subnetzen zwei verwaltete Network Address Translation (NAT) -Gateways, um ausgehenden Internetzugriff für Ressourcen in öffentlichen Subnetzen zu ermöglichen.

Hinweis:

Die CFT-WAF-Vorlage, die die Citrix WAF in einer vorhandenen VPC bereitstellt, überspringt die mit Sternchen markierten Komponenten und fordert Benutzer zur Eingabe ihrer vorhandenen VPC-Konfiguration auf.

Backend-Server werden von der CFT nicht bereitgestellt.

Logischer Ablauf von Citrix WAF auf AWS

Logischer Ablauf

Die Web Application Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, normalerweise hinter dem Router oder der Firewall des Kundenunternehmens. Es muss an einem Ort installiert werden, an dem es den Datenverkehr zwischen den Webservern, die Benutzer schützen möchten, und dem Hub oder Switch abfangen kann, über den Benutzer auf diese Webserver zugreifen. Die Benutzer konfigurieren das Netzwerk dann so, dass Anforderungen an die Web Application Firewall anstatt direkt an ihre Webserver und Antworten an die Web Application Firewall anstatt direkt an ihre Benutzer gesendet werden. Die Web Application Firewall filtert diesen Datenverkehr, bevor sie ihn an sein endgültiges Ziel weiterleitet. Dabei werden sowohl der interne Regelsatz als auch die Benutzerergänzungen und -änderungen verwendet. Es blockiert oder macht harmlos alle Aktivitäten, die es als schädlich erkennt, und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Das vorhergehende Bild bietet einen Überblick über den Filtervorgang.

Hinweis:

Das Diagramm lässt die Anwendung einer Richtlinie auf eingehenden Datenverkehr aus. Es zeigt eine Sicherheitskonfiguration, in der die Richtlinie alle Anforderungen verarbeiten soll. Außerdem wurde in dieser Konfiguration ein Signaturobjekt konfiguriert und dem Profil zugeordnet, und Sicherheitsprüfungen wurden im Profil konfiguriert.

Wie das Diagramm zeigt, prüft die Web Application Firewall, wenn ein Benutzer eine URL auf einer geschützten Website anfordert, zuerst die Anfrage, um sicherzustellen, dass sie nicht mit einer Signatur übereinstimmt. Wenn die Anforderung mit einer Signatur übereinstimmt, zeigt die Web Application Firewall entweder das Fehlerobjekt an (eine Webseite, die sich auf der Web Application Firewall Appliance befindet und die Benutzer mithilfe der Importfunktion konfigurieren können) oder leitet die Anfrage an die angegebene Fehler-URL (die Fehlerseite) weiter.

Wenn eine Anforderung die Signaturprüfung besteht, führt die Web Application Firewall die aktivierten Sicherheitsüberprüfungen der Anforderung durch. Die Sicherheitsüberprüfungen der Anfrage stellen sicher, dass die Anfrage für die Website oder den Webservice des Benutzers geeignet ist und kein Material enthält, das eine Bedrohung darstellen könnte. Beispielsweise untersuchen Sicherheitsprüfungen die Anforderung auf Zeichen, die darauf hindeuten, dass es sich um einen unerwarteten Typ handelt, unerwarteten Inhalt anfordern oder unerwartete und möglicherweise bösartige Webformulardaten, SQL-Befehle oder Skripts enthalten. Wenn die Anforderung eine Sicherheitsüberprüfung nicht besteht, bereinigt die Web Application Firewall die Anfrage entweder und sendet sie dann zurück an die Citrix ADC Appliance (oder die virtuelle Citrix ADC Appliance) oder zeigt das Fehlerobjekt an. Wenn die Anforderung die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die jede andere Verarbeitung abschließt und die Anforderung an den geschützten Webserver weiterleitet.

Wenn die Website oder der Webdienst eine Antwort an den Benutzer sendet, wendet die Web Application Firewall die aktivierten Sicherheitsüberprüfungen für Antworten an. Die Sicherheitsüberprüfungen untersuchen die Reaktion auf Lecks sensibler privater Informationen, Anzeichen von Verunstaltung der Website oder anderen Inhalten, die nicht vorhanden sein sollten. Wenn die Antwort eine Sicherheitsüberprüfung nicht besteht, entfernt die Web Application Firewall entweder den Inhalt, der nicht vorhanden sein sollte, oder blockiert die Antwort. Wenn die Antwort die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die sie an den Benutzer weiterleitet.

Kosten und Lizenzierung

Die Benutzer sind für die Kosten der AWS-Services verantwortlich, die bei der Ausführung von AWS-Bereitstellungen verwendet werden. Die AWS CloudFormation CloudFormation-Vorlagen, die für diese Bereitstellung verwendet werden können, enthalten Konfigurationsparameter, die Benutzer bei Bedarf anpassen können. Einige dieser Einstellungen, wie der Instance-Typ, wirken sich auf die Bereitstellungskosten aus. Kostenvoranschläge finden Sie auf den Preisseiten für jeden von ihnen verwendeten AWS-Service. Die Preise können sich ändern.

Für eine Citrix ADC WAF in AWS ist eine Lizenz erforderlich. Um Citrix WAF zu lizenzieren, müssen Benutzer den Lizenzschlüssel in einen S3-Bucket legen und seinen Speicherort angeben, wenn sie die Bereitstellung starten.

Hinweis:

Wenn Benutzer das Lizenzmodell Bring Your Own License (BYOL) wählen, sollten sie sicherstellen, dass sie eine AppFlow-Funktion aktiviert haben. Weitere Informationen zur BYOL-Lizenzierung finden Sie unter: AWS Marketplace/Citrix ADC VPX — Customer Licensed.

Die folgenden Lizenzierungsoptionen sind für Citrix ADC WAF verfügbar, die auf AWS ausgeführt werden. Benutzer können ein AMI (Amazon Machine Image) basierend auf einem einzigen Faktor wie dem Durchsatz auswählen.

• Lizenzmodell: Pay as You Go (PAYG, für die Produktionslizenzen) oder Bring Your Own License (BYOL, für das vom Kunden lizenzierte AMI - Citrix ADC Pooled Capacity). Weitere Informationen zur gepoolten Kapazität von Citrix ADC finden Sie unter: Citrix ADC Pooled Capacity.

  • Für BYOL gibt es 3 Lizenzierungsmodi:

    • Konfigurieren Sie gepoolte Citrix ADC-Kapazität: Konfigurieren Sie die gepoolte Citrix ADC-Kapazität

    • Citrix ADC VPX Check-In und Check-Out Lizenzierung (CICO): Citrix ADC VPX Check-In und Check-Out Lizenzierung

    Tipp:

    Wenn Benutzer sich für die CICO-Lizenzierung mit dem Anwendungsplattformtyp VPX-200, VPX-1000, VPX-3000, VPX-5000 oder VPX-8000 entscheiden, sollten sie sicherstellen, dass sie dieselbe Durchsatzlizenz auf ihrem ADM-Lizenzserver haben.

    • Citrix ADC virtuelle CPU-Lizenzierung: Citrix ADC virtuelle CPU-Lizenzierung

Hinweis:

Wenn Benutzer die Bandbreite einer VPX-Instanz dynamisch ändern möchten, sollten sie eine BYOL-Option wählen, z. B. die gepoolte Citrix ADC-Kapazität, mit der sie die Lizenzen von Citrix ADM zuweisen können, oder sie können die Lizenzen von Citrix ADC ADC-Instanzen gemäß dem minimale und maximale Kapazität der Instance bei Bedarf und ohne Neustart. Ein Neustart ist nur erforderlich, wenn Benutzer die Lizenzversion ändern möchten.

• Durchsatz: 200 Mbit/s oder 1 Gbit/s

• Paket: Premium

Optionen für die Bereitstellung

Dieser Bereitstellungshandbuch bietet zwei Bereitstellungsoptionen:

• Die erste Option ist die Bereitstellung mithilfe eines Schnellstarthandbuchformats und der folgenden Optionen:

  • Stellen Sie Citrix WAF in einer neuen VPC bereit (End-to-End-Bereitstellung). Diese Option erstellt eine neue AWS-Umgebung, die aus der VPC, Subnetzen, Sicherheitsgruppen und anderen Infrastrukturkomponenten besteht, und stellt dann Citrix WAF in dieser neuen VPC bereit.

  • Stellen Sie Citrix WAF in einer vorhandenen VPCbereit. Diese Option stellt Citrix WAF in der vorhandenen AWS-Infrastruktur des Benutzers bereit.

• Die zweite Option ist die Bereitstellung mithilfe von WAF StyleBooks mit Citrix ADM

Bereitstellungsschritte mithilfe einer Schnellstartanleitung

Schritt 1: Melden Sie sich beim AWS-Benutzerkonto an

• Melden Sie sich beim Benutzerkonto bei AWS: AWS mit einer IAM-Benutzerrolle (Identity and Access Management) an, die über die erforderlichen Berechtigungen verfügt, um ein Amazon-Konto (falls erforderlich) zu erstellen oder sich bei einem Amazon-Konto anzumelden.

• Verwenden Sie die Regionsauswahl in der Navigationsleiste, um die AWS-Region auszuwählen, in der Benutzer Hochverfügbarkeitszonen bereitstellen möchten.

• Stellen Sie sicher, dass das AWS-Benutzerkonto korrekt konfiguriert ist. Weitere Informationen finden Sie im Abschnitt Technische Anforderungen in diesem Dokument.

Schritt 2: Abonnieren Sie das Citrix WAF AMI

• Für diese Bereitstellung ist ein Abonnement des AMI für Citrix WAF im AWS Marketplace erforderlich.

• Melden Sie sich beim AWS-Benutzerkonto an.

• Öffnen Sie die Seite für das Citrix WAF-Angebot, indem Sie einen der Links in der folgenden Tabelle auswählen.

  • Wenn Benutzer in Schritt 3 unten die Schnellstartanleitung zur Bereitstellung von Citrix WAF starten, verwenden sie den Citrix WAF-Image-Parameter, um die Paket- und Durchsatzoption auszuwählen, die ihrem AMI-Abonnement entsprechen. Die folgende Liste zeigt die AMI-Optionen und die entsprechenden Parametereinstellungen. Die VPX AMI-Instanz benötigt mindestens 2 virtuelle CPUs und 2 GB Arbeitsspeicher.

Hinweis:

Informationen zum Abrufen der AMI-ID finden Sie auf der Seite Citrix Products on AWS Marketplace auf GitHub: Citrix Products on AWS Marketplace.

• AWS Marketplace AMI

  • Citrix Web Application Firewall (WAF) — 200 Mbit/s: Citrix Web App Firewall (WAF) — 200 Mbit/s

  • Citrix Web Application Firewall (WAF) — 1000 Mbit/s: Citrix Web App Firewall (WAF) — 1000 Mbit/s

• Wählen Sie auf der AMI-Seite Continue to Subscribe.

• Lesen Sie sich die Allgemeinen Geschäftsbedingungen für die Softwarenutzung durch und wählen Sie dann Nutzungsbedingungen akzeptieren.

Hinweis:

Benutzer erhalten eine Bestätigungsseite und eine E-Mail-Bestätigung wird an den Kontoinhaber gesendet. Detaillierte Anweisungen zum Abonnement finden Sie unter Erste Schritte in der AWS Marketplace Marketplace-Dokumentation: Erste Schritte.

• Wenn der Abonnementprozess abgeschlossen ist, verlassen Sie den AWS Marketplace ohne weitere Maßnahmen. Stellen Sie die Software nicht über AWS Marketplace bereit — Benutzer stellen das AMI mit der Schnellstartanleitung bereit.

Schritt 3: Schnellstartanleitung zur Bereitstellung des AMI starten

• Melden Sie sich beim AWS-Benutzerkonto an und wählen Sie eine der folgenden Optionen, um die AWS CloudFormation CloudFormation-Vorlage zu starten. Hilfe bei der Auswahl einer Option finden Sie weiter oben in diesem Handbuch unter Bereitstellungsoptionen.

  • Stellen Sie Citrix VPX mithilfe einer der AWS CloudFormation-Vorlagen in einer neuen VPC auf AWS bereit, die Sie hier finden:

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/Hochverfügbarkeit/Across-Availability-Zone

    • Citrix/Citrix-ADC-AWS-CloudFormation/Templates/Hochverfügbarkeit/Gleiche Availability-Zone

  • Stellen Sie Citrix WAF mithilfe der AWS-Schnellstart-Vorlage, die Sie hier finden, in einer neuen oder vorhandenen VPC auf AWS bereit: AWS-QuickStart/QuickStart-Citrix-ADC- WAF

Wichtig:

Wenn Benutzer Citrix WAF in einer vorhandenen VPC bereitstellen, müssen sie sicherstellen, dass sich ihre VPC über zwei Availability Zones erstreckt, mit einem öffentlichen und zwei privaten Subnetzen in jeder Availability Zone für die Workload-Instanzen, und dass die Subnetze nicht gemeinsam genutzt werden. Dieser Bereitstellungshandbuch unterstützt keine freigegebenen Subnetze. Weitere Informationen finden Sie unter Arbeiten mit gemeinsam genutzten VPCs: Arbeiten mit gemeinsam genutzten VPCs. Diese Subnetze benötigen NAT-Gateways in ihren Routing-Tabellen, damit die Instances Pakete und Software herunterladen können, ohne sie dem Internet auszusetzen. Weitere Informationen zu NAT-Gateways finden Sie unter: NAT Gateways. Konfigurieren Sie die Subnetze so, dass sich die Subnetze nicht überlappen.

Außerdem sollten Benutzer sicherstellen, dass die Domainnamenoption in den DHCP-Optionen so konfiguriert ist, wie in der Amazon VPC-Dokumentation beschrieben, die Sie hier finden: DHCP Options Sets: DHCP Options Sets. Benutzer werden aufgefordert, ihre VPC-Einstellungen einzugeben, wenn sie die Schnellstartanleitung starten.

• Jede Bereitstellung dauert etwa 15 Minuten.

• Überprüfen Sie die AWS-Region, die in der oberen rechten Ecke der Navigationsleiste angezeigt wird, und ändern Sie sie gegebenenfalls. Hier wird die Netzwerkinfrastruktur für Citrix WAF aufgebaut. Die Vorlage wird standardmäßig in der Region USA Ost (Ohio) eingeführt.

Hinweis:

Diese Bereitstellung umfasst Citrix WAF, das derzeit nicht in allen AWS-Regionen unterstützt wird. Eine aktuelle Liste der unterstützten Regionen finden Sie in den AWS Service Endpoints: AWS Service Endpoints.

• Behalten Sie auf der Seite Vorlage auswählen die Standardeinstellung für die Vorlagen-URL bei, und wählen Sie dann Weiter aus.

• Geben Sie auf der Seite Details angeben den Stack-Namen nach Benutzerkomfort an. Überprüfen Sie die Parameter für die Vorlage. Geben Sie Werte für die Parameter an, die eine Eingabe erfordern. Überprüfen Sie für alle anderen Parameter die Standardeinstellungen, und passen Sie sie nach Bedarf an.

• In der folgenden Tabelle werden die Parameter nach Kategorie aufgelistet und für die Bereitstellungsoption separat beschrieben:

• Parameter für die Bereitstellung von Citrix WAF in einer neuen oder vorhandenen VPC (Bereitstellungsoption 1)

• Wenn Benutzer die Überprüfung und Anpassung der Parameter abgeschlossen haben, sollten sie Weiter wählen.

Parameter für die Bereitstellung von Citrix WAF in einer neuen VPC

VPC-Netzwerkkonfiguration

Referenzinformationen zu dieser Bereitstellung finden Sie in der CFT-Vorlage hier: AWS-QuickStart/QuickStart-Citrix-ADC-WAF/Templates.

Bastion-Host-Konfiguration

Citrix-WAF-Konfiguration

Konfiguration der Pooled Lizenzierung

|**Parameter-Bezeichnung (Name)**|**Standard**|**Beschreibung**| |:—|:—|:—| |**ADM Pooled Lizenzierung**|Nein|Wenn Sie die BYOL-Option für die Lizenzierung wählen, wählen Sie in der Liste **Ja** aus. Auf diese Weise können Benutzer ihre bereits gekauften Lizenzen hochladen. Bevor Benutzer beginnen, sollten sie die gepoolte Kapazität von Citrix ADC konfigurieren, um sicherzustellen, dass die gepoolte ADM-Lizenzierung verfügbar ist. Siehe: Konfigurieren der gepoolten Citrix ADC-Kapazität .| |Erreichbare ADM/ADM Agent-IP|Eingabe erforderlich|Für die vom Kunden lizenzierte Option, ob Benutzer Citrix ADM auf- prem oder ein Agent in der Cloud, stellen Sie sicher, dass Sie eine erreichbare ADM-IP haben, die dann als Eingabeparameter verwendet wird. | |Lizenzmodus|Optional|Benutzer können aus den 3 Lizenzierungsmodi wählen:

• Konfigurieren Sie gepoolte Citrix ADC-Kapazität: Konfigurieren Sie die gepoolte Citrix ADC-Kapazität
• Citrix ADC VPX Check-In und Check-Out Lizenzierung (CICO): Citrix ADC VPX Check-In und Check-Out Lizenzierung
• Citrix ADC virtuelle CPU-Lizenzierung: Citrix ADC virtuelle CPU-Lizenzierung | | Lizenzbandbreitein Mbit/s|0 Mbit/s|Nur wenn der Lizenzierungsmodus Pooled-Lizenzierung ist, dann kommt dieses Feld ins Bild. Es weist eine anfängliche Bandbreite der Lizenz in Mbit/s zu, die nach der Erstellung von BYOL-ADCs zugewiesen werden soll. Es sollte ein Vielfaches von 10 Mbit/s sein. | |License Edition|Premium|License Edition für den Lizenzmodus für gepoolte Kapazität ist Premium| |Appliance-Plattformtyp|Optional|Wählen Sie den erforderlichen Appliance-Plattformtyp aus, nur wenn sich Benutzer für den CICO-Lizenzmodus entscheiden. Benutzer erhalten die aufgeführten Optionen: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000| |License Edition |Premium|License Editionfor vCPU-based Licensing is Premium.|

Konfiguration der AWS-Schnellstartanleitung

Hinweis:

Wir empfehlen Benutzern, die Standardeinstellungen für die beiden folgenden Parameter beizubehalten, es sei denn, sie passen die Vorlagen für die Schnellstartanleitung für ihre eigenen Bereitstellungsprojekte an. Wenn Sie die Einstellungen dieser Parameter ändern, werden die Code-Referenzen automatisch aktualisiert, sodass sie auf eine neue Position in der Schnellstartanleitung verweisen. Weitere Informationen finden Sie im AWS Quick Start Guide Contributor’s Guide hier: AWS Quick Starts/Option 1 — Adopt a Quick Start.

• Auf der Seite Optionen können Benutzer ein Ressourcen-Tag oder ein Schlüssel-Wert-Paar für Ressourcen in Ihrem Stack angeben und erweiterte Optionen festlegen. Weitere Informationen zu Ressourcen-Tags finden Sie unter: Ressourcen-Tag. Weitere Informationen zum Festlegen von AWS CloudFormation Stack-Optionen finden Sie unter: Setting AWS CloudFormation Stack Options. Wenn Benutzer fertig sind, sollten sie Weiterwählen.

• Überprüfen und bestätigen Sie auf der Seite Überprüfen die Vorlageneinstellungen. Aktivieren Sie unter Funktionendie beiden Kontrollkästchen, um zu bestätigen, dass die Vorlage IAM-Ressourcen erstellt und möglicherweise die Fähigkeit zum automatischen Erweitern von Makros erfordert.

• Wählen Sie Erstellen, um den Stack bereitzustellen.

• Überwachen Sie den Status des Stacks. Wenn der Status CREATE_COMPLETElautet, ist die Citrix WAF-Instanz bereit.

• Verwenden Sie die URLs, die auf der Registerkarte Ausgaben für den Stapel angezeigt werden, um die erstellten Ressourcen anzuzeigen.

Schritt 4: Testen der Bereitstellung

Wir bezeichnen die Instanzen in dieser Bereitstellung als primär und sekundär. Jeder Instanz sind unterschiedliche IP-Adressen zugeordnet. Wenn der Quick Start erfolgreich bereitgestellt wurde, durchläuft der Datenverkehr die primäre Citrix WAF-Instanz, die in Availability Zone 1 konfiguriert ist. Während der Failover-Bedingungen, wenn die primäre Instance nicht auf Clientanforderungen reagiert, übernimmt die sekundäre WAF-Instanz die Kontrolle.

Die Elastic IP-Adresse der virtuellen IP-Adresse der primären Instance wird auf die sekundäre Instance migriert, die als neue primäre Instanz übernimmt.

Im Failover-Prozess führt Citrix WAF Folgendes aus:

• Citrix WAF überprüft die virtuellen Server, an die IP-Sätze angeschlossen sind.

• Citrix WAF findet die IP-Adresse, der eine öffentliche IP-Adresse zugeordnet ist, aus den beiden IP-Adressen, auf denen der virtuelle Server hört. Eine, die direkt an den virtuellen Server angeschlossen ist, und eine, die über den IP-Satz angeschlossen ist.

• Citrix WAF ordnet die öffentliche Elastic IP-Adresse erneut der privaten IP-Adresse zu, die zur neuen primären virtuellen IP-Adresse gehört.

Gehen Sie wie folgt vor, um die Bereitstellung zu überprüfen:

• Mit der primären Instance verbinden

Zum Beispiel mit einem Proxy-Server, einem Jump-Host (einer Linux/Windows/FW-Instanz, die in AWS ausgeführt wird, oder dem Bastion-Host) oder einem anderen Gerät, das mit dieser VPC erreichbar ist, oder einem Direct Connect, wenn es um lokale Konnektivität geht.

• Führen Sie eine Auslöseaktion durch, um ein Failover zu erzwingen, und überprüfen Sie, ob die sekund

Tipp:

Um die Konfiguration in Bezug auf Citrix WAF weiter zu überprüfen, führen Sie den folgenden Befehl aus, nachdem Sie eine Verbindung zur primären Citrix WAF-Instanzhergestellt haben:

Sh appfw profile QS-Profile

Stellen Sie mit Bastion Host eine Verbindung zum Citrix WAF HA-Paar her

Wenn sich Benutzer für die Sandbox-Bereitstellung entscheiden (z. B. als Teil von CFT entscheiden sich Benutzer für die Konfiguration eines Bastion-Hosts), wird ein Linux-Bastion-Host, der in einem öffentlichen Subnetz bereitgestellt wird, für den Zugriff auf die WAF-Schnittstellen konfiguriert.

In der AWS CloudFormation CloudFormation-Konsole, auf die Sie durch Anmeldung zugreifen können: Melden Sie sich an, wählen Sie den Master-Stack und suchen Sie auf der Registerkarte Outputs den Wert von LinuxBastionHostIP1.

• Der Wert des SchlüsselsprivateManagementPrivatenSip und primaryAdcInstanceId, der in den späteren Schritten für SSH in den ADC verwendet werden soll.

• Wählen Sie Dienste.

• Wählen Sie auf der Registerkarte ComputeEC2aus.

  • Wählen Sie unter Ressourcendie Option Running Instances.

  • Notieren Sie sich auf der Registerkarte Beschreibung der primären WAF-Instanz die öffentliche IPv4-IP-Adresse . Benutzer benötigen diese IP-Adresse, um den SSH-Befehl zu erstellen.

• Führen Sie den Befehl aus, um den Schlüssel im Benutzer-Schlüsselbund zu speichern ssh-add -K [your-key-pair].pem

Unter Linux müssen Benutzer möglicherweise das -K Flag weglassen.

• Melden Sie sich mit dem folgenden Befehl beim Bastion-Host an und verwenden Sie dabei den Wert für LinuxBastionHostIP1, den Benutzer in Schritt 1 notiert haben.

ssh -A ubuntu@[LinuxBastionHostEIP1]

• Vom Bastion-Host aus können Benutzer mithilfe von SSH eine Verbindung zur primären WAF-Instanz herstellen.

ssh nsroot@[Primary Management Private NSIP]

Passwort: [Primäre ADC-Instanz-ID]

Jetzt sind Benutzer mit der primären Citrix WAF-Instanz verbunden. Um die verfügbaren Befehle anzuzeigen, können Benutzer den Befehl help ausführen. Um die aktuelle HA-Konfiguration anzuzeigen, können Benutzer den Befehl show HA node ausführen.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) bietet eine einfache und skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN -Appliances, die lokal bereitgestellt werden oder in der Cloud.

Benutzer können diese Cloud-Lösung verwenden, um die gesamte globale Infrastruktur für die Anwendungsbereitstellung von einer einzigen, einheitlichen und zentralisierten Cloud-basierten Konsole aus zu verwalten, zu überwachen und Fehler zu beheben. Citrix ADM Service bietet alle Funktionen, die zum schnellen Einrichten, Bereitstellen und Verwalten der Anwendungsbereitstellung in Citrix ADC Bereitstellungen erforderlich sind, sowie umfassende Analysen zu Anwendungsstatus, Leistung und Sicherheit.

Der Citrix ADM-Dienst bietet die folgenden Vorteile:

• Agil— Einfach zu bedienen, zu aktualisieren und zu nutzen. Das Servicemodell von Citrix ADM Service ist über die Cloud verfügbar, sodass die Funktionen von Citrix ADM Service einfach zu bedienen, zu aktualisieren und zu verwenden sind. Die Häufigkeit von Updates, kombiniert mit der automatisierten Update-Funktion, verbessert schnell die Citrix ADC ADC-Benutzerbereitstellung.

• Schnellere Amortisierungszeit— Schnellere Erreichung der Geschäftsziele. Im Gegensatz zur herkömmlichen on-premises Bereitstellung können Benutzer ihren Citrix ADM Service mit wenigen Klicks verwenden. Benutzer sparen nicht nur Installations- und Konfigurationszeit, sondern verschwenden auch Zeit und Ressourcen nicht mit potenziellen Fehlern.

• Multi-Site-Management— Ein Glasfenster für Instanzen in Rechenzentren mit mehreren Standorten. Mit dem Citrix ADM Service können Benutzer Citrix ADCs verwalten und überwachen, die sich in verschiedenen Bereitstellungstypen befinden. Benutzer haben eine zentrale Anlaufstelle für Citrix ADCs, die on-premises und in der Cloud bereitgestellt werden.

• Betriebseffizienz— Optimierte und automatisierte Methode zur Erzielung einer höheren Betriebsproduktivität. Mit dem Citrix ADM Service werden die Betriebskosten der Benutzer reduziert, indem dem Benutzer Zeit, Geld und Ressourcen bei der Wartung und Aktualisierung der traditionellen Hardwarebereitstellungen gespart werden.

Funktionsweise von Citrix ADM Service

Citrix ADM Service ist als Dienst in der Citrix Cloud verfügbar. Nachdem sich Benutzer bei Citrix Cloud angemeldet und den Dienst verwendet haben, installieren Sie Agenten in der Benutzernetzwerkumgebung oder initiieren Sie den integrierten Agenten in den Instanzen. Fügen Sie dann dem Dienst die Instanzen hinzu, die Benutzer verwalten möchten.

Ein Agent ermöglicht die Kommunikation zwischen dem Citrix ADM Service und den verwalteten Instanzen im Benutzerdatenzentrum. Der Agent sammelt Daten von den verwalteten Instanzen im Benutzernetzwerk und sendet sie an den Citrix ADM ADM-Dienst.

Wenn Benutzer dem Citrix ADM ADM-Dienst eine Instanz hinzufügen, fügt sie sich implizit selbst als Trap-Ziel hinzu und sammelt ein Inventar der Instanz.

Der Dienst sammelt Instanzdetails wie:

• Hostname

• Softwareversion

• Laufende und gespeicherte Konfiguration

• Zertifikate

• Entitäten, die für die Instanz konfiguriert sind, usw.

Citrix ADM Service fragt verwaltete Instanzen regelmäßig ab, um Informationen zu sammeln.

Die folgende Abbildung zeigt die Kommunikation zwischen dem Dienst, den Agenten und den Instanzen:

Leitfaden zur Dokumentation

Die Dokumentation zum Citrix ADM Service enthält Informationen zu den ersten Schritten mit dem Dienst, eine Liste der vom Dienst unterstützten Funktionen und eine für diese Servicelösung spezifische Konfiguration.

Bereitstellen von Citrix ADC VPX VPX-Instanzen auf AWS mit Citrix ADM

Wenn Kunden ihre Anwendungen in die Cloud verlagern, werden die Komponenten, die Teil ihrer Anwendung sind, zunehmen, werden stärker verteilt und müssen dynamisch verwaltet werden.

Mit Citrix ADC VPX VPX-Instances in AWS können Benutzer ihren L4-L7-Netzwerk-Stack nahtlos auf AWS erweitern. Mit Citrix ADC VPX wird AWS zu einer natürlichen Erweiterung ihrer on-premises IT-Infrastruktur. Kunden können Citrix ADC VPX in AWS verwenden, um die Elastizität und Flexibilität der Cloud mit denselben Optimierungs-, Sicherheits- und Steuerfunktionen zu kombinieren, die die anspruchsvollsten Websites und Anwendungen der Welt unterstützen.

Mit Citrix Application Delivery Management (ADM), das ihre Citrix ADC ADC-Instanzen überwacht, erhalten Benutzer Einblick in die Integrität, Leistung und Sicherheit ihrer Anwendungen. Sie können die Einrichtung, Bereitstellung und Verwaltung ihrer Infrastruktur für die Anwendungsbereitstellung in hybriden Multi-Cloud-Umgebungen automatisieren.

Architekturdiagramm

Das folgende Bild bietet einen Überblick darüber, wie Citrix ADM eine Verbindung mit AWS herstellt, um Citrix ADC VPX Instanzen in AWS bereitzustellen.

Konfigurationsaufgaben

Führen Sie die folgenden Aufgaben in AWS aus, bevor Sie Citrix ADC VPX VPX-Instanzen in Citrix ADM bereitstellen:

• Subnetze erstellen

• Erstellen von Sicherheitsgruppen

• Erstellen Sie eine IAM-Rolle und definieren Sie eine Richtlinie

Führen Sie die folgenden Aufgaben in Citrix ADM aus, um die Instanzen in AWS bereitzustellen:

• Site erstellen

• Bereitstellen einer Citrix ADC VPX Instanz auf AWS

So erstellen Sie Subnetze

Erstellen Sie drei Subnetze in einer VPC. Die drei Subnetze, die für die Bereitstellung von Citrix ADC VPX VPX-Instanzen in einer VPC erforderlich sind, sind Management, Client und Server. Geben Sie einen IPv4-CIDR-Block aus dem Bereich an, der in der VPC für jedes der Subnetze definiert ist. Geben Sie die Availability Zone an, in der sich das Subnetz befinden soll. Erstellen Sie alle drei Subnetze in derselben Availability Zone. Die folgende Abbildung zeigt die drei in der Kundenregion erstellten Subnetze und ihre Konnektivität mit dem Clientsystem.

Weitere Informationen zu VPC und Subnetzen finden Sie unter VPCs and Subnets.

So erstellen Sie Sicherheitsgruppen

Erstellen Sie eine Sicherheitsgruppe zur Steuerung des eingehenden und ausgehenden Datenverkehrs in der Citrix ADC VPX Instanz. Eine Sicherheitsgruppe fungiert als virtuelle Firewall für eine Benutzerinstanz. Erstellen Sie Sicherheitsgruppen auf Instanzebene und nicht auf Subnetzebene. Es ist möglich, jede Instance in einem Subnetz in der Benutzer-VPC einer anderen Gruppe von Sicherheitsgruppen zuzuweisen. Fügen Sie Regeln für jede Sicherheitsgruppe hinzu, um den eingehenden Datenverkehr zu steuern, der durch das Clientsubnetz an Instanzen weitergeleitet wird. Benutzer können auch separate Regeln hinzufügen, die den ausgehenden Datenverkehr steuern, der durch das Serversubnetz zu den Anwendungsservern geleitet wird. Obwohl Benutzer die Standardsicherheitsgruppe für ihre Instances verwenden können, möchten sie möglicherweise ihre eigenen Gruppen erstellen. Erstellen Sie drei Sicherheitsgruppen - eine für jedes Subnetz. Erstellen Sie Regeln für eingehenden und ausgehenden Datenverkehr, den Benutzer kontrollieren möchten. Benutzer können beliebig viele Regeln hinzufügen.

Weitere Informationen zu Sicherheitsgruppen finden Sie unter:Sicherheitsgruppen für Ihre VPC.

So erstellen Sie eine IAM-Rolle und definieren eine Richtlinie

Erstellen Sie eine IAM-Rolle, damit Kunden eine Vertrauensbeziehung zwischen ihren Benutzern und dem vertrauenswürdigen Citrix AWS-Konto herstellen können, und erstellen Sie eine Richtlinie mit Citrix-Berechtigungen.

1. Klicken Sie in AWS aufServices. Wählen Sie im linken NavigationsbereichIAM > Rolesaus und klicken Sie aufCreate role.

2. Benutzer verbinden ihr AWS-Konto mit dem AWS-Konto in Citrix ADM. Wählen Sie alsoAnderes AWS-Kontoaus, damit Citrix ADM Aktionen im AWS-Konto ausführen kann.

Geben Sie die 12-stellige Citrix ADM AWS-Konto-ID ein. Die Citrix ID lautet 835822366011. Benutzer können die Citrix ID auch in Citrix ADM finden, wenn sie das Cloud-Zugriffsprofil erstellen.

1. Aktivieren SieExterne ID für die Verbindung mit einem Drittanbieterkonto erforderlich. Benutzer können die Sicherheit ihrer Rollen erhöhen, indem sie eine optionale externe Kennung benötigen. Geben Sie eine ID ein, die eine Kombination aus beliebigen Zeichen sein kann.

2. Klicken Sie aufBerechtigungen.

3. Klicken Sie auf der SeiteBerechtigungsrichtlinien anhängenaufRichtlinie erstellen.

4. Benutzer können eine Richtlinie im Visual Editor oder mithilfe von JSON erstellen und bearbeiten.

Die Liste der Berechtigungen von Citrix finden Sie im folgenden Feld:

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

1. Kopieren Sie die Liste der Berechtigungen, fügen Sie sie in die Registerkarte JSON ein und klicken Sie aufRichtlinie überprüfen.

2. Geben Sie auf der SeiteRichtlinie überprüfeneinen Namen für die Richtlinie ein, geben Sie eine Beschreibung ein und klicken Sie aufRichtlinie erstellen.

So erstellen Sie eine Site in Citrix ADM

Erstellen Sie eine Site in Citrix ADM und fügen Sie die Details der VPC hinzu, die mit der AWS-Rolle verknüpft ist.

1. Navigieren Sie in Citrix ADM zuNetzwerke > Sites.

2. Klicken Sie aufHinzufügen.

3. Wählen Sie den Servicetyp als AWS aus und aktivierenSie Vorhandene VPC als Site verwenden.

4. Wählen Sie das Cloud-Zugriffsprofil aus.

5. Wenn das Cloud-Zugriffsprofil in dem Feld nicht vorhanden ist, klicken Sie aufHinzufügen, um ein Profil zu erstellen.

   • Geben Sie auf der SeiteCloud Access-Profil erstellenden Namen des Profils ein, mit dem Benutzer auf AWS zugreifen möchten.

   • Geben Sie den ARN ein, der mit der Rolle verknüpft ist, die Benutzer in AWS erstellt haben.

   • Geben Sie die externe ID ein, die Benutzer beim Erstellen einer Identity and Access Management-Rolle (IAM) in AWS angegeben haben. Weitere Informationen finden Sie in Schritt 4 der Aufgabe „So erstellen Sie eine IAM-Rolle und definieren eine Richtlinie“. Stellen Sie sicher, dass der in AWS angegebene IAM-Rollenname mit beginnt Citrix-ADM- und korrekt im Role ARN angezeigt wird.

Die Details der VPC, wie Region, VPC-ID, Name und CIDR-Block, die Ihrer IAM-Rolle in AWS zugeordnet sind, werden in Citrix ADM importiert.

1. Geben Sie einen Namen für die Site ein.

2. Klicken Sie auf Erstellen.

So stellen Sie Citrix ADC VPX auf AWS bereit

Verwenden Sie die Site, die Benutzer zuvor erstellt haben, um die Citrix ADC VPX VPX-Instanzen in AWS bereitzustellen. Geben Sie Details des Citrix ADM Dienstagenten an, um die Instanzen bereitzustellen, die an diesen Agent gebunden sind.

1. Navigieren Sie in Citrix ADM zuNetzwerke>Instanzen>Citrix ADC.

2. Klicken Sie auf der RegisterkarteVPXaufProvision.

Mit dieser Option wird die SeiteCitrix ADC VPX on Cloud bereitstellenangezeigt.

1. Wählen SieAmazon Web Services (AWS) ausund klicken Sie aufWeiter.

2. InGrundparameter

   • Wählen Sie denInstanztyp ausder Liste aus.

     • Standalone: Diese Option stellt eine eigenständige Citrix ADC VPX VPX-Instanz in AWS bereit.

     • HA: Diese Option stellt die hochverfügbaren Citrix ADC VPX VPX-Instanzen in AWS bereit.

     Um die Citrix ADC VPX VPX-Instanzen in derselben Zone bereitzustellen, wählen Sie unterZonentyp die OptionSingle Zone**aus.

     Um die Citrix ADC VPX VPX-Instanzen über mehrere Zonen hinweg bereitzustellen, wählen Sie unterZonentyp die OptionMulti Zone**aus. Stellen Sie auf der RegisterkarteCloud-Parameter**sicher, dass Sie die Netzwerkdetails für jede Zone angeben, die in AWS erstellt wird.

   

   • Geben Sie den Namen der Citrix ADC VPX VPX-Instanz an.

   • Wählen Sieunter Sitedie Site aus, die Sie zuvor erstellt haben.

   • Wählen Sie inAgentden Agenten aus, der für die Verwaltung der Citrix ADC VPX VPX-Instanz erstellt wurde.

   • Wählen Sie imCloud Access-Profildas Cloud-Zugriffsprofil aus, das während der Siteerstellung erstellt wurde.

   • Wählen Sieunter Geräteprofildas Profil für die Authentifizierung aus.

   Citrix ADM verwendet das Geräteprofil, wenn es sich bei der Citrix ADC VPX Instanz anmelden muss.

   • Klicken Sie auf Weiter.

3. InCloud-Parameter

   • Wählen Sie die in AWS erstellteCitrix IAM-Rolleaus. Eine IAM-Rolle ist eine AWS-Identität mit Berechtigungsrichtlinien, die bestimmen, was die Identität in AWS tun kann und nicht.

   • Wählen Sie im FeldProduktdie Citrix ADC ADC-Produktversion aus, die Benutzer bereitstellen möchten.

   • Wählen Sie den EC2-Instance-Typ aus der ListeInstance-Typaus.

   • Wählen Sie dieVersionvon Citrix ADC aus, die Benutzer bereitstellen möchten. Wählen Sie sowohl dieHaupt- als auch dieNebenversionvon Citrix ADC.

   • Wählen Sieunter Sicherheitsgruppendie Sicherheitsgruppen Verwaltung, Client und Server aus, die Benutzer in ihrem virtuellen Netzwerk erstellt haben.

   • Wählen Sie unterIP-Adressen im Server-Subnetz pro Knotendie Anzahl der IP-Adressen im Serversubnetz pro Knoten für die Sicherheitsgruppe aus.

   • Wählen Sieunter Subnetsdie Management-, Client- und Server-Subnetze für jede Zone aus, die in AWS erstellt werden. Benutzer können die Region auch aus der ListeAvailability Zoneauswählen.

   • Klicken Sie aufFertig stellen.

Die Citrix ADC VPX Instanz wird jetzt auf AWS bereitgestellt.

Hinweis:

Citrix ADM unterstützt das Aufheben der Bereitstellung von Citrix ADC ADC-Instanzen aus AWS nicht.

So zeigen Sie die in AWS bereitgestellten Citrix ADC VPX an

1. Navigieren Sie auf der AWS-Startseite zuServicesund klicken Sie aufEC2.

2. Klicken Sie auf der SeiteRessourcenaufLaufende Instances.

3. Benutzer können das in AWS bereitgestellte Citrix ADC VPX anzeigen.

Der Name der Citrix ADC VPX VPX-Instanz ist derselbe Name, den Benutzer bei der Bereitstellung der Instanz in Citrix ADM angegeben haben.

So zeigen Sie die in Citrix ADM bereitgestellten Citrix ADC VPX an

1. Navigieren Sie in Citrix ADM zuNetzwerke>Instanzen>Citrix ADC.

2. Wählen Sie die RegisterkarteCitrix ADC VPX.

3. Die in AWS bereitgestellte Citrix ADC VPX Instanz wird hier aufgelistet.

Citrix ADC WAF und OWASP Top 10 — 2017

Das Open Web Application Security Project: OWASP hat die OWASP Top 10 für 2017 für die Sicherheit von Webanwendungen veröffentlicht. Diese Liste dokumentiert die häufigsten Sicherheitslücken in Webanwendungen und ist ein guter Ausgangspunkt für die Bewertung der Websicherheit. Hier wird beschrieben, wie Sie die Citrix ADC Web Application Firewall (WAF) konfigurieren, um diese Fehler zu mildern. WAF ist als integriertes Modul in der Citrix ADC (Premium Edition) sowie als komplette Appliances verfügbar.

Das vollständige OWASP Top 10-Dokument ist unter OWASP Top Tenverfügbar.

A 1:2017 - Injektion

Injektionsfehler wie SQL-, NoSQL-, OS- und LDAP-Injektion treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die feindlichen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder ohne entsprechende Berechtigung auf Daten zuzugreifen.

ADC WAF-Schutz

• Die Funktion zur Verhinderung von SQL-Injection schützt vor gängigen Injection- Benutzerdefinierte Injektionsmuster können hochgeladen werden, um vor jeder Art von Injection-Angriff, einschließlich XPath und LDAP, zu schützen. Dies gilt sowohl für HTML- als auch für XML-Nutzlasten.

• Die automatische Signaturaktualisierungsfunktion hält die Injektionssignaturen auf dem neuesten Stand.

• Die Feldformat-Schutzfunktion ermöglicht es dem Administrator, jeden Benutzerparameter auf einen regulären Ausdruck zu beschränken. Sie können beispielsweise erzwingen, dass ein Postleitzahlfeld nur ganze Zahlen oder sogar 5-stellige Ganzzahlen enthält.

• Konsistenz der Formularfelder: Überprüfen Sie jedes eingereichte Benutzerformular anhand der Signatur des Benutzersitzungsformulars, um die Gültigkeit aller Formularelemente sicherzustellen.

• Pufferüberlaufprüfungen stellen sicher, dass sich die URL, Header und Cookies in den richtigen Grenzen befinden und alle Versuche blockieren, große Skripte oder Code einzufügen.

A 2:2017 — Fehlerhafte Authentifizierung

Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsmanagement werden häufig falsch implementiert, sodass Angreifer Passwörter, Schlüssel oder Sitzungstoken kompromittieren oder andere Implementierungsfehler ausnutzen können, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen.

ADC WAF-Schutz

• Das Citrix ADC AAA-Modul führt die Benutzerauthentifizierung durch und bietet Single Sign-On-Funktionalität für Backend-Anwendungen. Dies ist in die Citrix ADC AppExpert Richtlinien-Engine integriert, um benutzerdefinierte Richtlinien basierend auf Benutzer- und Gruppeninformationen zuzulassen.

• Mithilfe von SSL-Offloading- und URL-Transformationsfunktionen kann die Firewall Websites auch dabei unterstützen, sichere Transportschichtprotokolle zu verwenden, um den Diebstahl von Sitzungstoken durch Netzwerk-Sniffing zu verhindern.

• Cookie-Proxying und Cookie-Verschlüsselung können eingesetzt werden, um den Diebstahl von Cookies vollständig zu verhindern.

A 3:2017 — Offenlegung sensibler Daten

Viele Webanwendungen und APIs schützen sensible Daten wie Finanzen, Gesundheitswesen und personenbezogene Daten nicht ordnungsgemäß. Angreifer können solche schlecht geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten zu begehen. Sensible Daten können ohne zusätzlichen Schutz, wie Verschlüsselung im Ruhezustand oder bei der Übertragung, kompromittiert werden und erfordern besondere Vorsichtsmaßnahmen beim Austausch mit dem Browser.

ADC WAF-Schutz

• Die Anwendungs-Firewall schützt Anwendungen vor dem Durchsickern sensibler Daten wie Kreditkartendaten.

• Sensible Daten können im Safe Commerce-Schutz als sichere Objekte konfiguriert werden, um eine Gefährdung zu vermeiden.

• Alle sensiblen Daten in Cookies können durch Cookie-Proxying und Cookie-Verschlüsselung geschützt werden.

A 4:2017 XML Externe Entitäten (XXE)

Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsverweise in XML-Dokumenten aus. Externe Entitäten können verwendet werden, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, interne Port-Scans, Remotecodeausführung und Denial-of-Service-Angriffe offenzulegen.

ADC WAF-Schutz

• Zusätzlich zum Erkennen und Blockieren gängiger Anwendungsbedrohungen, die für Angriffe auf XML-basierte Anwendungen angepasst werden können (d. h. Cross-Site Scripting, Befehlsinjektion usw.).

• Die ADC Application Firewall umfasst eine Vielzahl von XML-spezifischen Sicherheitsvorkehrungen. Dazu gehören die Schemavalidierung zur gründlichen Überprüfung von SOAP-Nachrichten und XML-Nutzlasten sowie eine leistungsstarke Prüfung von XML-Anhängen, um Anlagen zu blockieren, die bösartige ausführbare Dateien oder Viren enthalten.

• Automatische Datenverkehrsinspektionsmethoden blockieren XPath-Injection-Angriffe auf URLs und Formulare, die Zugriff erhalten sollen.

• Die ADC Application Firewall verhindert auch verschiedene DoS-Angriffe, einschließlich Referenzen externer Entitäten, rekursiver Erweiterung, übermäßiger Verschachtelung und böswilliger Nachrichten, die entweder eine lange oder eine große Anzahl von Attributen und Elementen enthalten.

A 5:2017 Kaputte Zugangskontrolle

Einschränkungen, was authentifizierte Benutzer tun dürfen, werden oft nicht ordnungsgemäß durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen und Daten zuzugreifen, z. B. auf Konten anderer Benutzer zuzugreifen, vertrauliche Dateien anzuzeigen, Daten anderer Benutzer zu ändern, Zugriffsrechte zu ändern usw.

ADC WAF-Schutz

• Die Citrix ADC AAA-Funktion, die Authentifizierung, Autorisierung und Überwachung für den gesamten Anwendungsverkehr unterstützt, ermöglicht es einem Site-Administrator, Zugriffskontrollen mit der ADC-Appliance zu verwalten.

• Die Autorisierungssicherheitsfunktion innerhalb des Citrix ADC AAA-Moduls der ADC-Appliance ermöglicht es der Appliance, zu überprüfen, auf welche Inhalte auf einem geschützten Server jedem Benutzer Zugriff gewähren soll.

• Konsistenz von Formularfeldern: Wenn Objektverweise als ausgeblendete Felder in Formularen gespeichert werden, können Sie mithilfe der Formularfeldkonsistenz überprüfen, ob diese Felder bei nachfolgenden Anforderungen nicht manipuliert werden.

• Cookie-Proxying und Cookie-Konsistenz: Objektreferenzen, die in Cookie-Werten gespeichert sind, können mit diesen Schutzmaßnahmen validiert werden.

• URL-Prüfung mit URL-Schließung starten: Ermöglicht Benutzern den Zugriff auf eine vordefinierte Zulassungsliste von URLs. Die URL-Schließung erstellt eine Liste aller URLs, die in gültigen Antworten während der Benutzersitzung zu sehen sind, und ermöglicht automatisch den Zugriff auf sie während dieser Sitzung.

A 6:2017 - Fehlkonfiguration der Sicherheit

Eine Fehlkonfiguration der Sicherheit ist das am häufigsten auftretende Problem. Dies ist in der Regel auf unsichere Standardkonfigurationen, unvollständige oder improvisierte Konfigurationen, offenen Cloud-Speicher, falsch konfigurierte HTTP-Header und ausführliche Fehlermeldungen mit vertraulichen Informationen zurückzuführen. Es müssen nicht nur alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen sicher konfiguriert sein, sondern sie müssen auch rechtzeitig gepatcht und aktualisiert werden.

ADC WAF-Schutz

• Der von der Application Firewall generierte PCI-DSS-Bericht dokumentiert die Sicherheitseinstellungen auf dem Firewall-Gerät.

• Berichte der Scan-Tools werden in ADC WAF-Signaturen konvertiert, um Sicherheitsfehlkonfigurationen zu behandeln.

• ADC WAF unterstützt Cenzic, IBM AppScan (Enterprise und Standard), Qualys, TrendMicro, WhiteHat und benutzerdefinierte Schwachstellenscanberichte.

A 7:2017 - Site-übergreifendes Scripting (XSS)

XSS-Fehler treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Escaping in eine neue Webseite einfügt oder eine vorhandene Webseite mit vom Benutzer bereitgestellten Daten mithilfe einer Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. Site-übergreifendes Scripting ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen entführen, Websites verunstalten oder den Benutzer auf bösartige Websites umleiten können.

ADC WAF-Schutz

• Der standortübergreifende Scripting-Schutz schützt vor gängigen XSS-Angriffen. Benutzerdefinierte XSS-Muster können hochgeladen werden, um die Standardliste der zulässigen Tags und Attribute zu ändern. Die ADC-WAF verwendet eine Zulassungsliste mit erlaubten HTML-Attributen und -Tags, um XSS-Angriffe zu erkennen. Dies gilt sowohl für HTML- als auch für XML-Nutzlasten.

• ADC WAF blockiert alle Angriffe, die im Spickzettel zur OWASP XSS-Filterbewertung aufgeführt sind.

• Die Feldformatprüfung verhindert, dass ein Angreifer unangemessene Webformulardaten sendet, was ein potenzieller XSS-Angriff sein kann.

• Konsistenz des Formularfeldes.

A 8:2017 - Unsichere Deserialisierung

Unsichere Deserialisierung führt häufig zur Remotecodeausführung. Auch wenn Deserialisierungsfehler nicht zur Remotecodeausführung führen, können sie zur Durchführung von Angriffen verwendet werden, einschließlich Wiederholungsangriffen, Injektionsangriffen und Angriffen zur Privilegieneskalation.

ADC WAF-Schutz

• JSON-Nutzlast-Inspektion mit benutzerdefinierten Signaturen.

• XML-Sicherheit: schützt vor XML-Denial of Service (XDoS), XML-SQL- und Xpath-Injection sowie Cross-Site-Scripting, Formatprüfungen, WS-I-Basisprofil-Konformität, Prüfung von

• Feldformat-Checks können zusätzlich zu Cookie Consistency und Field Consistency verwendet werden.

A 9:2017 — Komponenten mit bekannten Sicherheitslücken verwenden

Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule werden mit denselben Berechtigungen wie die Anwendung ausgeführt. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff zu schwerwiegenden Datenverlusten oder Serverübernahmen führen. Anwendungen und APIs, die Komponenten mit bekannten Sicherheitslücken verwenden, können den Anwendungsschutz untergraben und verschiedene Angriffe und Auswirkungen ermöglichen.

ADC WAF-Schutz

• Citrix empfiehlt, die Komponenten von Drittanbietern auf dem neuesten Stand zu halten.

• In ADC-Signaturen konvertierte Schwachstellenscanberichte können verwendet werden, um diese Komponenten virtuell zu patchen.

• Vorlagen der Anwendungs-Firewall, die für diese anfälligen Komponenten verfügbar sind, können verwendet werden.

• Benutzerdefinierte Signaturen können an die Firewall gebunden werden, um diese Komponenten zu schützen.

A 10:2017 - Unzureichende Protokollierung und Überwachung

Eine unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder ineffektiven Integration mit der Reaktion auf Vorfälle ermöglicht es Angreifern, Systeme weiter anzugreifen, die Persistenz aufrechtzuerhalten, auf mehr Systeme zu wechseln und Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Verstößen zeigen, dass die Zeit zur Erkennung eines Verstoßes über 200 Tage beträgt, was in der Regel von externen Parteien und nicht von internen Prozessen oder Überwachungen erkannt wird.

ADC WAF-Schutz

• Wenn die Protokollierungsaktion für Sicherheitsüberprüfungen oder Signaturen aktiviert ist, enthalten die resultierenden Protokollmeldungen Informationen über die Anforderungen und Antworten, die die Anwendungs-Firewall beim Schutz Ihrer Websites und Anwendungen beobachtet hat.

• Die Anwendungs-Firewall bietet den Komfort, die integrierte ADC-Datenbank zur Identifizierung der Speicherorte zu verwenden, die den IP-Adressen entsprechen, von denen böswillige Anfragen stammen.

• Standardformat-Ausdrücke (PI) bieten die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen, mit der Option, die spezifischen Daten hinzuzufügen, die in den von der Anwendungs-Firewall generierten Protokollmeldungen erfasst werden sollen.

• Die Anwendungs-Firewall unterstützt CEF-Protokolle.

Schutz der Anwendungssicherheit

Citrix ADM

Der Citrix Application Delivery Management Service (Citrix ADM) bietet eine skalierbare Lösung zur Verwaltung von Citrix ADC Bereitstellungen, zu denen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN-Appliances gehören, die on-premises oder auf dem Wolke.

Citrix ADM Anwendungsanalyse- und Verwaltungsfunktionen

Die folgenden Funktionen sind der Schlüssel zur ADM-Rolle in App Security.

Anwendungsanalyse und -verwaltung

Die Application Analytics and Management-Funktion von Citrix ADM verstärkt den anwendungsorientierten Ansatz, um Benutzern bei der Bewältigung verschiedener Herausforderungen bei der Anwendungsbereitstellung zu helfen. Dieser Ansatz gibt Benutzern Einblick in die Integritätsbewertungen von Anwendungen, hilft Benutzern, die Sicherheitsrisiken zu ermitteln, und hilft Benutzern, Anomalien im Anwendungsdatenfluss zu erkennen und Korrekturmaßnahmen zu ergreifen. Die wichtigste dieser Rollen für App Security ist Application Security Analytics:

• Analyse der Anwendungssicherheit: Analyse der Anwendungssicherheit. Das App Security Dashboard bietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Beispielsweise werden wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen, Bedrohungsindizes angezeigt. Das App Security-Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Attacken, Angriffe auf kleine Fenster und DNS-Flutangriffe für die erkannten Citrix ADC ADC-Instanzen an.

StyleBooks

StyleBooks vereinfachen die Verwaltung komplexer Citrix ADC ADC-Konfigurationen für Benutzeranwendungen. Ein StyleBook ist eine Vorlage, mit der Benutzer Citrix ADC ADC-Konfigurationen erstellen und verwalten können. Hier beschäftigen sich Benutzer in erster Linie mit dem StyleBook, das zur Bereitstellung der Web Application Firewall verwendet wird. Weitere Informationen zu StyleBooks finden Sie unter: StyleBooks.

Analytics

Bietet eine einfache und skalierbare Möglichkeit, die verschiedenen Erkenntnisse der Daten der Citrix ADC ADC-Instanzen zu untersuchen, um die Anwendungsleistung zu beschreiben, vorherzusagen und zu verbessern. Benutzer können eine oder mehrere Analysefunktionen gleichzeitig verwenden. Die wichtigsten dieser Rollen für App Security sind:

• Security Insight: Security Insight. Stellt eine Einbereichslösung bereit, mit der Benutzer den Sicherheitsstatus von Benutzeranwendungen einschätzen und Korrekturmaßnahmen ergreifen können, um Benutzeranwendungen zu schützen.

• Bot Einblick

• Weitere Informationen zu Analytics finden Sie unter Analytics: Analytics.

Weitere Funktionen, die für die ADM-Funktionalität wichtig sind, sind:

Event-Management

Ereignisse stellen Ereignisse oder Fehler in einer verwalteten Citrix ADC-Instanz dar. Wenn beispielsweise ein Systemfehler oder eine Änderung der Konfiguration vorliegt, wird ein Ereignis auf Citrix ADM generiert und aufgezeichnet. Im Folgenden finden Sie die zugehörigen Funktionen, die Benutzer mithilfe von Citrix ADM konfigurieren oder anzeigen können:

• Erstellen von Ereignisregeln: Ereignisregeln erstellen

• Anzeigen und Exportieren von Syslog-Nachrichten: Anzeigen und Exportieren von Syslog-Nachrichten

Weitere Informationen zum Veranstaltungsmanagement finden Sie unter: Veranstaltungen.

Instanz-Verwaltung

Ermöglicht Benutzern die Verwaltung der Citrix ADC-, Citrix Gateway-, Citrix Secure Web Gateway- und Citrix SD-WAN-Instanzen. Weitere Informationen zur Instanzverwaltung finden Sie unter: Instances hinzufügen.

Lizenzverwaltung

Ermöglicht Benutzern die Verwaltung von Citrix ADC Lizenzen, indem sie Citrix ADM als Lizenzmanager konfigurieren.

• Gepoolte Citrix ADC-Kapazität: Gepoolte Kapazität. Ein gemeinsamer Lizenzpool, aus dem eine Citrix ADC ADC-Benutzerinstanz eine Instanzlizenz und nur so viel Bandbreite auschecken kann, wie sie benötigt. Wenn die Instanz diese Ressourcen nicht mehr benötigt, werden sie wieder in den gemeinsamen Pool eingecheckt und die Ressourcen anderen Instanzen zur Verfügung gestellt, die sie benötigen.

• Citrix ADC VPX Check-in und Check-Out Lizenzierung: Citrix ADC VPX Check-In and Check-Out Lizenzierung. Citrix ADM weist Citrix ADC VPX VPX-Instanzen bei Bedarf Lizenzen zu. Eine Citrix ADC VPX Instanz kann die Lizenz vom Citrix ADM auschecken, wenn eine Citrix ADC VPX Instanz bereitgestellt wird, oder ihre Lizenz an Citrix ADM zurückchecken, wenn eine Instanz entfernt oder zerstört wird.

• Weitere Informationen zur Lizenzverwaltung finden Sie unter: Gepoolte Kapazität.

Konfigurationsverwaltung

Mit Citrix ADM können Benutzer Konfigurationsaufträge erstellen, mit denen sie Konfigurationsaufgaben wie das Erstellen von Entitäten, das Konfigurieren von Funktionen, die Replikation von Konfigurationsänderungen, Systemupgrades und andere Wartungsaktivitäten problemlos in mehreren Instanzen ausführen können. Konfigurationsaufträge und Vorlagen vereinfachen die sich wiederholenden Verwaltungsaufgaben zu einer einzigen Aufgabe auf Citrix ADM. Weitere Informationen zum Konfigurationsmanagement finden Sie unter Konfigurationsjobs: Konfigurationsjobs.

Prüfung der Konfiguration

Ermöglicht Benutzern die Überwachung und Identifizierung von Anomalien in den Konfigurationen über Benutzerinstanzen hinweg.

• Konfigurationstipp: Holen Sie sich Konfigurationshinweise zur Netzwerkkonfiguration Ermöglicht Benutzern das Identifizieren von Konfigurationsanomalien.

• Prüfungsvorlage: Erstellen Sie Prüfungsvorlagen. Ermöglicht Benutzern die Überwachung der Änderungen in einer bestimmten Konfiguration.

• Weitere Informationen zur Konfigurationsüberprüfung finden Sie unter: Konfigurationsaudit.

Signaturen bieten die folgenden Bereitstellungsoptionen, um Benutzern zu helfen, den Schutz von Benutzeranwendungen zu optimieren:

• Negatives Sicherheitsmodell: Beim negativen Sicherheitsmodell verwenden Benutzer zahlreiche vorkonfigurierte Signaturregeln, um die Leistungsfähigkeit des Mustervergleichs anzuwenden, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen. Benutzer blockieren nur das, was sie nicht wollen, und lassen den Rest zu. Benutzer können ihre eigenen Signaturregeln hinzufügen, die auf den spezifischen Sicherheitsanforderungen von Benutzeranwendungen basieren, um ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen.

• Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Benutzer positive Sicherheitsüberprüfungen verwenden, um eine Konfiguration zu erstellen, die sich ideal für Benutzeranwendungen eignet. Verwenden Sie Signaturen, um zu blockieren, was Benutzer nicht möchten, und setzen Sie positive Sicherheitsprüfungen durch, um durchzusetzen, was zulässig ist

Um Benutzeranwendungen mithilfe von Signaturen zu schützen, müssen Benutzer ein oder mehrere Profile für die Verwendung ihres Signaturobjekts konfigurieren. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln im Benutzersignaturobjekt nicht nur von den Signaturregeln verwendet, sondern auch von den positiven Sicherheitsüberprüfungen, die im Profil der Web Application Firewall konfiguriert sind, das den signatures-Objekt.

Die Web Application Firewall untersucht den Verkehr zu benutzergeschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der mit einer Signatur übereinstimmt. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel mit dem Datenverkehr übereinstimmt. Wenn eine Übereinstimmung auftritt, werden die angegebenen Aktionen für die Regel aufgerufen. Benutzer können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anfrage blockiert wird. Protokollmeldungen können Benutzern helfen, Angriffe auf Benutzeranwendungen zu erkennen. Wenn Benutzer Statistiken aktivieren, verwaltet die Web Application Firewall Daten zu Anforderungen, die mit einer Signatur oder Sicherheitsüberprüfung der Web Application Firewall übereinstimmen.

Wenn der Datenverkehr sowohl mit einer Signatur als auch mit einer positiven Sicherheitsprüfung übereinstimmt, werden die restriktiveren der beiden Aktionen durchgesetzt. Wenn beispielsweise eine Anforderung mit einer Signaturregel übereinstimmt, für die die Blockaktion deaktiviert ist, aber die Anforderung auch mit einer positiven SQL Injection Sicherheitsprüfung übereinstimmt, für die die Aktion blockiert ist, wird die Anforderung blockiert. In diesem Fall wird die Signaturverletzung möglicherweise als [nicht blockiert] protokolliert, obwohl die Anforderung durch die SQL-Injection-Prüfung blockiert wird.

Anpassung: Falls erforderlich, können Benutzer ihre eigenen Regeln zu einem Signatur-Objekt hinzufügen. Benutzer können die SQL/XSS-Muster auch anpassen. Die Option, eigene Signaturregeln hinzuzufügen, die auf den spezifischen Sicherheitsanforderungen von Benutzeranwendungen basieren, gibt Benutzern die Flexibilität, ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen. Benutzer blockieren nur das, was sie nicht wollen, und lassen den Rest zu. Ein bestimmtes Fast-Match-Muster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Benutzer können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Expressions-Editoren helfen Benutzern dabei, Benutzermuster zu konfigurieren und ihre Richtigkeit zu überprüfen.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, bei denen jeder Service als separate virtuelle Appliance bereitgestellt werden muss, kombiniert Citrix ADC auf AWS L4-Lastausgleich, L7-Verkehrsmanagement, Serveroffload, Anwendungsbeschleunigung, Anwendungssicherheit, flexible Lizenzierung und andere wichtige Funktionen zur Anwendungsbereitstellung. in einer einzigen VPX-Instanz, bequem über den AWS Marketplace verfügbar. Darüber hinaus wird alles von einem einzigen Richtlinienframework geregelt und mit den gleichen, leistungsstarken Tools verwaltet, die für die Verwaltung lokaler Citrix ADC-Bereitstellungen verwendet werden. Das Ergebnis ist, dass Citrix ADC auf AWS mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Anforderungen der heutigen Unternehmen unterstützen, sondern auch die kontinuierliche Entwicklung von Legacy-Computing-Infrastrukturen zu Enterprise Cloud-Rechenzentren.

Citrix Web Application Firewall (WAF)

Die Citrix Web Application Firewall (WAF) ist eine Lösung für Unternehmen, die modernen Anwendungen auf dem neuesten Stand der Technik bietet. Citrix WAF mindert Bedrohungen gegen öffentlich zugängliche Ressourcen wie Websites, Webanwendungen und APIs. Citrix WAF umfasst IP-Reputationsfilterung, Bot-Minderung, OWASP Top 10 Schutz vor Anwendungsbedrohungen, Layer-7-DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Durchsetzung der Authentifizierung, starke SSL-/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Umschreibrichtlinien. Citrix WAF verwendet sowohl grundlegenden als auch erweiterten WAF-Schutz und bietet umfassenden Schutz für Ihre Anwendungen mit beispielloser Benutzerfreundlichkeit. Das Aufstehen ist eine Frage von Minuten. Darüber hinaus spart Citrix WAF den Benutzern durch die Verwendung eines automatisierten Lernmodells, das als dynamisches Profiling bezeichnet wird, wertvolle Zeit. Durch das automatische Erlernen der Funktionsweise einer geschützten Anwendung passt sich Citrix WAF der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Citrix WAF hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Stellen, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit Auto Scaling können Benutzer sicher sein, dass ihre Anwendungen auch dann geschützt bleiben, wenn ihr Datenverkehr zunimmt.

Bereitstellungsstrategie für die Webanwendungs

Der erste Schritt bei der Bereitstellung der Webanwendungs-Firewall besteht darin, zu bewerten, welche Anwendungen oder spezifischen Daten maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und für welche die Sicherheitsinspektion sicher umgangen werden kann. Dies hilft Benutzern dabei, eine optimale Konfiguration zu finden und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Benutzer können beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu Bypass, und eine weitere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um unterschiedliche Inhalte derselben Anwendung zu schützen.

Der nächste Schritt besteht darin, die Bereitstellung zu planen. Erstellen Sie zunächst einen virtuellen Server und führen Sie Testverkehr durch diesen aus, um sich ein Bild von der Geschwindigkeit und Menge des Datenverkehrs zu machen, der durch das Benutzersystem fließt.

Stellen Sie dann die Web Application Firewall bereit. Verwenden Sie Citrix ADM und das Web Application Firewall StyleBook, um die Web Application Firewall zu konfigurieren. Einzelheiten finden Sie im Abschnitt StyleBook weiter unten in diesem Handbuch.

Nachdem die Web Application Firewall mit dem Web Application Firewall StyleBook bereitgestellt und konfiguriert wurde, wäre ein nützlicher nächster Schritt die Implementierung von Citrix ADC WAF und OWASP Top 10.

Schließlich sind drei Schutzmaßnahmen der Web Application Firewall besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger verwendet als alle anderen. Daher sollten sie bei der ersten Bereitstellung implementiert werden. Sie sind:

• Site-übergreifendes HTML-Skript Untersucht Anfragen und Antworten für Skripte, die versuchen, auf Inhalte auf einer anderen Website als der Website, auf der sich das Skript befindet, zuzugreifen oder diese zu ändern. Wenn diese Überprüfung ein solches Skript findet, macht es entweder das Skript harmlos, bevor die Anforderung oder Antwort an das Ziel weitergeleitet wird, oder es blockiert die Verbindung.

• HTML-SQL-Injektion. Untersucht Anforderungen, die Formularfelddaten enthalten, auf Versuche, SQL-Befehle in eine SQL-Datenbank einzufügen. Wenn diese Überprüfung injizierten SQL-Code erkennt, blockiert sie entweder die Anforderung oder macht den injizierten SQL-Code harmlos, bevor die Anforderung an den Webserver weitergeleitet wird.

Hinweis:

Wenn beide der folgenden Bedingungen für die Benutzerkonfiguration zutreffen, sollten Benutzer sicherstellen, dass Ihre Web Application Firewall korrekt konfiguriert ist:

• Wenn Benutzer die HTML Cross-Site Scripting Prüfung oder die HTML SQL Injection Check (oder beides) aktivieren und

• Benutzergeschützte Websites akzeptieren Datei-Uploads oder enthalten Webformulare, die große POST-Textdaten enthalten können.

Weitere Informationen zur Konfiguration der Web Application Firewall für diesen Fall finden Sie unter Configuring the Application Firewall: Configuring the Web App Firewall.

• Pufferüberlauf. Untersucht Anforderungen, um Versuche zu erkennen, einen Pufferüberlauf auf dem Webserver zu verursachen.

Konfiguration der Web Application Firewall (WAF)

Bei den folgenden Schritten wird davon ausgegangen, dass die WAF bereits aktiviert ist und ordnungsgemäß funktioniert.

Citrix empfiehlt Benutzern, WAF mit dem Web Application Firewall StyleBook zu konfigurieren. Für die meisten Benutzer ist es die einfachste Methode, die Web Application Firewall zu konfigurieren, und sie wurde entwickelt, um Fehler zu vermeiden. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, in erster Linie um eine vorhandene Konfiguration zu ändern oder erweiterte Optionen zu verwenden.

SQL Injection

Die HTML SQL Injection-Überprüfung der Anwendungs-Firewall bietet besonderen Schutz vor der Injektion von nicht autorisiertem SQL-Code, der die Sicherheit der Benutzeranwendung beeinträchtigen könnte. DieCitrix Web Application Firewall untersucht die Anforderungsnutzlast für injizierten SQL-Code an drei Stellen: 1) POST-Text, 2) Header und 3) Cookies.

Ein Standardsatz von Schlüsselwörtern und Sonderzeichen enthält bekannte Schlüsselwörter und Sonderzeichen, die häufig zum Starten von SQL-Angriffen verwendet werden. Benutzer können auch neue Muster hinzufügen und den Standardsatz bearbeiten, um die SQL-Prüfung anzupassen.

Es gibt mehrere Parameter, die für die SQL-Injection-Verarbeitung konfiguriert werden können. Benutzer können nach SQL-Platzhalterzeichensuchen. Benutzer können den SQL Injection-Typ ändern und eine der 4 Optionen auswählen (SqlKeyword, SqlSplChar, SqlSplCharandKeyword, SqlSplCharorKeyword), um anzugeben, wie die SQL-Schlüsselwörter und SQL-Sonderzeichen bei der Verarbeitung der Nutzdaten ausgewertet werden sollen. DerParameter Handhabung von SQL-Kommentarengibt Benutzern die Möglichkeit, den Typ der Kommentare anzugeben, die bei der Erkennung von SQL Injection überprüft oder ausgenommen werden müssen.

Benutzer können Relaxationen einsetzen, um Fehlalarme zu vermeiden. Die Lern-Engine kann Empfehlungen für die Konfiguration von Relaxationsregeln geben.

Die folgenden Optionen sind für die Konfiguration eines optimierten SQL Injection-Schutzes für die Benutzeranwendung verfügbar:

Block — Wenn Benutzer aktivieren block, wird die Blockaktion nur ausgelöst, wenn die Eingabe mit der Spezifikation des SQL-Injektionstyps übereinstimmt. Wenn beispielsweiseSqlSplCharandKeywordals SQL-Injektionstyp konfiguriert ist, wird eine Anforderung nicht blockiert, wenn sie keine Schlüsselwörter enthält, auch wenn SQL-Sonderzeichen in der Eingabe erkannt werden. Eine solche Anforderung wird blockiert, wenn der SQL-Injektionstyp entweder aufsqlSplCharodersqlSplCharorKeywordgesetzt ist.

Log — Wenn Benutzer die Protokollfunktion aktivieren, generiert die SQL Injection-Prüfung Protokollmeldungen, die die ergriffenen Aktionen angeben. Wenn deaktiviert block ist, wird für jedes Eingabefeld, in dem die SQL-Verletzung erkannt wurde, eine separate Protokollnachricht generiert. Allerdings wird nur eine Nachricht generiert, wenn die Anforderung blockiert wird. In ähnlicher Weise wird eine Protokollnachricht pro Anforderung für den Transformationsvorgang generiert, selbst wenn SQL-Sonderzeichen in mehrere Felder umgewandelt werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Versuche hinweisen, einen Angriff zu starten.

Statistiken — Wenn diese Option aktiviert ist, sammelt die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hinweisen, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration erneut aufrufen, um festzustellen, ob sie neue Relaxationsregeln konfigurieren oder die vorhandenen ändern müssen.

Lernen — Wenn Benutzer sich nicht sicher sind, welche SQL-Relaxationsregeln für ihre Anwendungen am besten geeignet sind, können sie die Lernfunktion verwenden, um Empfehlungen auf der Grundlage der erlernten Daten zu generieren. Die Web Application Firewall-Lernengine überwacht den Datenverkehr und bietet SQL-Lernempfehlungen basierend auf den beobachteten Werten. Um einen optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

SQL-Sonderzeichen transformieren— Die Web Application Firewall berücksichtigt drei Zeichen, einfaches Anführungszeichen (‘), Backslash () und Semikolon (;), als Sonderzeichen für die Verarbeitung der SQL-Sicherheitsprüfung. Die Funktion “SQL Transformation” ändert den SQL-Einschleusung-Code in einer HTML-Anforderung, um sicherzustellen, dass die Anforderung unschädlich gemacht wird. Die geänderte HTML-Anforderung wird dann an den Server gesendet. Alle standardmäßigen Transformationsregeln sind in der Datei /netscaler/default_custom_settings.xml angegeben.

• Durch die Transformationsoperation wird der SQL-Code inaktiv, indem die folgenden Änderungen an der Anforderung vorgenommen werden:

• Einfaches gerades Anführungszeichen (‘) in doppeltes gerades Anführungszeichen („).

• Backslash () zu doppeltem Backslash ().

• Semikolon (;) wird vollständig verworfen.

Diese drei Zeichen (Sonderzeichenfolgen) sind erforderlich, um Befehle an einen SQL-Server auszugeben. Sofern einem SQL-Befehl keine spezielle Zeichenfolge vorangestellt wird, ignorieren die meisten SQL-Server diesen Befehl. Daher verhindern die Änderungen, die die Web Application Firewall bei aktivierter Transformation vornimmt, dass ein Angreifer aktives SQL injiziert. Nachdem diese Änderungen vorgenommen wurden, kann die Anfrage sicher an die vom Benutzer geschützte Website weitergeleitet werden. Wenn Webformulare auf der vom Benutzer geschützten Website rechtmäßig SQL-Sonderzeichenfolgen enthalten können, die Webformulare jedoch nicht auf die speziellen Zeichenfolgen angewiesen sind, können Benutzer das Blockieren deaktivieren und die Transformation aktivieren, um das Blockieren legitimer Webformulardaten zu verhindern, ohne den Schutz des Webs zu verringern Die Anwendungs-Firewall stellt dem Benutzer geschützte Websites zur Verfügung.

Der Transformationsvorgang funktioniert unabhängig von der Einstellung SQL Injection Type. Wenn die Transformation aktiviert ist und der SQL-Injektionstyp als SQL-Schlüsselwort angegeben ist, werden SQL-Sonderzeichen auch dann transformiert, wenn die Anforderung keine Schlüsselwörter enthält.

Tipp:

Benutzer aktivieren normalerweise entweder Transformation oder Blockierung, aber nicht beide. Wenn die Blockaktion aktiviert ist, hat sie Vorrang vor der Transformationsaktion. Wenn Benutzer das Blockieren aktiviert haben, ist das Aktivieren der Transformation überflüssig.

Auf SQL-Platzhalterzeichen suchen — Wildcard-Zeichenkönnen verwendet werden, um die Auswahl einer SQL-Anweisung (SQL-SELECT) zu erweitern. Diese Platzhalteroperatoren können mit den OperatorenLIKEundNOT LIKEverwendet werden, um einen Wert mit ähnlichen Werten zu vergleichen. Die Prozentzeichen (%) und Unterstriche (_) werden häufig als Platzhalter verwendet. Das Prozentzeichen entspricht dem Sternchen (*) -Platzhalterzeichen, das mit MS-DOS verwendet wird, und um Null, ein oder mehrere Zeichen in einem Feld abzugleichen. Der Unterstrich ähnelt dem MS-DOS-Fragezeichen (?) Platzhalterzeichen. Es stimmt mit einer einzelnen Zahl oder einem Zeichen in einem Ausdruck überein.

Benutzer können beispielsweise die folgende Abfrage verwenden, um eine Stringsuche durchzuführen, um alle Kunden zu finden, deren Namen das Zeichen D enthalten.

SELECT * vom Kunden WHERE-Namen wie „%D%“:

Im folgenden Beispiel werden die Operatoren kombiniert, um Gehaltswerte zu finden, die an zweiter und dritter Stelle 0 haben.

SELECT * vom Kunden WHERE Gehalt wie ‘_ 00% ‘:

Verschiedene DBMS-Anbieter haben die Platzhalterzeichen um zusätzliche Operatoren erweitert. Die Citrix Web Application Firewall kann vor Angriffen schützen, die durch das Einfügen dieser Platzhalterzeichen ausgelöst werden. Die 5 standardmäßigen Platzhalterzeichen sind Prozent (%), Unterstrich (_), Caret (^), öffnende Klammer ([) und schließende Klammer (]). Dieser Schutz gilt sowohl für HTML- als auch für XML-Profile.

Die Standard-Platzhalterzeichen sind eine Liste von Literalen, die in den*Standardsignaturen angegeben sind:

• <wildchar type=“ LITERAL“ >%</wildchar>

• <wildchar type=“ LITERAL“] >_</wildchar>

• <wildchar type=“ LITERAL“ >^</wildchar>

• <wildchar type=“ LITERAL“ >[</wildchar>

• <wildchar type=“ LITERAL“ >]</wildchar>

Platzhalterzeichen in einem Angriff können PCRE sein, wie [^A-F]. Die Web Application Firewall unterstützt auch PCRE-Platzhalter, aber die hier gezeigten literalen Platzhalterzeichen reichen aus, um die meisten Angriffe zu blockieren.

Hinweis:

Die SQL-Platzhalterzeichenprüfung unterscheidet sich von der SQL-Sonderzeichenprüfung. Diese Option muss mit Vorsicht verwendet werden, um Fehlalarme zu vermeiden.

Check Request containing SQL Injection Type — Die Web Application Firewall bietet 4 Optionen, um die gewünschte Strenge für die SQL Injection-Prüfung zu implementieren, basierend auf den individuellen Anforderungen der Anwendung. Die Anforderung wird mit der Spezifikation des Injektionstyps zur Erkennung von SQL-Verletzungen abgeglichen. Die 4 Optionen für den SQL-Einschleusung-Typ sind:

• SQL-Sonderzeichen und -Schlüsselwort — Sowohl ein SQL-Schlüsselwort als auch ein SQL-Sonderzeichen müssen in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Diese am wenigsten restriktive Einstellung ist auch die Standardeinstellung.

• SQL-Sonderzeichen — Mindestens eines der Sonderzeichen muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen.

• SQL-Schlüsselwort — Mindestens eines der angegebenen SQL-Schlüsselwörter muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Wählen Sie diese Option nicht ohne angemessene Berücksichtigung aus. Um Fehlalarme zu vermeiden, stellen Sie sicher, dass keines der Schlüsselwörter in den Eingaben erwartet wird.

• SQL-Sonderzeichen oder Schlüsselwort—Entweder das Schlüsselwort oder die Sonderzeichenfolge muss in der Eingabe vorhanden sein, um die Sicherheitsüberprüfungsverletzung auszulösen.

Tipp:

Wenn Benutzer die Web Application Firewall so konfigurieren, dass sie nach Eingaben sucht, die ein SQL-Sonderzeichen enthalten, überspringt die Web Application Firewall Webformularfelder, die keine Sonderzeichen enthalten. Da die meisten SQL-Server keine SQL-Befehle verarbeiten, denen kein Sonderzeichen vorangestellt ist, kann die Aktivierung dieser Option die Web Application Firewall erheblich reduzieren und die Verarbeitung beschleunigen, ohne die vom Benutzer geschützten Websites zu gefährden.

Umgang mit SQL-Kommentaren — Standardmäßig überprüft die Web Application Firewall alle SQL-Kommentare auf injizierte SQL-Befehle. Viele SQL-Server ignorieren jedoch alles in einem Kommentar, auch wenn ein SQL-Sonderzeichen vorangestellt ist. Wenn Ihr SQL-Server Kommentare ignoriert, können Sie zur schnelleren Verarbeitung die Web Application Firewall so konfigurieren, dass Kommentare bei der Prüfung von Anfragen für injiziertes SQL übersprungen werden. Die Optionen für die Verarbeitung von SQL-Kommentaren sind:

• ANSI — Überspringt SQL-Kommentare im ANSI-Format, die normalerweise von UNIX-basierten SQL-Datenbanken verwendet werden. Beispiel:

  • /— (Zwei Bindestriche) - Dies ist ein Kommentar, der mit zwei Bindestrichen beginnt und mit dem Zeilenende endet.

  • {} - Klammern (Klammern umschließen den Kommentar. Das {steht vor dem Kommentar und das} folgt ihm. Klammern können ein- oder mehrzeilige Kommentare abgrenzen, Kommentare können jedoch nicht verschachtelt werden)

  • /**/: Kommentare im C-Stil (Erlaubt keine verschachtelten Kommentare). Bitte beachten Sie /*! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/

  • MySQL Server unterstützt einige Varianten von Kommentaren im C-Stil. Diese ermöglichen es Benutzern, Code zu schreiben, der MySQL-Erweiterungen enthält, aber immer noch portierbar ist, indem sie Kommentare der folgenden Form verwenden: [/*! MySQL-spezifischer Code */]

  • .#: Mysql-Kommentare: Dies ist ein Kommentar, der mit dem Zeichen # beginnt und mit einem Zeilenende endet

• Verschachtelt — Überspringt verschachtelte SQL-Kommentare, die normalerweise von Microsoft SQL Server verwendet werden. Zum Beispiel; — (Zwei Bindestriche) und/**/(Erlaubt verschachtelte Kommentare)

• ANSI/Nested — Überspringt Kommentare, die sowohl den ANSI- als auch den verschachtelten SQL-Kommentarstandards entsprechen. Kommentare, die nur dem ANSI-Standard oder nur dem verschachtelten Standard entsprechen, werden weiterhin auf injizierte SQL überprüft.

• Alle Kommentare überprüfen — Überprüft die gesamte Anfrage für eingespritztes SQL, ohne etwas zu überspringen. Dies ist die Standardeinstellung.

Tipp:

In den meisten Fällen sollten Benutzer die Option Verschachtelt oder ANSI/Verschachtelt nicht wählen, es sei denn, ihre Back-End-Datenbank läuft auf Microsoft SQL Server. Die meisten anderen Typen von SQL Server-Software erkennen verschachtelte Kommentare nicht. Wenn verschachtelte Kommentare in einer Anfrage erscheinen, die an einen anderen SQL-Servertyp gerichtet ist, deuten sie möglicherweise auf einen Versuch hin, die Sicherheit auf diesem Server zu verletzen.

Anforderungsheader prüfen — Aktivieren Sie diese Option, wenn Benutzer nicht nur die Eingabe in den Formularfeldern überprüfen, sondern auch die Anforderungsheader auf HTML SQL Injection-Angriffe untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im BereichErweiterte Einstellungen->Profileinstellungendes Profils Web Application Firewall aktivieren.

Hinweis:

Wenn Benutzer das Header-Flag „Anfrage prüfen“ aktivieren, müssen sie möglicherweise eine Relaxationsregel für denUser-Agent-Headerkonfigurieren. Das Vorhandensein des SQL-Schlüsselwortslikeund eines SQL-Sonderzeichen-Semikolons (;) kann falsch positive und Blockanforderungen auslösen, die diesen Header enthalten. Warnung: Wenn Benutzer sowohl die Überprüfung des Anforderungs-Headers als auch die Transformation aktivieren, werden auch alle SQL-Sonderzeichen in Headern transformiert Die Header Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect und User-Agent enthalten normalerweise Semikolons (;). Die gleichzeitige Aktivierung von Request-Header-Überprüfung und Transformation kann zu Fehlern führen

inspectQueryContentTypes— Konfigurieren Sie diese Option, wenn Benutzer den Anforderungsabfrageteil auf SQL-Injection-Angriffe für die spezifischen Inhaltstypen untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im BereichErweiterte Einstellungen->Profileinstellungendes Anwendungs-Firewall-Profils konfigurieren.

Site-übergreifende Skripting

Die HTML Cross-Site Scripting (Cross-Site Scripting) -Prüfung untersucht sowohl die Header als auch die POST-Texte von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe. Wenn es ein Cross-Site-Skript findet, ändert (transformiert) es entweder die Anforderung, um den Angriff unschädlich zu machen, oder blockiert die Anforderung.

Hinweis:

Die Prüfung von HTML Cross-Site Scripting (Cross-Site-Scripting) funktioniert nur für den Inhaltstyp, die Inhaltslänge usw. Es funktioniert nicht für Cookie. Stellen Sie außerdem sicher, dass die Option ‘checkRequestHeaders’ im Benutzerprofil der Web Application Firewall aktiviert ist.

Um den Missbrauch von Skripten auf benutzergeschützten Websites zu verhindern und die Sicherheit auf Benutzerwebsites zu verletzen, blockiert die HTML Cross-Site Scripting Prüfung Skripts, die gegen dieselbe Ursprungsregel verstoßen, die besagt, dass Skripts nicht auf Inhalte auf einem Server zugreifen oder diese ändern dürfen, außer auf dem Server, auf dem sie sich befinden. Jedes Skript, das gegen dieselbe Ursprungsregel verstößt, wird als siteübergreifendes Skript bezeichnet, und die Praxis, Skripts zum Zugriff auf oder Ändern von Inhalten auf einem anderen Server zu verwenden, wird als siteübergreifende Skripts bezeichnet. Der Grund, warum Cross-Site Scripting ein Sicherheitsproblem darstellt, besteht darin, dass ein Webserver, der Cross-Site Scripting ermöglicht, mit einem Skript angegriffen werden kann, das sich nicht auf diesem Webserver befindet, sondern auf einem anderen Webserver, z. B. einem, der dem Angreifer gehört und von diesem kontrolliert wird.

Leider verfügen viele Unternehmen über eine große installierte Basis von Webinhalten mit Javascript, die gegen dieselbe Ursprungsregel verstoßen. Wenn Benutzer die HTML Cross-Site Scripting Prüfung auf einer solchen Site aktivieren, müssen sie die entsprechenden Ausnahmen generieren, damit die Prüfung legitime Aktivitäten nicht blockiert.

Die Web Application Firewall bietet verschiedene Aktionsoptionen zur Implementierung des HTML Cross-Site Scripting-Schutzes. Zusätzlich zu den AktionenBlockieren,Protokollieren,StatistikenundLernenhaben Benutzer auch die Möglichkeit,standortübergreifende Skripte zu transformieren, um einen Angriff unschädlich zu machen, indem die Skript-Tags in der eingereichten Anfrage durch Entitäten codiert werden. Benutzer können Check complete URLs für den Cross-Site-Scripting-Parameter konfigurieren, um anzugeben, ob sie nicht nur die Abfrageparameter, sondern die gesamte URL überprüfen möchten, um einen Cross-Site-Scripting-Angriff zu erkennen. Benutzer können den Parameter InspectQueryContentTypesso konfigurieren, dass der Anforderungsabfrageteil auf einen Cross-Site-Scripting-Angriff für die spezifischen Inhaltstypen überprüft wird.

Benutzer können Relaxationen einsetzen, um Fehlalarme zu vermeiden. Die Lernmaschine der Web Application Firewall kann Empfehlungen für die Konfiguration von Relaxationsregeln geben.

Für die Konfiguration eines optimierten HTML Cross-Site Scripting-Schutzes für die Benutzeranwendung stehen die folgenden Optionen zur Verfügung:

• Blockieren — Wenn Benutzer aktivieren block, wird die Blockaktion ausgelöst, wenn die Cross-Site-Scripting-Tags in der Anforderung erkannt werden.

• Log — Wenn Benutzer die Protokollfunktion aktivieren, generiert die HTML Cross-Site Scripting-Prüfung Protokollmeldungen, die die ergriffenen Aktionen angeben. Wenn deaktiviert block ist, wird für jedes Header- oder Formularfeld, in dem die Cross-Site-Scripting-Verletzung erkannt wurde, eine separate Protokollnachricht generiert. Allerdings wird nur eine Nachricht generiert, wenn die Anforderung blockiert wird. In ähnlicher Weise wird eine Protokollnachricht pro Anforderung für den Transformationsvorgang generiert, auch wenn Cross-Site-Scripting-Tags in mehrere Felder umgewandelt werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Versuche hinweisen, einen Angriff zu starten.

• Statistiken — Wenn diese Option aktiviert ist, sammelt die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hinweisen, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration erneut aufrufen, um festzustellen, ob sie neue Relaxationsregeln konfigurieren oder die vorhandenen ändern müssen.

• Lernen — Wenn Benutzer sich nicht sicher sind, welche Relaxationsregeln für ihre Anwendung am besten geeignet sind, können sie die Lernfunktion verwenden, um basierend auf den erlernten Daten Empfehlungen für HTML-Site-Scripting-Regeln zu generieren. Die Web Application Firewall Learning Engine überwacht den Datenverkehr und gibt auf der Grundlage der beobachteten Werte Lernempfehlungen. Um einen optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

• Site-übergreifende Skripts transformieren — Wenn diese Option aktiviert ist, nimmt die Web Application Firewall die folgenden Änderungen an Anforderungen vor, die der Prüfung für HTML Cross-Site Scripting entsprechen:

  • Linke eckige Klammer (<) zum Äquivalent der HTML-Zeichenentität (<)

  • Rechtwinklige Klammer (>) zu HTML-Zeichenentitätsäquivalent (>)

Dadurch wird sichergestellt, dass Browser keine unsicheren HTML-Tags wie <script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.

• Vollständige URLs auf Cross-Site Scripting prüfen — Wenn die Überprüfung vollständiger URLs aktiviert ist, untersucht die Web Application Firewall ganze URLs auf Site-übergreifende HTML-Scripting-Angriffe, anstatt nur die Abfrageteile von URLs zu überprüfen.

• Anforderungsheader prüfen — Wenn die Request Header-Prüfung aktiviert ist, untersucht die Web Application Firewall die Header von Anforderungen für Site-übergreifende HTML-Scripting-Angriffe, anstatt nur URLs. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte Einstellungen des Web Application Firewall-Profils aktivieren.

• inspectQueryContentTypes— Wenn Request Query Inspection konfiguriert ist, untersucht die Anwendungs-Firewall die Abfrage von Anforderungen für Cross-Site-Scripting-Angriffe für die spezifischen Inhaltstypen. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte Einstellungen des Anwendungs-Firewall-Profils konfigurieren.

Wichtig:

Im Zuge der Streaming-Änderungen hat sich die Verarbeitung der Cross-Site-Scripting-Tags durch die Web Application Firewall geändert. In früheren Versionen wurde das Vorhandensein von offenen Klammern (<), or close bracket (>) oder sowohl offenen als auch geschlossenen Klammern (<>) als Cross-Site-Scripting-Verletzung gekennzeichnet. Das Verhalten wurde in den Builds geändert, die Unterstützung für das Streaming auf der Anforderungsseite beinhalten Nur das Zeichen in der engen Klammer (>) wird nicht mehr als Angriff betrachtet. Anfragen werden auch dann geblockt, wenn ein Zeichen in offener Klammer (<) vorhanden ist, und werden als Angriff betrachtet. Der Cross-Site-Scripting-Angriff wird markiert.

Pufferüberlaufprüfung

Die Pufferüberlaufprüfung erkennt Versuche, einen Pufferüberlauf auf dem Webserver zu verursachen. Wenn die Web Application Firewall feststellt, dass die URL, die Cookies oder der Header länger als die konfigurierte Länge sind, blockiert sie die Anfrage, da sie einen Pufferüberlauf verursachen kann.

Die Pufferüberlaufprüfung verhindert Angriffe auf unsichere Betriebssystem- oder Webserver-Software, die abstürzen oder sich unvorhersehbar verhalten können, wenn sie eine Datenzeichenfolge empfängt, die größer ist als sie verarbeiten kann. Richtige Programmiertechniken verhindern Pufferüberläufe, indem eingehende Daten überprüft und überlange Zeichenfolgen zurückgewiesen oder abgeschnitten werden. Viele Programme überprüfen jedoch nicht alle eingehenden Daten und sind daher anfällig für Pufferüberläufe. Dieses Problem betrifft insbesondere ältere Versionen von Web-Server-Software und Betriebssystemen, von denen viele noch verwendet werden.

Die Pufferüberlauf-Sicherheitsprüfung ermöglicht es Benutzern, dieBlock-,Log- undStatistik-Aktionenzu konfigurieren. Darüber hinaus können Benutzer auch die folgenden Parameter konfigurieren:

• Maximale URL-Länge. Die maximale Länge, die die Web Application Firewall in einer angeforderten URL zulässt. Anfragen mit längeren URLs werden blockiert.Mögliche Werte: 0—65535.Standard: 1024

• Maximale Cookie-Länge Die maximale Länge, die die Web Application Firewall für alle Cookies in einer Anfrage zulässt. Anfragen mit längeren Cookies lösen die Verstöße aus.Mögliche Werte: 0—65535.Standard: 4096

• Maximale Kopfzeilenlänge. Die maximale Länge, die die Web Application Firewall für HTTP-Header zulässt. Anfragen mit längeren Kopfzeilen werden blockiert.Mögliche Werte: 0—65535.Standard: 4096

• Länge der Abfragezeichenfolge. Die maximale Länge, die für eine Abfragezeichenfolge in einer eingehenden Anforderung zulässig ist. Anfragen mit längeren Abfragen werden blockiert. Mögliche Werte: 0—65535. Standard: 1024

• Gesamtlänge der Anfrage. Maximale Anforderungslänge für eine eingehende Anforderung. Anfragen mit einer längeren Länge werden blockiert. Mögliche Werte: 0—65535. Standard: 24820

Virtuelles Patchen/Signaturen

Die Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz von Benutzerwebsites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Ein umfangreicher Satz vorkonfigurierter integrierter oder nativer Regeln bietet eine benutzerfreundliche Sicherheitslösung, die die Leistungsfähigkeit des Mustervergleichs einsetzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.

Benutzer können ihre eigenen Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web Application Firewall hat zwei eingebaute Vorlagen:

• Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste von über 1.300 Signaturen sowie eine vollständige Liste von SQL-Injection-Schlüsselwörtern, SQL-Sonderzeichenfolgen, SQL-Transformationsregeln und SQL-Platzhalterzeichen. Es enthält auch abgelehnte Muster für siteübergreifende Skripterstellung sowie zulässige Attribute und Tags für siteübergreifende Skripterstellung. Dies ist eine schreibgeschützte Vorlage. Benutzer können den Inhalt anzeigen, aber sie können in dieser Vorlage nichts hinzufügen, bearbeiten oder löschen. Um es verwenden zu können, müssen Benutzer eine Kopie erstellen. In ihrer eigenen Kopie können Benutzer die Signaturregeln aktivieren, die sie auf ihren Datenverkehr anwenden möchten, und die Aktionen angeben, die ausgeführt werden sollen, wenn die Signaturregeln mit dem Verkehr übereinstimmen.

Die Signaturen stammen aus den von SNORT: SNORTveröffentlichten Regeln, einem Open-Source-Intrusion Prevention-System, das in der Lage ist, Verkehrsanalysen in Echtzeit durchzuführen, um verschiedene Angriffe und Tests zu erkennen.

• *Xpath Injection Patterns: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal- und PCRE-Schlüsselwörtern sowie spezielle Strings, die zur Erkennung von XPath-Injection-Angriffen (XML Path Language) verwendet werden.

Leere Signaturen: Benutzer können nicht nur eine Kopie der integrierten Vorlage für Standardsignaturen erstellen, sondern auch eine leere Signaturvorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Benutzer mit der Option Leere Signaturen erstellen, hat keine nativen Signaturregeln, aber genau wie die *Default-Vorlage enthält es alle in SQL/XSS integrierten Entitäten.

Signaturen im externen Format: Die Web Application Firewall unterstützt auch externe Formatsignaturen. Benutzer können den Scanbericht von Drittanbietern mithilfe der XSLT-Dateien importieren, die von der Citrix Web Application Firewall unterstützt werden. Für ausgewählte Scan-Tools steht eine Reihe integrierter XSLT-Dateien zur Verfügung, um externe Formatdateien in ein systemeigenes Format zu übersetzen (eine Liste der integrierten XSLT-Dateien finden Sie weiter unten in diesem Abschnitt).

Während Signaturen den Benutzern helfen, das Risiko offengelegter Schwachstellen zu verringern und die geschäftskritischen Webserver des Benutzers zu schützen, während gleichzeitig die Wirksamkeit angestrebt wird, verursachen Signaturen zusätzliche CPU-Verarbeitung.

Es ist wichtig, die richtigen Signaturen für die Bedürfnisse der Benutzeranwendung auszuwählen. Aktivieren Sie nur die Signaturen, die für die Kundenanwendung/-umgebung relevant sind.

Citrix bietet Signaturen in mehr als 10 verschiedenen Kategorien für Plattformen/Betriebssystem/Technologien.

Die Datenbank mit Signaturregeln ist umfangreich, da sich im Laufe der Jahre Angriffsinformationen gesammelt haben. Daher sind die meisten alten Regeln möglicherweise nicht für alle Netzwerke relevant, da Softwareentwickler sie möglicherweise bereits gepatcht haben oder Kunden eine neuere Version des Betriebssystems ausführen.

Signaturen-Updates

Die Citrix Web Application Firewall unterstützt sowohl die automatische als auch die manuelle Aktualisierung von Signaturen. Wir empfehlen außerdem die automatische Aktualisierung für Signaturen zu aktivieren, um auf dem neuesten Stand zu bleiben.

Diese Signaturdateien werden in der AWS-Umgebung gehostet und es ist wichtig, ausgehenden Zugriff auf NetScaler-IPs von Netzwerk-Firewalls aus zu ermöglichen, um die neuesten Signaturdateien abzurufen. Das Aktualisieren von Signaturen für den ADC während der Verarbeitung von Echtzeitverkehr hat keine Auswirkung

Analysen zur Anwendungssicherheit

DasApplication Security Dashboardbietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Beispielsweise werden wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes angezeigt. Das Application Security Dashboard zeigt auch angriffsbezogene Informationen wie Syn-Angriffe, Small-Fenster-Angriffe und DNS-Flutangriffe für die erkannten Citrix ADC ADC-Instanzen an.

Hinweis:

Um die Metriken des Application Security Dashboard anzuzeigen, sollte AppFlow for Security Insight auf den Citrix ADC ADC-Instanzen aktiviert sein, die Benutzer überwachen möchten.

So zeigen Sie die Sicherheitsmetriken einer Citrix ADC ADC-Instanz im Anwendungssicherheits-Dashboard an

1. Melden Sie sich mit den Administratoranmeldeinformationen bei Citrix ADM an.

2. Navigieren Sie zu Applications > App Security Dashboard und wählen Sie die Instanz-IP-Adresse aus der Geräteliste aus.

Benutzer können die im Application Security Investigator gemeldeten Unstimmigkeiten weiter aufschlüsseln, indem sie auf die im Diagramm dargestellten Blasen klicken.

Zentralisiertes Lernen zu ADM

Die Citrix Web Application Firewall (WAF) schützt Benutzerwebanwendungen vor böswilligen Angriffen wie SQL-Injection und Cross-Site Scripting (XSS). Um Datenverletzungen zu verhindern und den richtigen Sicherheitsschutz zu bieten, müssen Benutzer ihren Datenverkehr auf Bedrohungen und in Echtzeit verwertbare Daten zu Angriffen überwachen. Manchmal können die gemeldeten Angriffe falsch positiv sein, und diese müssen als Ausnahme bereitgestellt werden.

Das Centralized Learning on Citrix ADM ist ein sich wiederholender Musterfilter, mit dem WAF das Verhalten (die normalen Aktivitäten) von Benutzerwebanwendungen erlernen kann. Basierend auf der Überwachung generiert die Engine eine Liste der vorgeschlagenen Regeln oder Ausnahmen für jede Sicherheitsprüfung, die auf den HTTP-Datenverkehr angewendet wird.

Es ist viel einfacher, Relaxationsregeln mithilfe der Learning-Engine bereitzustellen, als sie bei Bedarf manuell einzusetzen.

Um die Lernfunktion bereitzustellen, müssen Benutzer zunächst ein Web Application Firewall-Profil (eine Reihe von Sicherheitseinstellungen) auf der Citrix ADC Appliance des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erstellen von Webanwendungs-Firewallprofilen: Erstellen von Web App Firewall Firewall-Profilen.

Citrix ADM generiert eine Liste von Ausnahmen (Relaxationen) für jede Sicherheitsprüfung. Als Administrator können Benutzer die Liste der Ausnahmen in Citrix ADM überprüfen und entscheiden, ob sie bereitstellen oder überspringen möchten.

Mit der WAF-Lernfunktion in Citrix ADM können Benutzer:

• Konfigurieren Sie ein Lernprofil mit den folgenden Sicherheitsprüfungen

  • Pufferüberlauf

  • HTML Cross-Site-Scripting

  Hinweis:

  Die Standortbeschränkung für Cross-Site-Skripte ist nur FormField.

  • HTML SQL Injection

  Hinweis:

  Für die Überprüfung von HTML SQL Injection müssen Benutzerset -sqlinjectionTransformSpecialChars auf ON undset -sqlinjectiontype sqlspclcharorkeywords in der Citrix ADC ADC-Instanz konfigurieren.

• Überprüfen Sie die Relaxationsregeln in Citrix ADM und entscheiden Sie, die erforderlichen Maßnahmen zu ergreifen (Bereitstellen oder Überspringen)

• Erhalten Sie die Benachrichtigungen per E-Mail, Slack und ServiceNow

• Verwenden Sie das Dashboard, um Entspannungsdetails anzuzeigen

So verwenden Sie das WAF-Lernen in Citrix ADM:

1. Lernprofil konfigurieren: Lernprofilkonfigurieren

2. Siehe die Entspannungsregeln: Entspannungsregeln und Leerlaufregeln anzeigen

3. Verwenden des WAF-Lern-Dashboards: WAF-Lern-Dashboard anzeigen

StyleBook

Die Citrix Web Application Firewall ist eine Web Application Firewall (WAF), die Webanwendungen und Websites vor bekannten und unbekannten Angriffen schützt, einschließlich aller Bedrohungen auf Anwendungsebene und Zero-Day-Bedrohungen.

Citrix ADM bietet jetzt ein Standard-StyleBook, mit dem Benutzer bequemer eine Anwendungs-Firewallkonfiguration auf Citrix ADC ADC-Instanzen erstellen können.

Bereitstellen von Anwendungs-Firewall-Konfigurationen

Die folgende Aufgabe unterstützt Sie bei der Bereitstellung einer Lastausgleichskonfiguration zusammen mit der Anwendungsfirewall und der IP-Reputationsrichtlinie auf Citrix ADC-Instanzen in Ihrem Unternehmensnetzwerk.

So erstellen Sie eine LB-Konfiguration mit Anwendungs-Firewall-Einstellungen

Navigieren Sie in Citrix ADM zuApplications>Configurations>StyleBooks. Auf der StyleBooks-Seite werden alle StyleBooks angezeigt, die Kunden in Citrix verwenden können.

• ADM. Scrollen Sie nach unten und suchen Sie das HTTP/SSL Load Balancing StyleBook mit der Firewall-Richtlinie und der IP-Reputationsrichtlinie. Benutzer können auch nach dem StyleBook suchen, indem sie den Namen als eingeben lb-appfw. Klicken Sie aufKonfiguration erstellen.

Das StyleBook wird als Benutzeroberflächenseite geöffnet, auf der Benutzer die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

• Geben Sie Werte für die folgenden Parameter ein:

  • Anwendungsname für Lastausgleich. Name der Konfiguration mit Lastausgleich mit einer Anwendungs-Firewall, die im Benutzernetzwerk bereitgestellt werden soll.

  • Laden Sie ausbalancierte virtuelle IP-Adresse der App. Virtuelle IP-Adresse, unter der die Citrix ADC-Instanz Clientanforderungen empfängt.

  • Laden Sie den virtuellen Port für ausbalancierte App. Der TCP-Port, der von den Benutzern beim Zugriff auf die Lastausgleichsanwendung verwendet wird.

  • Load Balanced App-Protokoll. Wählen Sie das Front-End-Protokoll aus der Liste aus.

  • Anwendungsserver-Protokoll. Wählen Sie das Protokoll des Anwendungsservers aus.

• Optional können Benutzer dieerweiterten Load Balancer-Einstellungenaktivieren und konfigurieren.

• Optional können Benutzer auch einen Authentifizierungsserver für die Authentifizierung des Datenverkehrs für den virtuellen Lastausgleichsserver einrichten.

• Klicken Sie im Abschnitt Server-IPs und -Ports auf „+“, um Anwendungsserver und die Ports zu erstellen, über die auf sie zugegriffen werden kann.

• Benutzer können auch FQDN-Namen für Anwendungsserver erstellen.

• Benutzer können auch die Details des SSL-Zertifikats angeben.

• Benutzer können auch Monitore in der Citrix ADC ADC-Zielinstanz erstellen.

• Um die Anwendungs-Firewall auf dem virtuellen Server zu konfigurieren, aktivieren Sie WAF-Einstellungen.

Stellen Sie sicher, dass die Anwendungs-Firewall-Richtlinienregel wahr ist, wenn Benutzer die Firewalleinstellungen der Anwendung auf den gesamten Datenverkehr auf dieser VIP anwenden möchten. Andernfalls geben Sie die Citrix ADC Richtlinienregel an, um eine Teilmenge von Anforderungen auszuwählen, auf die die Firewalleinstellungen der Anwendung angewendet werden sollen. Wählen Sie als Nächstes den Profiltyp aus, der angewendet werden soll - HTML oder XML.

• Optional können Benutzer detaillierte Firewall-Profileinstellungen für Anwendungen konfigurieren, indem sie das Kontrollkästchen Profileinstellungen der Anwendungs-Firewall aktivieren.

• Wenn Benutzer Anwendungsfirewallsignaturen konfigurieren möchten, geben Sie optional den Namen des Signaturobjekts ein, das auf der Citrix ADC ADC-Instanz erstellt wird, in der der virtuelle Server bereitgestellt werden soll.

Hinweis:

Benutzer können mit diesem StyleBook keine Signaturobjekte erstellen.

• Als Nächstes können Benutzer auch alle anderen Firewall-Profileinstellungen für Anwendungen konfigurieren, z. B. startURL-Einstellungen, DenyURL-Einstellungen und andere.

Weitere Informationen zur Anwendungsfirewall und Konfigurationseinstellungen finden Sie unter Anwendungsfirewall.

• Wählen Sie im AbschnittZielinstanzendie Citrix ADC ADC-Instanz aus, auf der der virtuelle Lastausgleichsserver mit der Anwendungs-Firewall bereitgestellt werden soll.

Hinweis:

Benutzer können auch auf das Aktualisierungssymbol klicken, um kürzlich erkannte Citrix ADC ADC-Instanzen in Citrix ADM zur Liste der verfügbaren Instanzen in diesem Fenster hinzuzufügen.

• Benutzer können auch dieIP-Reputationsprüfungaktivieren, um die IP-Adresse zu identifizieren, die unerwünschte Anfragen sendet. Benutzer können die IP-Reputationsliste verwenden, um Anfragen, die von der IP mit der schlechten Reputation kommen, präventiv abzulehnen.

Tipp:

Citrix empfiehlt Benutzern, Dry Run auszuwählen, um die Konfigurationsobjekte zu überprüfen, die auf der Zielinstanz erstellt werden müssen, bevor sie die eigentliche Konfiguration auf der Instanz ausführen.

Wenn die Konfiguration erfolgreich erstellt wurde, erstellt das StyleBook den erforderlichen virtuellen Lastenausgleichsserver, Anwendungsserver, Dienste, Dienstgruppen, Anwendungsfirewall Labels, Anwendungsfirewall Richtlinien und bindet sie an den virtuellen Lastausgleichsserver.

Die folgende Abbildung zeigt die in jedem Server erstellten Objekte:

• Um das ConfigPack anzuzeigen, das auf Citrix ADM erstellt wurde, navigieren Sie zu Anwendungen > Konfigurationen.

Security Insight Analytik

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Benutzer Einblick in Art und Ausmaß vergangener, gegenwärtiger und drohender Bedrohungen, umsetzbare Echtzeitdaten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Einbereichslösung, mit der Benutzer den Sicherheitsstatus von Benutzeranwendungen einschätzen und Korrekturmaßnahmen ergreifen können, um Benutzeranwendungen zu schützen.

Funktionsweise von Security Insight

Security Insight ist eine intuitive dashboard-basierte Sicherheitsanalyselösung, die Benutzern einen vollständigen Einblick in die mit Benutzeranwendungen verbundene Bedrohungsumgebung bietet. Security Insight ist in Citrix ADM enthalten und generiert regelmäßig Berichte, die auf den Benutzerkonfigurationen Application Firewall und ADC-Systemsicherheit basieren. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

• Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen wie Art des Verstoßes, Angriffskategorie, Standort und Clientdetails geben Benutzern Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

• Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Benutzer die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Sicherheitslücken zu schützen. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des ADC-Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen des ADC-Systems, z. B. ein sicheres Kennwort für den nsroot Benutzer, nicht übernommen wurden, wird den Anwendungen ein niedriger Sicherheitsindexwert zugewiesen.

• Umsetzbare Informationen. Informationen, die Benutzer benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Benutzer können beispielsweise Informationen über Verstöße, bestehende und fehlende Sicherheitskonfigurationen für die Anwendungs-Firewall und andere Sicherheitsfunktionen, die Rate, mit der die Anwendungen angegriffen werden, usw. überprüfen.

Konfigurieren von Security Insight

Hinweis:

Security Insight wird nur auf ADC-Instanzen mit Premium-Lizenz oder ADC Advanced mit AppFirewall -Lizenz unterstützt.

Um Sicherheitseinblicke für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Anwendungsfirewallprofil und eine Anwendungsfirewall-Richtlinie und binden Sie dann die Richtlinie für die Anwendungsfirewall global.

Aktivieren Sie dann die AppFlow Funktion, konfigurieren Sie einen AppFlow-Kollektor, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Benutzer den Collector konfigurieren, müssen sie die IP-Adresse des Citrix ADM Service ADM-Dienstagenten angeben, auf dem sie die Berichte überwachen möchten.

Security Insight auf einer ADC-Instanz konfigurieren

• Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

add appfw profile \ <name\ >\ [-defaults (basic oder advanced)]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

bind appfw global <policyName> <priority>

oder,

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

Beispiel:

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

add appflow collector <name> -IPAddress <ipaddress>

set appflow Parameter [-SecurityInsightRecordInterval** \\ <secs\ >]\ [-SecurityInsightTraffic** (ENABLED oder DISABLED)]

add appflow action <name> -collectors <string>

add appflow policy <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

oder,

bind lb vserver <vserver> -policyName <policy> -priority <priority>

Beispiel:

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Aktivieren von Security Insight von Citrix ADM

1. Navigieren Sie zuNetzwerke>Instances>Citrix ADCund wählen Sie den Instanztyp aus. Zum Beispiel VPX.

2. Wählen Sie die Instanz aus und klicken Sie in der ListeAktion auswählenaufAnalytics konfigurieren.

3. Gehen Sie im Fenster Analytics auf virtuellen Server konfigurierenwie folgt vor:

   • Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie aufAnalytics aktivieren.

   Das FensterAnalytics aktivierenwird angezeigt.

   • Wählen SieSecurity Insight

   • Wählen Sie unterErweiterte OptionenLogstreamoderIPFIXals Transportmodus

   • Der Ausdruck ist standardmäßig true

   • Klicken Sie aufOK

Hinweis:

• Wenn Benutzer virtuelle Server auswählen, die nicht lizenziert sind, lizenziert Citrix ADM zuerst diese virtuellen Server und aktiviert dann Analysen

• Für Admin-Partitionen wird nur Web Insight unterstützt

Nachdem Benutzer aufOKgeklickt haben, aktiviert Citrix ADM Analysen auf den ausgewählten virtuellen Servern.

Hinweis:

Wenn Benutzer eine Gruppe erstellen, können sie der Gruppe Rollen zuweisen, der Gruppe Zugriff auf Anwendungsebene gewähren und der Gruppe Benutzer zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressbasierte Autorisierung. Kundenbenutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) sehen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zur Gruppe finden Sie unter Configure Groups on Citrix ADM: Configure Groups on Citrix ADM.

Schwellenwerte

Benutzer können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So setzen Sie einen Schwellenwert

• Navigieren Sie zuSystem>Analytics-Einstellungen>Schwellenwerteund wählen SieHinzufügenaus.

• Wählen Sie den Traffic-Typ alsSicherheitim Feld Traffic-Typ aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

• Verwenden Sie im AbschnittRegeldie Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen. Zum Beispiel „Bedrohungsindex“ „>“ „5“

• Klicken Sie auf Erstellen.

So zeigen Sie die Schwellenverstöße an

• Navigieren Sie zuAnalytics>Security Insight>Devicesund wählen Sie die ADC-Instanz aus.

• Im AbschnittAnwendungkönnen Benutzer in der Spalte Schwellenverletzung die Anzahl der Schwellenverletzungen anzeigen, die für jeden virtuellen Server aufgetreten sind.

Security Insight — Anwendungsfall

In den folgenden Anwendungsfällen wird beschrieben, wie Benutzer Security Insight nutzen können, um die Bedrohungsgefährdung von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Erhalten Sie einen Überblick über die Bedrohungsumgebung

In diesem Anwendungsfall verfügen Benutzer über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und sie haben Citrix ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Benutzer müssen häufig den Bedrohungsindex, den Sicherheitsindex sowie die Art und Schwere aller Angriffe, denen die Anwendungen ausgesetzt waren, überprüfen, damit sie sich zunächst auf die Anwendungen konzentrieren können, die am meisten Aufmerksamkeit benötigen. Das Security Insight Dashboard bietet eine Zusammenfassung der Bedrohungen, denen die Benutzeranwendungen über einen bestimmten Zeitraum und für ein ausgewähltes ADC-Gerät ausgesetzt sind. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Beispielsweise überwachen Benutzer möglicherweise Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung, und Benutzer möchten möglicherweise eine Zusammenfassung der Bedrohungsumgebung für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zuAnalytics > Security Insight.

Für jede Anwendung werden Schlüsselinformationen angezeigt. Der Standardzeitraum ist 1 Stunde.

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie in der Liste oben links einen Zeitraum aus.

Um eine Zusammenfassung für eine andere ADC-Instanz anzuzeigen, klicken Sie unterGeräteauf die IP-Adresse der ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Ermitteln der Bedrohungsgefahr einer Anwendung

Nach der Überprüfung einer Zusammenfassung der Bedrohungsumgebung im Security Insight Insight-Dashboard, um die Anwendungen zu identifizieren, die einen hohen Bedrohungsindex und einen niedrigen Sicherheitsindex aufweisen, möchten die Benutzer ihre Bedrohungsgefährdung ermitteln, bevor sie entscheiden, wie sie geschützt werden sollen. Das heißt, Benutzer möchten die Art und Schwere der Angriffe ermitteln, die ihre Indexwerte beeinträchtigt haben. Benutzer können die Bedrohungslage einer Anwendung anhand der Anwendungszusammenfassung ermitteln.

In diesem Beispiel hat Microsoft Outlook einen Bedrohungsindexwert von 6, und Benutzer möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Um die Bedrohungsgefährdung von Microsoft Outlook zu ermitteln, klicken Sie imSecurity Insight Insight-Dashboard aufOutlook. Die Anwendungsübersicht enthält eine Karte, die den geografischen Standort des Servers identifiziert.

Klicken Sie aufBedrohungsindex > Verletzungen der Sicherheitsüberprüfung, und überprüfen Sie die angezeigten Informationen zu Verstößen

Klicken Sie aufSignaturverstößeund überprüfen Sie die angezeigten Informationen zu Verstößen.

Ermitteln vorhandener und fehlender Sicherheitskonfigurationen für eine Anwendung

Nach der Überprüfung der Bedrohungslage einer Anwendung möchten Benutzer feststellen, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Benutzer können diese Informationen abrufen, indem sie einen Drilldown in die Zusammenfassung des Sicherheitsindex der Anwendung durchführen.

Die Zusammenfassung des Sicherheitsindex gibt Benutzern Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

• Konfiguration der Anwendungs-Firewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.

• Citrix ADM Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

Im vorherigen Anwendungsfall überprüften Benutzer die Bedrohungsgefährdung von Microsoft Outlook, das einen Bedrohungsindexwert von 6 hat. Jetzt möchten Benutzer wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie imSecurity Insight Insight-DashboardaufOutlookund dann auf die RegisterkarteSicherheitsindex. Überprüfen Sie die Informationen im BereichZusammenfassung des Sicherheitsindex.

Klicken Sie im KnotenKonfiguration der Anwendungs-FirewallaufOutlook_Profile, und überprüfen Sie die Informationen zur Sicherheitsüberprüfung und Signaturverletzung in den Kreisdiagrammen.

Überprüfen Sie den Konfigurationsstatus der einzelnen Schutztypen in der Übersichtstabelle der Anwendungsfirewall. Um die Tabelle in einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Klicken Sie auf den KnotenCitrix ADM System Securityund überprüfen Sie die Systemsicherheitseinstellungen und die Empfehlungen von Citrix, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit erfordern, sind diejenigen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel weisen sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6 auf, Lync weist jedoch den unteren der beiden Sicherheitsindizes auf. Daher müssen Benutzer möglicherweise ihre Aufmerksamkeit auf Lync richten, bevor sie die Bedrohungsumgebung für Outlook verbessern können.

Bestimmen Sie die Anzahl der Angriffe in einem bestimmten Zeitraum

Benutzer möchten möglicherweise ermitteln, wie viele Angriffe zu einem bestimmten Zeitpunkt auf eine bestimmte Anwendung stattgefunden haben, oder sie möchten die Angriffsrate für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite Security Insight auf eine beliebige Anwendung und klicken Sie in der Anwendungszusammenfassung auf die Anzahl der Verstöße. Auf der Seite Total Violations werden die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat angezeigt.

Die TabelleAnwendungszusammenfassungenthält Einzelheiten zu den Angriffen. Einige von ihnen sind wie folgt:

• Angriffszeit

• IP-Adresse des Clients, von dem der Angriff stattgefunden hat

• Schweregrad

• Kategorie des Verstoßes

• URL, von der der Angriff stammt, und weitere Details.

Während Benutzer die Angriffszeit immer in einem stündlichen Bericht anzeigen können, wie auf dem Bild zu sehen ist, können sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für tägliche oder wöchentliche Berichte anzeigen. Wenn Benutzer in der Liste der Zeiträume „1 Tag“ auswählen, zeigt der Security Insight Insight-Bericht alle Angriffe an, die aggregiert sind, und die Angriffszeit wird in einem Zeitraum von einer Stunde angezeigt. Wenn Benutzer „1 Woche“ oder „1 Monat“ wählen, werden alle Angriffe zusammengefasst und die Angriffszeit wird in einem Tagesbereich angezeigt.

Detaillierte Informationen zu Sicherheitsverletzungen erhalten

Benutzer möchten möglicherweise eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in die Art und Schwere der Angriffe, die von der ADC-Instanz ausgeführten Aktionen, die angeforderten Ressourcen und die Quelle der Angriffe erhalten.

Beispielsweise möchten Benutzer möglicherweise ermitteln, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen der Quellen vorliegen.

Klicken Sie imSecurity Insight Insight-DashboardaufLync > Total Violations. Klicken Sie in der Tabelle in der SpaltenüberschriftAktionausgeführt auf das Filtersymbol, und wählen Sie dannBlockiertaus.

Informationen zu den Ressourcen, die angefordert wurden, finden Sie in der SpalteURL. Informationen zu den Quellen der Angriffe finden Sie in der SpalteClient-IP.

Details zum Protokollausdruck anzeigen

Citrix ADC ADC-Instanzen verwenden mit dem Application Firewall-Profil konfigurierte Protokollausdrücke, um Maßnahmen gegen die Angriffe auf eine Anwendung im Benutzerunternehmen zu ergreifen. In Security Insight können Benutzer die Werte anzeigen, die für die von der ADC-Instanz verwendeten Protokollausdrücke zurückgegeben werden. Diese Werte umfassen Anfrage-Header, Anforderungskörper und so weiter. Zusätzlich zu den Werten des Protokollausdrucks können Benutzer auch den Namen des Protokollausdrucks und den Kommentar für den Protokollausdruck anzeigen, der im Profil der Anwendungs-Firewall definiert ist, mit dem die ADC-Instanz Maßnahmen gegen den Angriff ergriffen hat.

Voraussetzungen

Stellen Sie sicher, dass Benutzer

• Konfigurieren Sie Protokollausdrücke im Profil der Anwendungsfirewall. Weitere Informationen finden Sie unter Application Firewall.

• Aktivieren Sie auf Protokollausdruck basierende Security Insights-Einstellungen in Citrix ADM. Führen Sie folgende Schritte aus:

  • Navigieren Sie zuAnalytics > Einstellungenund klicken Sie aufFunktionen für Analytics aktivieren.

  • Wählen Sie auf der Seite „Features für Analyticsaktivieren“ im Abschnitt „Auf Logausdruck basierende Security InsightSetting“ die Option „Enable Security Insight“aus

Beispielsweise möchten Benutzer möglicherweise die Werte des Protokollausdrucks anzeigen, der von der ADC-Instanz für die Aktion zurückgegeben wird, die sie bei einem Angriff auf Microsoft Lync im Benutzerunternehmen durchgeführt hat.

Navigieren Sie im Security Insight Insight-DashboardzuLync > Total Violations. Klicken Sie in der Tabelle Anwendungszusammenfassung auf die URL, um die vollständigen Details des Verstoßes auf der SeiteInformationen zur Verletzunganzuzeigen, einschließlich des Namens des Protokollausdrucks, des Kommentars und der von der ADC-Instanz für die Aktion zurückgegebenen Werte.

Bestimmen Sie den Sicherheitsindex vor der Bereitstellung der Konfiguration

Sicherheitsverletzungen treten auf, nachdem Benutzer die Sicherheitskonfiguration auf einer ADC-Instanz bereitgestellt haben. Möglicherweise möchten Benutzer jedoch die Wirksamkeit der Sicherheitskonfiguration bewerten, bevor sie sie bereitstellen.

Benutzer möchten beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der ADC-Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie imSecurity Insight Insight-DashboardunterGeräteauf die IP-Adresse der ADC-Instanz, die Benutzer konfiguriert haben. Benutzer können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Der Bedrohungsindex spiegelt direkt die Anzahl und Art der Angriffe auf die Anwendung wider. Null-Angriffe weisen darauf hin, dass die Anwendung nicht bedroht ist.

Klicken Sie aufSAP > Safety Index > SAP_Profileund bewerten Sie die angezeigten Sicherheitsindexinformationen.

In der Zusammenfassung der Anwendungs-Firewall können Benutzer den Konfigurationsstatus verschiedener Schutzeinstellungen anzeigen. Wenn eine Einstellung auf log eingestellt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

Sicherheitsverletzungen

Details zu Sicherheitsverstößen für Anwendungen anzeigen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. Mit Citrix ADM können Benutzer verwertbare Verstoßdetails visualisieren, um Anwendungen vor Angriffen zu schützen. Navigieren Sie zuSicherheit > Sicherheitsverstößefür eine Einbereichslösung, um:

• Greifen Sie auf die Sicherheitsverletzungen der Anwendung basierend auf ihren Kategorien wieNetzwerk,BotundWAFzu

• Ergreifen Sie Korrekturmaßnahmen, um die Anwendungen zu sichern

Um die Sicherheitsverletzungen in Citrix ADM anzuzeigen, stellen Sie Folgendes sicher:

• Benutzer haben eine Premium-Lizenz für die Citrix ADC ADC-Instanz (für WAF- und BOT-Verstöße).

• Benutzer haben eine Lizenz auf den virtuellen Load-Balancing- oder Content-Switching-Servern (für WAF und BOT) angewendet. Weitere Informationen finden Sie unter Lizenzierung auf virtuellen Servern verwalten.

• Benutzer aktivieren mehr Einstellungen. Weitere Informationen finden Sie im Abschnitt Setting up in der Citrix-Produktdokumentation: Setting up.

Kategorien von Verstößen**

Mit Citrix ADM können Benutzer die folgenden Verstöße anzeigen:

** - Benutzer müssen die Einstellung zur Kontoübernahme in Citrix ADM konfigurieren. Weitere Informationen finden Sie unter Account Takeover: Account Takeover.

Abgesehen von diesen Verstößen können Benutzer auch die folgenden Security Insight- und Bot Insight-Verstöße in den Kategorien WAF bzw. Bot anzeigen:

Einrichten

Benutzer müssenAdvanced Security Analyticsaktivieren und dieWeb-TransaktionseinstellungenaufAllesetzen, um die folgenden Verstöße in Citrix ADM anzuzeigen:

• Ungewöhnlich hohe Upload-Transaktionen (WAF)

• Ungewöhnlich hohe Download-Transaktionen (WAF)

• Übermäßige eindeutige IPs (WAF)

• Kontoübernahme (BOT)

Stellen Sie bei anderen Verstößen sicher, dassMetrics Collectoraktiviert ist. Standardmäßig istMetrics Collectorauf der Citrix ADC ADC-Instanz aktiviert. Weitere Informationen finden Sie unter:Intelligent App Analytics konfigurieren.

Erweiterte Sicherheitsanalysen aktivieren

• Navigieren Sie zuNetzwerke > Instances > Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel MPX.

• Wählen Sie die Citrix ADC ADC-Instanz aus und wählen Sie in der ListeAktion auswählendie OptionAnalytics konfigurierenaus.

• Wählen Sie den virtuellen Server aus und klicken Sie aufAnalytics aktivieren.

• GehenSie im Fenster Analytics aktivierenwie folgt vor

  • Wählen SieWeb Insight. Nachdem Benutzer Web Insight ausgewählt haben, wird die schreibgeschützteAdvanced Security Analytics-Optionautomatisch aktiviert.

  Hinweis: Die OptionAdvanced Security Analyticswird nur für Premium lizenzierte ADC-Instances angezeigt.

  • Wählen SieLogstreamals Transportmodus

  • Der Ausdruck ist standardmäßig true

  • Klicken Sie aufOK

Web-Transaktionseinstellungen aktivieren

• Navigieren Sie zuAnalytics > Einstellungen.

Die SeiteEinstellungenwird angezeigt.

• Klicken Sie aufFunktionen für Analytics aktivieren.

• Wählen Sie unterWebtransaktionseinstellungendie OptionAlleaus.

• Klicken Sie aufOk.

Dashboard für Sicherheitsverletzungen

Im Dashboard für Sicherheitsverstöße können Benutzer Folgendes anzeigen:

• Insgesamt sind Verstöße über alle ADC-Instanzen und -Anwendungen aufgetreten. Die Gesamtverstöße werden basierend auf der gewählten Zeitdauer angezeigt.

• Gesamtverstöße unter jeder Kategorie.

• Insgesamt betroffene ADCs, insgesamt betroffene Anwendungen und Top-Verstöße basierend auf den gesamten Vorkommen und den betroffenen Anwendungen.

Details zur Verletzung

Für jede Verletzung überwacht Citrix ADM das Verhalten für eine bestimmte Zeitdauer und erkennt Verletzungen für ungewöhnliche Verhaltensweisen. Klicken Sie auf die einzelnen Registerkarten, um die Verstöße anzuzeigen. Benutzer können Details anzeigen wie:

• Die Gesamtereignisse, zuletzt aufgetretene und die Gesamtzahl der betroffenen Anwendungen

• Unter Veranstaltungsdetails können Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das Verstöße anzeigt.

  Ziehen Sie die Maus, und wählen Sie sie in der Grafik aus, in der die Verstöße aufgelistet sind, um die Verletzungssuche einzugrenzen.

  

  Klicken Sie aufZoom zurücksetzen, um das Zoomergebnis

  • Empfohlene Aktionen, die darauf hinweisen, dass Benutzer das Problem beheben

  • Weitere Verstöße wie die Zeit des Auftretens von Gewalt und Erkennungsnachricht

Bot Einblick

Verwenden von Bot Insight in Citrix ADM

Nachdem Benutzer die Bot-Verwaltung in Citrix ADC konfiguriert haben, müssen sieBot Insightauf virtuellen Servern aktivieren, um Einblicke in Citrix ADM anzuzeigen.

So aktivieren SieBot Insight:

• Navigieren Sie zuNetzwerke>Instances>Citrix ADCund wählen Sie den Instanztyp aus. Zum Beispiel VPX.

• Wählen Sie die Instanz aus und klicken Sie in der ListeAktion auswählenaufAnalytics konfigurieren.

• Wählen Sie den virtuellen Server aus und klicken Sie aufAnalytics aktivieren.

• GehenSie im Fenster Analytics aktivierenwie folgt vor

  • WählenBot Insight

  • Wählen Sie unterErweiterte Optiondie OptionLogstreamaus.

  

  • Klicken Sie auf OK.

Nachdem SieBot Insightaktiviert haben, navigieren Sie zuAnalytics>Sicherheit>Bot Insight

1. Zeitliste zum Anzeigen von Bot-Details

2. Ziehen Sie den Regler, um einen bestimmten Zeitraum auszuwählen, und klicken Sie aufLos, um die angepassten Ergebnisse anzuzeigen.

3. Gesamtzahl der von Bots betroffenen Instanzen

4. Virtueller Server für die ausgewählte Instanz mit Gesamtzahl an Bot-Angriffen

   • Gesamtzahl der Bots— Gibt die Gesamtzahl der Bot-Angriffe (einschließlich aller Bot-Kategorien) an, die für den virtuellen Server gefunden wurden.

   • Gesamtzahl menschlicher Browser— Gibt die Gesamtzahl der menschlichen Benutzer an, die auf den virtuellen Server zugreifen.

   • Bot Human Ratio— Gibt das Verhältnis zwischen menschlichen Benutzern und Bots an, die auf den virtuellen Server zugreifen.

   • Signature-Bots,Bot mit Fingerabdruck,ratenbasierte Bots, IP-Reputation-Bots, Allow-List-Botsund Blocklisten-Bots— Zeigt die Gesamtzahl der Bot-Angriffe basierend auf der konfigurierten Bot-Kategorie Weitere Informationen zu Bot-Kategorien finden Sie unter:Konfigurieren von Bot-Erkennungstechniken in Citrix ADC.

5. Klicken Sie auf >, um Bot-Details in einem Diagrammformat anzuzeigen.

Ereignisverlauf anzeigen

Benutzer können die Bot-Signatur-Updates imEreignisverlaufanzeigen, wenn:

• Neue Bot-Signaturen werden in Citrix ADC-Instanzen hinzugefügt.

• Vorhandene Bot-Signaturen werden in Citrix ADC-Instanzen aktualisiert.

Sie können die Zeitdauer auf der Bot-Insight-Seite auswählen, um den Ereignisverlauf anzuzeigen.

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS-Cloud abgerufen, auf Citrix ADC aktualisiert werden und eine Zusammenfassung der Signaturaktualisierung auf Citrix ADM angezeigt werden.

1. Der Planer für automatische Aktualisierung der Bot-Signatur ruft die Zuordnungsdatei vom AWS-URI ab.

2. Überprüft die neuesten Signaturen in der Mapping-Datei mit den vorhandenen Signaturen in der ADC-Appliance.

3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.

4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.

5. Generiert eine SNMP-Warnung und sendet die Signaturaktualisierungszusammenfassung an Citrix ADM.

Bots ansehen

Klicken Sie auf den virtuellen Server, um dieAnwendungszusammenfassunganzuzeigen

1. Stellt die Anwendungszusammenfassungsdetails bereit, wie z. B.:

   • Durchschnittlicher RPS— Gibt die durchschnittlichen Bot-Transaktionsanforderungen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

   • Bots nach Schweregrad— Gibt die höchsten Bot-Transaktionen basierend auf dem Schweregrad an. Der Schweregrad wird basierend aufKritisch,Hoch,MittelundNiedrigkategorisiert.

     Wenn die virtuellen Server beispielsweise 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad haben, zeigt Citrix ADM unterBots nach SchweregradKritisch 1,55 Kan.

   • Größte Bot-Kategorie— Zeigt die höchsten Bot-Angriffe basierend auf der Bot-Kategorie an.

     Wenn die virtuellen Server beispielsweise 8000 blockgelistete Bots, 5000 zugelassene Bots und 10000 Rate Limit Exceeded Bots haben, zeigt Citrix ADM unterGrößte Bot-KategorieRate Limit Exceeded 10 Kan.

   • Größte Geoquelle— Zeigt die höchsten Bot-Angriffe basierend auf einer Region an.

     Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore haben, zeigt Citrix ADMBangalore 9 K unter LargestGeo Sourcean.

   • Durchschnittlicher% Bot-Traffic— Gibt das menschliche Bot-Verhältnis an.

2. Zeigt die Schwere der Bot-Angriffe basierend auf den Standorten in der Kartenansicht an

3. Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und Alle)

4. Zeigt die Gesamtzahl der Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

   • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als Sperrlistenbots und ausgewählte Drop als Aktion für diese IP-Adressbereiche

   • IP-Bereich (192.140.15.4 bis 192.140.15.254) als Blocklisten-Bots und ausgewählt, um eine Protokollnachricht als Aktion für diese IP-Bereiche zu erstellen

     In diesem Szenario zeigt Citrix ADM Folgendes an:

     • Sperrlistenbots insgesamt

     • Gesamtzahl Bots unterDropped

     • Gesamtzahl der Bots unter Protokoll

CAPTCHA Bots anzeigen

Auf Webseiten sollen CAPTCHAs erkennen, ob der eingehende Traffic von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in Citrix ADM anzuzeigen, müssen Benutzer CAPTCHA als Bot-Aktion für IP-Reputation und Techniken zur Erkennung von Gerätefingerabdrücken in einer Citrix ADC ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter:Bot-Management konfigurieren.

Die folgenden CAPTCHA-Aktivitäten werden von Citrix ADM in Bot Insight angezeigt:

• Captcha-Versuche überschritten— Gibt die maximale Anzahl von CAPTCHA-Versuchen nach Anmeldefehlern an

• Captcha-Client stummgeschaltet— Gibt die Anzahl der Client-Anfragen an, die verworfen oder umgeleitet wurden, da diese Anfragen zuvor mit der CAPTCHA-Herausforderung als fehlerhafte Bots erkannt wurden

• Human— Bezeichnet die Captcha-Einträge, die von den menschlichen Benutzern durchgeführt wurden

• Ungültige Captcha-Antwort— Gibt die Anzahl der falschen CAPTCHA-Antworten an, die vom Bot oder Menschen empfangen wurden, wenn Citrix ADC eine CAPTCHA-Herausforderung sendet

Bot-Fallen ansehen

Um Bot-Traps in Citrix ADM anzuzeigen, müssen Sie den Bot-Trap in der Citrix ADC ADC-Instanz konfigurieren. Weitere Informationen finden Sie unterBot-Management konfigurieren.

Um die Bot-Falle zu identifizieren, ist auf der Webseite ein Skript aktiviert und dieses Skript ist vor Menschen verborgen, aber nicht vor Bots. Citrix ADM identifiziert und meldet die Bot-Traps, wenn Bots auf dieses Skript zugreifen.

Klicken Sie auf den virtuellen Server und wählen SieNull Pixel Request

Bot-Details anzeigen

Weitere Informationen erhalten Sie, indem Sie unterBot-Kategorie auf den Bot-Angriffstypklicken.

Die Details wie die Angriffszeit und die Gesamtzahl der Bot-Angriffe für die ausgewählte Captcha-Kategorie werden angezeigt.

Benutzer können das Balkendiagramm auch ziehen, um den spezifischen Zeitbereich auszuwählen, der bei Bot-Angriffen angezeigt werden soll.

Um zusätzliche Informationen über den Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

• Instanz-IP— Gibt die IP-Adresse der Citrix ADC ADC-Instanz an

• Gesamtzahl der Bots— Gibt die Gesamtzahl der Bot-Angriffe für diese bestimmte Zeit an.

• URL der HTTP-Anforderung— Gibt die URL an, die für die Captcha-Berichterstattung konfiguriert ist

• Ländercode— Gibt das Land an, in dem der Bot-Angriff stattgefunden hat

• Region— Gibt die Region an, in der der Bot-Angriff stattgefunden hat

• Profilname— Gibt den Profilnamen an, den Benutzer bei der Konfiguration angegeben haben

Erweiterte Suche

Benutzer können auch das Suchtextfeld und die Zeitdauerliste verwenden, in der sie Bot-Details gemäß den Benutzeranforderungen anzeigen können. Wenn Benutzer auf das Suchfeld klicken, erhalten sie im Suchfeld die folgende Liste mit Suchvorschlägen.

• Instanz-IP — IP-Adresseder Citrix ADC ADC-Instanz

• Client-IP— Client-IP-Adresse

• Bot-Type— Bot-Typ wie Gut oder Schlecht

• Schweregrad— Schweregrad des Bot-Angriffs

• ActionTaken— Nach dem Bot-Angriff ausgeführte Aktionen wie Drop, Keine Aktion, Redirect

• Bot-Kategorie— Kategorie des Bot-Angriffs wie Sperrliste, Zulassungsliste, Fingerabdruck usw. Basierend auf einer Kategorie können Benutzer ihr eine Bot-Aktion zuordnen

• Bot-Erkennung— Bot-Erkennungstypen (Sperrliste, Zulassungsliste usw.), die Benutzer auf der Citrix ADC ADC-Instanz konfiguriert haben

• Standort— Region/Land, in dem der Bot-Angriff stattgefunden hat

• request-url— URL mit den möglichen Bot-Angriffen

Benutzer können auch Operatoren in den Benutzersuchabfragen verwenden, um den Fokus der Benutzersuche einzugrenzen. Wenn Benutzer zum Beispiel alle schlechten Bots sehen möchten:

• Klicken Sie auf das Suchfeld und wählen SieBot-Type

• Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator aus**=**

• Klicken Sie erneut auf das Suchfeld und wählen SieSchlecht

• Klicken Sie aufSuchen, um die Ergebnisse anzuzeigen

Details zu Bot-Verstößen

Übermäßige Clientverbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Clientanforderung in der Citrix ADC Appliance verarbeitet, anstatt eine direkte Verbindung zum Server herzustellen. Web-Traffic umfasst Bots und Bots können verschiedene Aktionen mit einer schnelleren Geschwindigkeit ausführen als ein Mensch.

Mithilfe des Indikators „Übermäßige Kundenverbindungen“ können Benutzer Szenarien analysieren, in denen eine Anwendung ungewöhnlich hohe Kundenverbindungen über Bots erhält.

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Zeitpunkt des Auftretens von Verletzungen

• Die Erkennungsmeldung für die Verletzung, die die gesamte IP-Adressen angibt, die die Anwendung transagieren

• Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Übernahme von Konten

Hinweis:

Stellen Sie sicher, dass Benutzer die erweiterten Sicherheitsanalysen und Web-Transaktionsoptionen aktivieren. Weitere Informationen finden Sie unter Einrichten: Einrichten.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als schlechte Bots bekannt. Es ist wichtig, schlechte Bots zu identifizieren und die Benutzer-Appliance vor jeder Form von fortschrittlichen Sicherheitsangriffen zu schützen.

Voraussetzung

Benutzer müssen die Einstellungen für dieKontoübernahmein Citrix ADM konfigurieren.

• Navigieren Sie zuAnalytics > Einstellungen > Sicherheitsverletzungen

• Klicken Sie aufHinzufügen

• Geben Sie auf der Seite Add Application die folgenden Parameter an:

  • Anwendung— Wählen Sie den virtuellen Server aus der Liste aus.

  • Methode— Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sindGET,PUSH,POSTundUPDATE.

  • Anmelde-URL und Erfolgsantwortcode- Geben Sie die URL der Webanwendung an und geben Sie den HTTP-Statuscode an (z. B. 200), für den Citrix ADM den Verstoß gegen die Kontoübernahme von fehlerhaften Bots melden soll.

  • Klicken Sie aufHinzufügen.

Nachdem Benutzer die Einstellungen mithilfe desKontenübernahmeindikatorskonfiguriert haben, können Benutzer analysieren, ob schlechte Bots versucht haben, das Benutzerkonto zu übernehmen, und mehrere Anfragen zusammen mit Anmeldeinformationen geben.

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Zeitpunkt des Auftretens von Verletzungen

• Die Erkennungsmeldung für die Verletzung, die insgesamt ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen angibt

• Die fehlerhafte Bot-IP-Adresse. Klicken Sie hier, um Details wie Uhrzeit, IP-Adresse, Gesamtanzahl erfolgreicher Anmeldungen, fehlgeschlagene Anmeldungen und Gesamtanzahl der Anfragen von dieser IP-Adresse anzuzeigen.

Ungewöhnlich hohe Upload-Volumen

Webverkehr umfasst auch Daten, die zum Hochladen verarbeitet werden. Wenn die durchschnittlichen Upload-Daten des Benutzers pro Tag beispielsweise 500 MB betragen und Benutzer 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, das Hochladen von Daten schneller als Menschen zu verarbeiten.

Mithilfe des Indikators fürungewöhnlich hohes Upload-Volumenkönnen Benutzer abnormale Szenarien für das Hochladen von Daten in die Anwendung über Bots analysieren.

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Zeitpunkt des Auftretens von Verletzungen

• Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Upload-Datenvolumen angibt

• Der akzeptierte Bereich von Upload-Daten in die Anwendung

Ungewöhnlich hohes Downloadvolumen

Ähnlich wie bei einem hohen Upload-Volumen können Bots auch schneller als Menschen Downloads durchführen.

Mithilfe des Indikators fürungewöhnlich hohes Download-Volumenkönnen Benutzer abnormale Szenarien von Download-Daten aus der Anwendung mithilfe von Bots analysieren.

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Zeitpunkt des Auftretens von Verletzungen

• Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Download-Datenvolumen angibt

• Der akzeptierte Bereich von Download-Daten aus der Anwendung

Ungewöhnlich hohe Anforderungsrate

Benutzer können den eingehenden und ausgehenden Verkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anforderungsrate ausführen. Wenn Benutzer beispielsweise eine Anwendung so konfigurieren, dass sie 100 Anforderungen/Minute zulässt, und wenn Benutzer 350 Anfragen beobachten, kann es sich um einen Bot-Angriff handeln.

Mithilfe des IndikatorsUngewöhnlich hohe Anforderungsratekönnen Benutzer die ungewöhnliche Anforderungsrate analysieren, die an die Anwendung eingegangen ist.

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

• Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

• Das Diagramm, das alle Verstöße anzeigt

• Zeitpunkt des Auftretens von Verletzungen

• Die Erkennungsmeldung für die Verletzung, die die Gesamtanzahl der empfangenen Anfragen angibt und% der übermäßigen Anforderungen, die als die erwarteten Anforderungen empfangen wurden.

• Der akzeptierte Bereich der erwarteten Anforderungsrate reicht von der Anwendung ab

Anwendungsfälle

Bot

Manchmal besteht der eingehende Web-Traffic aus Bots und die meisten Organisationen leiden unter Bot-Attacken. Web- und mobile Anwendungen sind große Umsatztreiber für Unternehmen und die meisten Unternehmen sind unter der Bedrohung von fortgeschrittenen Cyberangriffen wie Bots. Ein Bot ist ein Softwareprogramm, das automatisch bestimmte Aktionen wiederholt mit einer viel schnelleren Geschwindigkeit ausführt als ein Mensch. Bots können mit Webseiten interagieren, Formulare einreichen, Aktionen ausführen, Texte scannen oder Inhalte herunterladen. Sie können auf Social-Media-Plattformen auf Videos zugreifen, Kommentare posten und twittern. Einige Bots, bekannt als Chatbots, können grundlegende Gespräche mit menschlichen Benutzern führen. Ein Bot, der einen hilfreichen Service wie Kundenservice, automatisierter Chat und Suchmaschinen-Crawler ausführt, sind gute Bots. Gleichzeitig sind ein Bot, der Inhalte von einer Website kratzen oder herunterladen kann, Benutzeranmeldeinformationen, Spam-Inhalte stehlen und andere Arten von Cyberangriffen ausführen kann, schlechte Bots. Bei einer guten Anzahl von schlechten Bots, die böswillige Aufgaben ausführen, ist es wichtig, den Bot-Traffic zu verwalten und die Webanwendungen der Benutzer vor Bot-Angriffen zu schützen. Mithilfe der Citrix Bot-Verwaltung können Benutzer den eingehenden Bot-Verkehr erkennen und Bot-Angriffe abschwächen, um die Webanwendungen der Benutzer zu schützen. Das Citrix Bot-Management hilft dabei, schädliche Bots zu identifizieren und die Benutzer-Appliance vor erweiterten Sicherheitsangriffen zu schützen Es erkennt gute und schlechte Bots und identifiziert, ob eingehender Traffic ein Bot-Angriff ist. Durch die Verwendung des Bot-Managements können Benutzer Angriffe abwehren und die Webanwendungen der Benutzer schützen.

Die Citrix ADC Bot-Verwaltung bietet folgende Vorteile:

• Schützt vor Bots, Skripten und Toolkits. Bietet Bedrohungsabwehr in Echtzeit mithilfe statischer signaturbasierter Abwehr und Geräte-Fingerprinting.

• Neutralisiert automatisierte grundlegende und erweiterte Angriffe. Verhindert Angriffe, wie App-Layer-DDoS, Kennwort-Spraying, Kennwort-Stuffing, Preis-Scraper und Inhalts-Scraper.

• Schützt Benutzer-APIs und Investitionen. Schützt Benutzer-APIs vor ungerechtfertigtem Missbrauch und Infrastrukturinvestitionen vor automatisiertem Datenverkehr.

Einige Anwendungsfälle, in denen Benutzer von der Verwendung des Citrix Bot-Managementsystems profitieren können, sind:

• Brute-Force-Anmeldung. Ein Internetportal der Regierung wird ständig von Bots angegriffen, die versuchen, sich mit Brute-Force-Benutzern anzumelden. Das Unternehmen entdeckt den Angriff, indem es Webprotokolle durchsieht und feststellt, dass bestimmte Benutzer immer wieder getroffen werden, wobei schnelle Anmeldeversuche und Passwörter mithilfe eines Wörterbuchangriffs inkrementiert werden. Nach dem Gesetz müssen sie sich und ihre Nutzer schützen. Durch die Bereitstellung der Citrix Bot-Verwaltung können sie die Brute-Force-Anmeldung mit Geräte-Fingerprinting und Ratenbegrenzungstechniken stoppen.

• Blockieren Sie schlechte Bots und unbekannte Bots mit Fingerabdrücken Eine Web-Entität erhält jeden Tag 100.000 Besucher. Sie müssen den zugrundeliegenden Fußabdruck verbessern und sie geben ein Vermögen aus. In einem kürzlich durchgeführten Audit entdeckte das Team, dass 40 Prozent des Traffics von Bots, Scraping von Inhalten, Auswahl von Nachrichten, Überprüfung von Benutzerprofilen und mehr kamen. Sie möchten diesen Datenverkehr blockieren, um ihre Benutzer zu schützen und ihre Hosting-Kosten zu senken. Mit der Bot-Verwaltung können sie bekannte schlechte Bots und Fingerabdrücke unbekannte Bots blockieren, die ihre Website hämmern. Indem sie diese Bots blockieren, können sie den Bot-Verkehr um 90 Prozent reduzieren.

• Erlaube gute Bots. „Gute“ Bots sollen Unternehmen und Verbrauchern helfen. Sie gibt es seit den frühen 1990er Jahren, als die ersten Suchmaschinen-Bots entwickelt wurden, um das Internet zu crawlen. Google, Yahoo und Bing würden ohne sie nicht existieren. Andere Beispiele für gute Bots, die hauptsächlich auf Verbraucher ausgerichtet sind, sind:

  • Chatbots (auch bekannt als Chatterbots, Smart Bots, Talk-Bots, IM-Bots, Social Bots, Konversations-Bots) interagieren mit Menschen über Text oder Ton. Eine der ersten Textverwendungen war für den Online-Kundenservice und Textnachrichten-Apps wie Facebook Messenger und iPhone Messages. Siri, Cortana und Alexa sind Chatbots; aber auch mobile Apps, mit denen Benutzer Kaffee bestellen und ihnen dann mitteilen können, wann er fertig ist, die Benutzer Filmtrailer ansehen und lokale Theatervorführungen finden können oder Benutzern ein Bild des Automodells und des Nummernschilds senden können, wenn sie einen Fahrservice anfordern.

  • Shopbots durchsuchen das Internet auf der Suche nach den niedrigsten Preisen für Artikel, nach denen Benutzer suchen.

  • Monitoring Bots überprüfen den Zustand (Verfügbarkeit und Reaktionsfähigkeit) von Websites. Downdetector ist ein Beispiel für eine unabhängige Website, die Echtzeit-Statusinformationen, einschließlich Ausfällen, von Websites und anderen Arten von Diensten bereitstellt. Weitere Informationen zu Downdetector finden Sie unter: Downdetector.

Bot-Erkennung

Konfigurieren des Bot-Managements mithilfe der Citrix ADC GUI

Benutzer können die Citrix ADC Bot-Verwaltung konfigurieren, indem sie zuerst die Funktion auf der Appliance aktivieren. Sobald die Benutzer aktiviert haben, können sie eine Bot-Richtlinie erstellen, um den eingehenden Datenverkehr als Bot auszuwerten und den Traffic an das Bot-Profil zu senden. Anschließend erstellen Benutzer ein Bot-Profil und binden das Profil dann an eine Bot-Signatur. Alternativ können Benutzer auch die standardmäßige Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nach dem Erstellen der Signaturdatei können Benutzer sie in das Bot-Profil importieren. Alle diese Schritte werden in der folgenden Reihenfolge ausgeführt:

1. Bot-Management-Funktion aktivieren

2. Konfigurieren von Bot-Verwaltungseinstellungen

3. Klonen der Citrix Bot-Standardsignatur

4. Importieren der Citrix Bot-Signatur

5. Konfigurieren Sie Bot Einstellungen für die

6. Erstellen Sie ein Bot-Profil

7. Erstellen Sie Bot-Richtlinie

Bot-Management-Funktion aktivieren

1. Erweitern Sie im NavigationsbereichSystem, und klicken Sie dann aufEinstellungen.

2. Aktivieren Sie auf der SeiteErweiterte Funktionen konfigurierendas KontrollkästchenBot Management.

3. Klicken Sie aufOKund dann aufSchließen.

Bot-Signaturdatei kl

1. Navigieren Sie zuSicherheit > Citrix Bot Management > Signaturen.

2. Wählen Sie auf der SeiteCitrix Bot Management-Signaturenden Standarddatensatz für Bot-Signaturen

3. Geben Sie auf der SeiteBot-Signatur kloneneinen Namen ein und bearbeiten Sie die Signaturdaten.

4. Klicken Sie auf Erstellen.

Bot-Signaturdatei importieren

Wenn Benutzer ihre eigene Signaturdatei haben, können sie diese als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:

• Navigieren Sie zuSicherheit>Citrix Bot ManagementandSignatures.

• Importieren Sie auf der SeiteCitrix Bot Management Signaturesdie Datei als URL, Datei oder Text.

• Klicken Sie auf Weiter.

• Legen Sie auf der Seite Citrix Bot Management Signature importieren die folgenden Parameter fest.

  • Name. Name der Bot-Signaturdatei.

  • Kommentieren. Kurzbeschreibung der importierten Datei.

  • Überschreiben. Aktivieren Sie das Kontrollkästchen, um das Überschreiben von Daten während der Dateiaktualisierung zu ermöglichen.

  • Signatur-Daten. Ändern von Signaturparametern

• Klicken Sie auf Fertig.

IP-Reputation

Konfigurieren der IP-Reputation mithilfe der Citrix ADC GUI

Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Mit der Erkennungstechnik können Benutzer erkennen, ob von einer eingehenden IP-Adresse böswillige Aktivitäten ausgehen. Im Rahmen der Konfiguration legen wir verschiedene bösartige Bot-Kategorien fest und ordnen jeder von ihnen eine Bot-Aktion zu.

• Navigieren Sie zuSicherheit>Citrix Bot ManagementandProfiles.

• Wählen Sie auf der SeiteCitrix Bot Management Profileseine Signaturdatei aus und klicken Sie aufBearbeiten.

• Gehen Sie auf der SeiteCitrix Bot Management Profilezum AbschnittSignatureinstellungenund klicken Sie aufIP-Reputation.

• Stellen Sie im Abschnitt IP-Reputation die folgenden Parameter ein:

  • Aktiviert. Aktivieren Sie das Kontrollkästchen, um eingehenden Bot-Verkehr als Teil des Erkennungsprozesses zu validieren.

  • Kategorien konfigurieren. Benutzer können die IP-Reputation-Technik für eingehenden Bot-Traffic in verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Benutzer den Bot-Traffic löschen oder umleiten. Klicken Sie auf Hinzufügen, um eine bösartige Bot-Kategorie zu konfigurieren

  • Legen Sie auf der SeiteIP-Reputationsbindung des Citrix Bot Management-Profils konfigurierendie folgenden Parameter fest:

    • Kategorie. Wählen Sie eine böswillige Bot-Kategorie aus der Liste aus. Ordnen Sie eine Bot-Aktion basierend auf der Kategorie zu.

    • Aktiviert. Aktivieren Sie das Kontrollkästchen, um die Erkennung von IP-Reputations-Signaturen

    • Bot-Aktion. Basierend auf der konfigurierten Kategorie können Benutzer keine Action, Drop, Redirect oder CAPTCHA-Aktion zuweisen.

    • Log. Aktivieren Sie das Kontrollkästchen, um Logeinträge zu speichern.

    • Nachricht protokollieren. Kurzbeschreibung des Protokolls.

    • Kommentare. Kurze Beschreibung der Bot-Kategorie.

• Klicken Sie auf OK.

• Klicken Sie aufUpdate.

• Klicken Sie auf Fertig.

Automatisches Update für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Lookup-Tabelle mit einer Liste guter Bots und schlechter Bots. Die Bots werden basierend auf Benutzer-Agent-Zeichenfolgen und Domain-Namen kategorisiert. Wenn die Benutzer-Agent-Zeichenfolge und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Bot-Signatur-Updates werden in der AWS-Cloud gehostet, und die Signatur-Lookup-Tabelle kommuniziert mit der AWS-Datenbank für Signaturaktualisierungen. Der Autosignatur-Update-Scheduler wird alle 1 Stunde ausgeführt, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der ADC-Appliance zu aktualisieren.

Die URL zur automatischen Aktualisierung der Bot-Signaturzuordnung zum Konfigurieren von Signaturen lautet:Bot-Signatur

Hinweis:

Benutzer können auch einen Proxy-Server konfigurieren und regelmäßig Signaturen aus der AWS-Cloud über einen Proxy auf die ADC-Appliance aktualisieren. Für die Proxykonfiguration müssen Benutzer die Proxy-IP-Adresse und Portadresse in den Bot-Einstellungen festlegen.

Automatisches Bot-Signatur-Update konfigurieren

Führen Sie die folgenden Schritte aus, um das automatische Update der Bot-Signatur zu konfigurieren:

Automatisches Bot-Signatur-Update aktivieren

Benutzer müssen die Option zur automatischen Aktualisierung in den Bot-Einstellungen der ADC-Appliance aktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

set bot settings –signatureAutoUpdate ON

Konfigurieren Sie Bot Signature Auto Update mit der Citrix ADC GUI

Führen Sie die folgenden Schritte aus, um das automatische Update für die Bot-Signatur

• Navigieren Sie zuSicherheit > Citrix Bot Management.

• Klicken Sie im Detailbereich unterEinstellungenaufCitrix Bot Management Settings ändern.

• Aktivieren Sie in denCitrix Bot Management-Einstellungen konfigurierendas KontrollkästchenAutom. Update-Signatur.

• Klicken Sie aufOKund aufSchließen.

Weitere Informationen zur Konfiguration der IP-Reputation mithilfe der CLI finden Sie unter: Konfigurieren der IP-Reputationsfunktion mithilfe der CLI.

Referenzen

Informationen zur Verwendung von SQL Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zur Konfiguration des SQL Injection Check über die Befehlszeile finden Sie unter: HTML SQL Injection Check.

Informationen zur Konfiguration der SQL Injection Check mithilfe der GUI finden Sie unter: Using the GUI to Configure the SQL Injection Security Check.

Informationen zur Verwendung der Lernfunktion mit der SQL Injection Check finden Sie unter: Verwenden der Lernfunktion mit der SQL Injection Check.

Informationen zur Verwendung der Log Funktion mit der SQL Injection Check finden Sie unter: Using the Log Feature with the SQL Injection Check.

Informationen zu Statistiken für die SQL-Injection-Verletzungen finden Sie unter: Statistics for the SQL Injection Violations.

Informationen zu den Highlights der SQL Injection Check finden Sie unter Highlights.

Hinweise zu XML SQL Injection Checks finden Sie unter: XML SQL Injection Check.

Informationen zur Verwendung von Cross-Site Scripting Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zur Konfiguration von HTML Cross-Site Scripting über die Befehlszeile finden Sie unter: Verwenden der Befehlszeile zur Konfiguration der HTML Cross-Site Scripting Check.

Informationen zur Konfiguration von HTML Cross-Site Scripting mithilfe der GUI finden Sie unter: Using the GUI to Configure the HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Lernfunktion mit der HTML Cross-Site Scripting Check finden Sie unter: Verwenden der Lernfunktion mit der HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Log-Funktion mit der HTML Cross-Site Scripting Check finden Sie unter: Verwenden der Log-Funktion mit der HTML Cross-Site Scripting Check.

Informationen zu Statistiken für Verstöße gegen das HTML Cross-Site Scripting finden Sie unter: Statistics for the HTML Cross-Site Scripting Violations.

Informationen zu den Highlights des Cross-Site Scripting in HTML finden Sie unter Highlights.

Informationen zum Cross-Site Scripting finden Sie unter: XML Cross-Site Scripting Check.

Informationen zur Verwendung der Befehlszeile zur Konfiguration der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Die Befehlszeile zum Konfigurieren der Sicherheitsüberprüfung für den Pufferüberlaufverwenden.

Informationen zur Verwendung der GUI zum Konfigurieren der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Konfigurieren der Pufferüberlauf-Sicherheitsüberprüfung mithilfe der Citrix ADC GUI.

Informationen zur Verwendung der Log-Funktion mit der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Verwenden der Protokollfunktion mit der Pufferüberlauf-Sicherheitsüberprüfung.

Informationen zu Statistiken für die Pufferüberlaufverletzungen finden Sie unter: Statistiken für die Pufferüberlaufverstöße.

Informationen zu den Highlights der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Highlights.

Informationen zum Hinzufügen oder Entfernen eines Signaturobjekts finden Sie unter: Hinzufügen oder Entfernen eines Signaturobjekts.

Informationen zum Erstellen eines Signaturenobjekts aus einer Vorlage finden Sie unter: So erstellen Sie ein Signaturen-Objekt aus einer Vorlage.

Informationen zum Erstellen eines Signaturenobjekts durch Importieren einer Datei finden Sie unter: So erstellen Sie ein Signatures-Objekt durch Importieren einer Datei.

Informationen zum Erstellen eines Signaturenobjekts durch Importieren einer Datei über die Befehlszeile finden Sie unter: So erstellen Sie ein Signaturen-Objekt, indem Sie eine Datei über die Befehlszeile importieren.

Informationen zum Entfernen eines Signaturenobjekts mithilfe der GUI finden Sie unter: So entfernen Sie ein Signaturen-Objekt mithilfe der GUI.

Informationen zum Entfernen eines Signaturenobjekts mithilfe der Befehlszeile finden Sie unter: So entfernen Sie ein Signatures-Objekt mithilfe der Befehlszeile.

Informationen zum Konfigurieren oder Ändern eines Signatures-Objekts finden Sie unter: Ein Signaturen-Objekt konfigurieren oder ändern.

Weitere Informationen zum Aktualisieren eines Signaturobjekts finden Sie unter: Ein Signature-Objekt aktualisieren.

Informationen zur Verwendung der Befehlszeile zum Aktualisieren von Web Application Firewall-Signaturen aus der Quelle finden Sie unter: So aktualisieren Sie die Firewall-Signaturen der Web Application aus der Quelle mithilfe der Befehlszeile.

Informationen zum Aktualisieren eines Signaturobjekts aus einer Citrix-Formatdatei finden Sie unter: Aktualisieren eines Signaturen-Objekts aus einer Citrix Formatdatei.

Informationen zum Aktualisieren eines Signaturobjekts mit einem unterstützten Tool zum Scannen von Sicherheitslücken finden Sie unter: Aktualisieren eines Signaturen-Objekts über ein unterstütztes Tool zum Scannen von Sicherheitslücken.

Informationen zur Integration von Snort-Regeln finden Sie unter: Snort-Regelintegration.

Informationen zur Konfiguration von Snort-Regeln finden Sie unter: Snort-Regeln konfigurieren.

Informationen zur Konfiguration des Bot-Managements über die Befehlszeile finden Sie unter: Bot-Management konfigurieren.

Informationen zum Konfigurieren der Bot-Verwaltungseinstellungen für die Geräte-Fingerabdrucktechnik finden Sie unter: Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik

Informationen zum Konfigurieren von Bot-Zulassungslisten mithilfe der Citrix ADC GUI finden Sie unter: Konfigurieren der Bot-Whitelist mithilfe der Citrix ADC GUI.

Informationen zum Konfigurieren von Bot-Blocklisten mithilfe der Citrix ADC GUI finden Sie unter: Konfigurieren von Bot Black List mithilfe der Citrix ADC GUI.

Weitere Informationen zur Konfiguration der Bot-Verwaltung finden Sie unter:Bot-Management konfigurieren.

Voraussetzungen

Bevor Benutzer versuchen, eine VPX-Instanz in AWS zu erstellen, sollten sie sicherstellen, dass sie über Folgendes verfügen:

• Ein AWS-Konto zum Starten eines Citrix ADC VPX AMI in einer Amazon Web Services (AWS) Virtual Private Cloud (VPC). Benutzer können kostenlos ein AWS-Konto bei Amazon Web Services: AWSerstellen.

• Ein AWS Identity and Access Management (IAM) -Benutzerkonto zur sicheren Steuerung des Zugriffs auf AWS-Services und -Ressourcen für Benutzer. Weitere Informationen zum Erstellen eines IAM-Benutzerkontos finden Sie im Thema: Erstellen von IAM-Benutzern (Konsole).

Eine IAM-Rolle ist sowohl für eigenständige als auch für Hochverfügbarkeitsbereitstellungen obligatorisch. Die IAM-Rolle muss über die folgenden Berechtigungen verfügen:

• ec2:DescribeInstanzen

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstanzen

• ec2:StopInstanzen

• ec2:RebootInstanzen

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• ec2:AssignPrivateIpAddresses

• autoscaling:*

• sns:*

• sqs:*

• cloudwatch: *

• iam:SimulatePrincipalPolicy

• iam:GetRole

Weitere Informationen zu IAM-Berechtigungen finden Sie unter: AWS Managed Policies for Job Functions.

Wenn die Citrix CloudFormation-Vorlage verwendet wird, wird die IAM-Rolle automatisch erstellt. Die Vorlage erlaubt es nicht, eine bereits erstellte IAM-Rolle auszuwählen.

Hinweis:

Wenn sich Benutzer über die GUI an der VPX-Instanz anmelden, wird eine Aufforderung zur Konfiguration der erforderlichen Berechtigungen für die IAM-Rolle angezeigt. Ignorieren Sie die Aufforderung, wenn die Berechtigungen bereits konfiguriert wurden. Hinweis:

Die AWS CLI ist erforderlich, um alle Funktionen nutzen zu können, die von der AWS-Managementkonsole aus dem Terminalprogramm bereitgestellt werden. Weitere Informationen finden Sie im AWS CLI-Benutzerhandbuch: Was ist die AWS-Befehlszeilenschnittstelle?. Benutzer benötigen außerdem die AWS-CLI, um den Netzwerkschnittstellentyp auf SR-IOV zu ändern.

Weitere Informationen zu Citrix ADC und AWS, einschließlich Unterstützung für Citrix Networking VPX in AWS, finden Sie im Leitfaden Citrix ADC and Amazon Web Services Validated Reference Design: Citrix ADC and Amazon Web Services Validated Reference Design.

Einschränkungen und Nutzungsrichtlinien

Bei der Bereitstellung einer Citrix ADC VPX-Instanz in AWS gelten die folgenden Einschränkungen und Verwendungsrichtlinien:

• Benutzer sollten die oben aufgeführte AWS-Terminologie lesen, bevor sie eine neue Bereitstellung starten.

• Die Clustering-Funktion wird nur unterstützt, wenn sie mit Citrix ADM Auto Scale Groups bereitgestellt wird.

• Damit das Hochverfügbarkeits-Setup effektiv funktioniert, müssen Sie der Verwaltungsschnittstelle ein dediziertes NAT-Gerät zuordnen oder eine Elastic IP (EIP) mit NSIP verknüpfen. Weitere Informationen zu NAT finden Sie in der AWS-Dokumentation unter: NAT-Instances.

• Datenverkehr und Verwaltungsverkehr müssen durch ENIs getrennt werden, die zu verschiedenen Subnetzen gehören.

• Nur die NSIP-Adresse darf auf der Management-ENI vorhanden sein.

• Wenn eine NAT-Instanz zur Sicherheit verwendet wird, anstatt dem NSIP einen EIP zuzuweisen, sind entsprechende Änderungen beim Routing auf VPC-Ebene erforderlich. Anweisungen zum Vornehmen von Routing-Änderungen auf VPC-Ebene finden Sie in der AWS-Dokumentation unter : Szenario 2: VPC with Public and Private Subnets.

• Eine VPX-Instanz kann von einem EC2-Instanztyp in einen anderen verschoben werden (z. B. von m3.large zu m3.xlarge). Weitere Informationen finden Sie unter: Einschränkungen und Nutzungsrichtlinien.

• Für Speichermedien für VPX in AWS empfiehlt Citrix EBS, da es dauerhaft ist und die Daten auch dann verfügbar sind, wenn sie von der Instanz getrennt wurden.

• Das dynamische Hinzufügen von ENIs zu VPX wird nicht unterstützt. Starten Sie die VPX-Instanz neu, um das Update anzuwenden. Citrix empfiehlt Benutzern, die Standalone- oder HA-Instanz anzuhalten, die neue ENI anzuhängen und die Instanz dann neu zu starten. Die primäre ENI kann nach der Bereitstellung nicht mehr geändert oder an ein anderes Subnetz angehängt werden. Sekundäre ENIs können bei Bedarf gelöst und geändert werden, während der VPX gestoppt wird.

• Benutzer können einer ENI mehrere IP-Adressen zuweisen. Die maximale Anzahl von IP-Adressen pro ENI wird durch den EC2-Instance-Typ bestimmt, siehe Abschnitt „IP-Adressen pro Netzwerkschnittstelle pro Instance-Typ“ in Elastic Network Interfaces: Elastic Network Interfaces. Benutzer müssen die IP-Adressen in AWS zuweisen, bevor sie sie ENIs zuweisen. Weitere Informationen finden Sie unter Elastic Network Interfaces: Elastic Network Interfaces.

• Citrix empfiehlt Benutzern, die Schnittstellenbefehle enable und disable auf Citrix ADC VPX VPX-Schnittstellen nicht zu verwenden.

• Die Citrix ADC Befehle set ha node \<NODE\_ID\> -haStatus STAYPRIMARY und set ha node \<NODE\_ID\> -haStatus STAYSECONDARY sind standardmäßig deaktiviert.

• IPv6 wird für VPX nicht unterstützt.

• Aufgrund von AWS-Einschränkungen werden diese Funktionen nicht unterstützt:

  • Gratuitous ARP(GARP)

  • L2-Modus (Bridging). Transparente virtuelle Server werden mit L2 (MAC Rewrite) für Server im selben Subnetz wie das SNIP unterstützt.

  • Getagged VLAN

  • Dynamisches Routing

  • Virtueller MAC

• Damit RNAT, Routing und transparenter virtueller Server funktionieren, stellen Sie sicher, dass die Quell-/Zielüberprüfung für alle ENIs im Datenpfad deaktiviert ist. Weitere Informationen finden Sie unter „Ändern der Quell-/Zielüberprüfung“ in Elastic Network Interfaces: Elastic Network Interfaces.

• In einer Citrix ADC VPX Bereitstellung auf AWS in einigen AWS-Regionen kann die AWS-Infrastruktur möglicherweise keine AWS-API-Aufrufe auflösen. Dies passiert, wenn die API-Aufrufe über eine Nichtverwaltungsschnittstelle auf der Citrix ADC VPX VPX-Instanz ausgegeben werden. Beschränken Sie zur Problemumgehung die API-Aufrufe nur auf die Verwaltungsschnittstelle. Erstellen Sie dazu ein NSVLAN auf der VPX-Instanz und binden Sie die Verwaltungsschnittstelle mit dem entsprechenden Befehl an das NSVLAN.

• Beispiel:

  • setze ns Konfig -nsvlan <vlan id>-ifnum 1/1 -markiert NEIN

  • Konfiguration speichern

• Starten Sie die VPX-Instanz bei Aufforderung neu.

• Weitere Informationen zur Konfiguration nsvlanfinden Sie unter Configuring NSVLAN: Configuring NSVLAN.

• In der AWS-Konsole kann die vCPU-Auslastung, die für eine VPX-Instanz auf der Registerkarte Überwachung angezeigt wird, hoch sein (bis zu 100 Prozent), selbst wenn die tatsächliche Auslastung wesentlich geringer ist. Um die tatsächliche vCPU-Auslastung anzuzeigen, navigieren Sie zu Alle CloudWatch-Metrikenanzeigen. Weitere Informationen finden Sie unter: Überwachen Sie Ihre Instances mit Amazon CloudWatch. Wenn niedrige Latenz und Leistung keine Rolle spielen, können Benutzer alternativ die CPU-Ausbeute aktivieren, sodass die Paket-Engines im Leerlauf laufen können, wenn kein Datenverkehr vorhanden ist. Besuchen Sie das Citrix Support Knowledge Center, um weitere Informationen über die CPU-Ausbeute und deren Aktivierung zu erhalten.

Technische Anforderungen

Bevor Benutzer die Schnellstartanleitung starten, um eine Bereitstellung zu starten, muss das Benutzerkonto wie in der folgenden Tabelle angegeben konfiguriert werden. Andernfalls schlägt die Bereitstellung möglicherweise fehl.

Ressourcen

Melden Sie sich bei Bedarf beim Amazon-Benutzerkonto an und fordern Sie hier eine Erhöhung des Servicelimits für die folgenden Ressourcen an: AWS/Anmelden. Möglicherweise müssen Sie dies tun, wenn Sie bereits über eine vorhandene Bereitstellung verfügen, die diese Ressourcen verwendet, und Sie glauben, dass Sie bei dieser Bereitstellung die Standardlimits überschreiten könnten. Standardlimits finden Sie in den AWS-Servicekontingenten in der AWS-Dokumentation: AWS Service Quotas.

Der AWS Trusted Advisor, zu finden hier: AWS/Sign in, bietet eine Überprüfung der Service-Limits, die die Nutzung und Einschränkungen für einige Aspekte einiger Services anzeigt.

Regionen

Citrix WAF auf AWS wird derzeit nicht in allen AWS-Regionen unterstützt. Eine aktuelle Liste der unterstützten Regionen finden Sie unter AWS Service Endpoints in der AWS-Dokumentation: AWS Service Endpoints.

Weitere Informationen zu AWS-Regionen und warum Cloud-Infrastruktur wichtig ist, finden Sie unter: Globale Infrastruktur.

Schlüssel-Paar

Stellen Sie sicher, dass mindestens ein Amazon EC2 EC2-Schlüsselpaar im AWS-Benutzerkonto in der Region vorhanden ist, in der Benutzer mithilfe der Schnellstartanleitung eine Bereitstellung planen. Notieren Sie sich den Namen des Schlüsselpaars. Benutzer werden während der Bereitstellung zur Eingabe dieser Informationen aufgefordert. Um ein Schlüsselpaar zu erstellen, folgen Sie den Anweisungen für Amazon EC2 EC2-Schlüsselpaare und Linux-Instances in der AWS-Dokumentation: Amazon EC2 EC2-Schlüsselpaare und Linux-Instances.

Wenn Benutzer die Schnellstartanleitung zu Test- oder Machbarkeitszwecken bereitstellen, empfehlen wir, dass sie ein neues Schlüsselpaar erstellen, anstatt ein Schlüsselpaar anzugeben, das bereits von einer Produktionsinstanz verwendet wird.