Erweiterte Konzepte

Citrix ADC VPX auf Azure Bereitstellungshandbuch

Übersicht

Citrix ADC ist eine Lösung für die Anwendungsbereitstellung und den Lastausgleich, die eine qualitativ hochwertige Benutzererfahrung für Web-, herkömmliche und Cloud-native Anwendungen bietet, unabhängig davon, wo sie gehostet werden. Es ist in einer Vielzahl von Formfaktoren und Bereitstellungsoptionen erhältlich, ohne Benutzer an eine einzige Konfiguration oder Cloud zu binden. Die gepoolte Kapazitätslizenzierung ermöglicht die Verschiebung von Kapazität zwischen Cloud-Bereitstellungen.

Als unbestrittener Marktführer bei der Bereitstellung von Diensten und Anwendungen wird Citrix ADC in Tausenden von Netzwerken auf der ganzen Welt eingesetzt, um die Bereitstellung aller Unternehmens- und Cloud-Services zu optimieren, zu sichern und zu steuern. Citrix ADC wird direkt vor Web- und Datenbankservern bereitgestellt und kombiniert High-Speed-Load Balancing und Content-Switching, HTTP-Komprimierung, Content-Caching, SSL-Beschleunigung, Transparenz des Anwendungsflusses und eine leistungsstarke Anwendungs-Firewall zu einer integrierten, benutzerfreundlichen Plattform. Die Erfüllung von SLAs wird durch eine durchgängige Überwachung erheblich vereinfacht, die Netzwerkdaten in umsetzbare Business Intelligence umwandelt. Citrix ADC ermöglicht die Definition und Verwaltung von Richtlinien mithilfe einer einfachen deklarativen Policy-Engine ohne Programmierkenntnisse.

Citrix ADC VPX

Das Citrix ADC VPX VPX-Produkt ist eine virtuelle Appliance, die auf einer Vielzahl von Virtualisierungs- und Cloud-Plattformen gehostet werden kann.

Dieser Bereitstellungshandbuch konzentriert sich auf Citrix ADC VPX in Azure.

Microsoft Azure

  • Microsoft Azure ist eine ständig wachsende Reihe von Cloud-Computing-Diensten, die Unternehmen bei der Bewältigung ihrer geschäftlichen Herausforderungen unterstützen. Azure bietet Benutzern die Freiheit, Anwendungen in einem riesigen, globalen Netzwerk mithilfe ihrer bevorzugten Tools und Frameworks zu erstellen, zu verwalten und bereitzustellen. Mit Azure können Benutzer:

  • Seien Sie zukunftsfähig mit kontinuierlichen Innovationen von Microsoft, um ihre heutige Entwicklung — und ihre Produktvisionen für morgen — zu unterstützen.

  • Betreiben Sie eine Hybrid Cloud nahtlos vor Ort, in der Cloud und am Edge — Azure trifft Benutzer dort, wo sie sich gerade befinden.

  • Bauen Sie auf ihre Bedingungen auf mit dem Engagement von Azure für Open Source und Support für alle Sprachen und Frameworks auf, sodass Benutzer frei entwickeln können, wie sie möchten, und dort bereitstellen können, wo sie möchten.

  • Vertrauen Sie ihrer Cloud von Grund auf Sicherheit an — unterstützt von einem Expertenteam und proaktiver, branchenführender Compliance, der Unternehmen, Regierungen und Startups vertrauen.

Azure-Terminologie

Im Folgenden finden Sie eine kurze Beschreibung der wichtigsten Begriffe, die in diesem Dokument verwendet werden und mit denen die Benutzer vertraut sein müssen:

  • Azure Load Balancer — Azure Load Balancer ist eine Ressource, die eingehenden Datenverkehr auf Computer in einem Netzwerk verteilt. Der Datenverkehr wird auf virtuelle Maschinen verteilt, die in einem Lastausgleichssatz definiert sind. Ein Load Balancer kann extern oder mit dem Internet verbunden sein oder intern sein.

  • Azure Resource Manager (ARM) — ARM ist das neue Verwaltungsframework für Dienste in Azure. Azure Load Balancer wird mit ARM-basierten APIs und Tools verwaltet.

  • Back-End-Adresspool — Dies sind IP-Adressen, die mit der Netzwerkkarte der virtuellen Maschine verknüpft sind, auf die die Last verteilt wird.

  • BLOB - Binary Large Object — Jedes binäre Objekt wie eine Datei oder ein Image, das im Azure-Speicher gespeichert werden kann.

  • Front-End-IP-Konfiguration — Ein Azure Load Balancer kann eine oder mehrere Front-End-IP-Adressen enthalten, die auch als virtuelle IPs (VIPs) bezeichnet werden. Diese IP-Adressen dienen als Eindringen für den Datenverkehr.

  • Öffentliche IP auf Instanzebene (ILPIP) — Ein ILPIP ist eine öffentliche IP-Adresse, die Benutzer direkt einer virtuellen Maschine oder Rolleninstanz zuweisen können, anstatt dem Cloud-Dienst, in dem sich die virtuelle Maschine oder Rolleninstanz befindet. Dies tritt nicht an die Stelle der VIP (virtuelle IP), die ihrem Cloud-Dienst zugewiesen ist. Es handelt sich vielmehr um eine zusätzliche IP-Adresse, die verwendet werden kann, um eine direkte Verbindung zu einer virtuellen Maschine oder Rolleninstanz herzustellen.

Hinweis:

In der Vergangenheit wurde ein ILPIP als PIP bezeichnet, was für public IP steht.

  • Eingehende NAT-Regeln — Dies enthält Regeln, die einen öffentlichen Port auf dem Load Balancer einem Port für eine bestimmte virtuelle Maschine im Back-End-Adresspool zuordnen.

  • IP-config - Es kann als ein IP-Adresspaar (öffentliche IP und private IP) definiert werden, das mit einer einzelnen NIC verknüpft ist. In einer IP-Konfiguration kann die öffentliche IP-Adresse NULL sein. Jeder Netzwerkkarte können mehrere IP-Konfigurationen zugeordnet sein, die bis zu 255 sein können.

  • Load Balancing-Regeln — Eine Regeleigenschaft, die eine bestimmte Front-End-IP- und Port-Kombination einer Gruppe von Back-End-IP-Adressen und Portkombinationen zuordnet. Mit einer einzigen Definition einer Load Balancer-Ressource können Benutzer mehrere Load Balancing-Regeln definieren, wobei jede Regel eine Kombination aus Front-End-IP und Port sowie Back-End-IP und Port widerspiegelt, die mit virtuellen Maschinen verknüpft sind.

  • Network Security Group (NSG) — NSG enthält eine Liste von Regeln für die Zugriffskontrollliste (ACL), die Netzwerkverkehr zu VM-Instanzen in einem virtuellen Netzwerk zulassen oder verweigern. NSGs können entweder Subnetzen oder einzelnen Instanzen virtueller Maschinen innerhalb dieses Subnetzes zugeordnet werden. Wenn eine NSG einem Subnetz zugeordnet ist, gelten die ACL-Regeln für alle VM-Instanzen in diesem Subnetz. Darüber hinaus kann der Datenverkehr zu einer einzelnen virtuellen Maschine weiter eingeschränkt werden, indem eine NSG direkt mit dieser virtuellen Maschine verknüpft wird.

  • Private IP-Adressen — Wird für die Kommunikation innerhalb eines virtuellen Azure-Netzwerks und eines on-premises Benutzernetzwerks verwendet, wenn ein VPN-Gateway verwendet wird, um ein Benutzernetzwerk auf Azure zu erweitern. Private IP-Adressen ermöglichen es Azure-Ressourcen, mit anderen Ressourcen in einem virtuellen Netzwerk oder einem lokalen Netzwerk über ein VPN-Gateway oder eine ExpressRoute-Schaltung zu kommunizieren, ohne eine vom Internet erreichbare IP-Adresse zu verwenden. Im Azure Resource Manager Bereitstellungsmodell ist eine private IP-Adresse den folgenden Arten von Azure-Ressourcen zugeordnet: virtuelle Maschinen, interne Lastausgleichsdienste (ILBs) und Anwendungsgateways.

  • Probes — Dies enthält Health Probes, die zur Überprüfung der Verfügbarkeit von VM-Instanzen im Back-End-Adresspool verwendet werden. Wenn eine bestimmte virtuelle Maschine für einige Zeit nicht auf Health Probes reagiert, wird sie aus dem Datenverkehr genommen. Mithilfe von Sonden können Benutzer den Zustand virtueller Instanzen verfolgen. Wenn eine Integritätsuntersuchung fehlschlägt, wird die virtuelle Instanz automatisch aus der Rotation genommen.

  • Öffentliche IP-Adressen (PIP) — PIP wird für die Kommunikation mit dem Internet verwendet, einschließlich öffentlicher Azure-Dienste und ist mit virtuellen Maschinen, mit Internetzugang verbundenen Lastausgleichsdiensten, VPN-Gateways und Anwendungsgateways verknüpft.

  • Region - Ein Gebiet innerhalb einer Geographie, das keine nationalen Grenzen überschreitet und ein oder mehrere Rechenzentren enthält. Preise, regionale Dienstleistungen und Angebotsarten werden auf regionaler Ebene angezeigt. Eine Region wird in der Regel mit einer anderen Region gepaart, die bis zu mehreren hundert Meilen entfernt sein kann, um ein regionales Paar zu bilden. Regionale Paare können als Mechanismus für Disaster Recovery und Hochverfügbarkeitsszenarien verwendet werden. Auch allgemein als Standort bezeichnet.

  • Ressourcengruppe — Ein Container in Resource Manager, der verwandte Ressourcen für eine Anwendung enthält. Die Ressourcengruppe kann alle Ressourcen für eine Anwendung oder nur die Ressourcen enthalten, die logisch gruppiert sind.

  • Speicherkonto — Ein Azure-Speicherkonto ermöglicht Benutzern Zugriff auf die Blob-, Warteschlange-, Tabellen- und Dateidienste in Azure Storage. Ein Benutzerspeicherkonto stellt den eindeutigen Namespace für Azure-Benutzerspeicherdatenobjekte bereit.

  • Virtuelle Maschine — Die Software-Implementierung eines physischen Computers, auf dem ein Betriebssystem ausgeführt wird. Mehrere virtuelle Maschinen können gleichzeitig auf derselben Hardware ausgeführt werden. In Azure sind virtuelle Maschinen in verschiedenen Größen verfügbar.

  • Virtuelles Netzwerk — Ein virtuelles Azure-Netzwerk ist eine Darstellung eines Benutzernetzwerks in der Cloud. Es ist eine logische Isolierung der Azure-Cloud, die für ein Benutzerabonnement reserviert ist. Benutzer können die IP-Adressblöcke, DNS-Einstellungen, Sicherheitsrichtlinien und Routing-Tabellen in diesem Netzwerk vollständig kontrollieren. Benutzer können ihr VNet auch weiter in Subnetze segmentieren und virtuelle Azure IaaS-Maschinen und Cloud-Dienste (PaaS-Rolleninstanzen) starten. Außerdem können Benutzer das virtuelle Netzwerk mithilfe einer der in Azure verfügbaren Konnektivitätsoptionen mit ihrem on-premises Netzwerk verbinden. Im Wesentlichen können Benutzer ihr Netzwerk auf Azure erweitern, mit vollständiger Kontrolle über IP-Adressblöcke mit dem Vorteil der Unternehmensgröße, die Azure bietet.

Logischer Ablauf von Citrix WAF auf Azure

image-vpx-azure-appsecurity-deployment-01

Abbildung 1: Logisches Diagramm von Citrix WAF auf Azure

Logischer Ablauf

Die Web Application Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, normalerweise hinter dem Router oder der Firewall des Kundenunternehmens. Es muss an einem Ort installiert werden, an dem es den Datenverkehr zwischen den Webservern, die Benutzer schützen möchten, und dem Hub oder Switch abfangen kann, über den Benutzer auf diese Webserver zugreifen. Die Benutzer konfigurieren das Netzwerk dann so, dass Anforderungen an die Web Application Firewall anstatt direkt an ihre Webserver und Antworten an die Web Application Firewall anstatt direkt an ihre Benutzer gesendet werden. Die Web Application Firewall filtert diesen Datenverkehr, bevor sie ihn an sein endgültiges Ziel weiterleitet. Dabei werden sowohl der interne Regelsatz als auch die Benutzerergänzungen und -änderungen verwendet. Es blockiert oder macht harmlos alle Aktivitäten, die es als schädlich erkennt, und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Die Abbildung oben (Abbildung 1) gibt einen Überblick über den Filtervorgang.

Hinweis: In der Abbildung wird die Anwendung einer Richtlinie auf eingehenden Datenverkehr ausgelassen. Es zeigt eine Sicherheitskonfiguration, in der die Richtlinie alle Anforderungen verarbeiten soll. Außerdem wurde in dieser Konfiguration ein Signaturobjekt konfiguriert und dem Profil zugeordnet, und Sicherheitsprüfungen wurden im Profil konfiguriert. Wie die Abbildung zeigt, prüft die Web Application Firewall die Anfrage zunächst, um sicherzustellen, dass sie nicht mit einer Signatur übereinstimmt, wenn ein Benutzer eine URL auf einer geschützten Website anfordert. Wenn die Anforderung mit einer Signatur übereinstimmt, zeigt die Web Application Firewall entweder das Fehlerobjekt an (eine Webseite, die sich auf der Web Application Firewall Appliance befindet und die Benutzer mithilfe der Importfunktion konfigurieren können) oder leitet die Anfrage an die angegebene Fehler-URL (die Fehlerseite) weiter.

Wenn eine Anforderung die Signaturprüfung besteht, führt die Web Application Firewall die aktivierten Sicherheitsüberprüfungen der Anforderung durch. Die Sicherheitsüberprüfungen der Anfrage stellen sicher, dass die Anfrage für die Website oder den Webservice des Benutzers geeignet ist und kein Material enthält, das eine Bedrohung darstellen könnte. Beispielsweise untersuchen Sicherheitsprüfungen die Anforderung auf Zeichen, die darauf hindeuten, dass es sich um einen unerwarteten Typ handelt, unerwarteten Inhalt anfordern oder unerwartete und möglicherweise bösartige Webformulardaten, SQL-Befehle oder Skripts enthalten. Wenn die Anforderung eine Sicherheitsüberprüfung nicht besteht, bereinigt die Web Application Firewall die Anfrage entweder und sendet sie dann zurück an die Citrix ADC Appliance (oder die virtuelle Citrix ADC Appliance) oder zeigt das Fehlerobjekt an. Wenn die Anforderung die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die jede andere Verarbeitung abschließt und die Anforderung an den geschützten Webserver weiterleitet.

Wenn die Website oder der Webdienst eine Antwort an den Benutzer sendet, wendet die Web Application Firewall die aktivierten Sicherheitsüberprüfungen für Antworten an. Die Sicherheitsüberprüfungen untersuchen die Reaktion auf Lecks sensibler privater Informationen, Anzeichen von Verunstaltung der Website oder anderen Inhalten, die nicht vorhanden sein sollten. Wenn die Antwort eine Sicherheitsüberprüfung nicht besteht, entfernt die Web Application Firewall entweder den Inhalt, der nicht vorhanden sein sollte, oder blockiert die Antwort. Wenn die Antwort die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die sie an den Benutzer weiterleitet.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, bei denen jeder Dienst als separate virtuelle Appliance bereitgestellt werden muss, kombiniert Citrix ADC auf Azure L4-Lastausgleich, L7-Verkehrsmanagement, Serveroffload, Anwendungsbeschleunigung, Anwendungssicherheit und andere wichtige Funktionen zur Anwendungsbereitstellung in einem einzigen VPX -Instanz, bequem über den Azure Marketplace verfügbar. Darüber hinaus wird alles von einem einzigen Richtlinienframework geregelt und mit den gleichen, leistungsstarken Tools verwaltet, die für die Verwaltung lokaler Citrix ADC-Bereitstellungen verwendet werden. Das Nettoergebnis ist, dass Citrix ADC auf Azure mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Anforderungen heutiger Unternehmen unterstützen, sondern auch die kontinuierliche Entwicklung von Legacy-Computing-Infrastrukturen zu Cloud-Rechenzentren für Unternehmen.

Deployment-Typen

Multi-NIC Multi-IP-Bereitstellung (Drei-NIC-Bereitstellung)

  • Typische Bereitstellungen

    • StyleBook angetrieben

    • Mit ADM

      • Mit GSLB (Azure Traffic Management (TM) ohne Domainregistrierung)

      • Lizenzierung - gepoolt/Marketplace

  • Anwendungsfälle

    • Multi-NIC-Multi-IP-Bereitstellungen (drei Netzwerkkarten) werden verwendet, um eine echte Isolierung des Daten- und Verwaltungsdatenverkehrs zu erreichen

    • Multi-NIC-Multi-IP-Bereitstellungen (Three-NIC) verbessern auch die Skalierbarkeit und Leistung des ADC.

    • Multi-NIC Multi-IP (Three-NIC) -Bereitstellungen werden in Netzwerkanwendungen verwendet, bei denen der Durchsatz normalerweise 1 Gbit/s oder höher beträgt und eine Bereitstellung mit drei Netzwerkkarten empfohlen

Multi-NIC-Multi-IP-Bereitstellung (drei Netzwerkkarten) für hohe Verfügbarkeit (HA)

Kunden würden möglicherweise eine Bereitstellung mit drei Netzwerkkarten bereitstellen, wenn sie in einer Produktionsumgebung eingesetzt werden, in der Sicherheit, Redundanz, Verfügbarkeit, Kapazität und Skalierbarkeit entscheidend sind. Bei dieser Bereitstellungsmethode sind Komplexität und einfache Verwaltung für die Benutzer kein kritisches Problem.

Azure Resource Manager Manager-Vorlage —

Kunden würden mithilfe von ARM-Vorlagen (Azure Resource Manager) bereitstellen, wenn sie ihre Bereitstellungen anpassen oder ihre Bereitstellungen automatisieren.

ARM-Vorlagen (Azure Resource Manager)

Das GitHub-Repository für Citrix ADC ARM-Vorlagen (Azure Resource Manager) hostetbenutzerdefinierte Citrix ADC-Vorlagen für die Bereitstellung von Citrix ADC in Microsoft Azure Cloud Services. Alle Vorlagen in diesem Repository wurden vom Citrix ADC Engineering-Team entwickelt und verwaltet.

Jede Vorlage in diesem Repository hat eine gemeinsame Dokumentation, die die Verwendung und Architektur der Vorlage beschreibt. Die Vorlagen versuchen, die empfohlene Bereitstellungsarchitektur des Citrix ADC VPX zu kodifizieren, oder den Benutzer in den Citrix ADC einzuführen oder eine bestimmte Funktion/Edition/Option zu demonstrieren. Benutzer können die Vorlagen wiederverwenden/modifizieren oder erweitern, um sie an ihre speziellen Produktions- und Testanforderungen anzupassen. Für die meisten Vorlagen sind ausreichende Abonnements für portal.azure.com erforderlich, um Ressourcen zu erstellen und Vorlagen bereitzustellen. Citrix ADC VPX Azure Resource Manager (ARM) -Vorlagen wurden entwickelt, um eine einfache und konsistente Bereitstellung eigenständiger Citrix ADC VPX zu gewährleisten. Diese Vorlagen erhöhen die Zuverlässigkeit und Systemverfügbarkeit mit integrierter Redundanz. Diese ARM-Vorlagen unterstützen Bring Your Own License (BYOL) oder stündlich basierte Auswahlen. Die Wahl der Auswahl wird entweder in der Beschreibung der Vorlage erwähnt oder während der Template-Bereitstellung angeboten. Weitere Informationen zum Bereitstellen einer Citrix ADC VPX VPX-Instanz in Microsoft Azure mithilfe von ARM-Vorlagen (Azure Resource Manager) finden Sie unter: Citrix ADC Azure-Vorlagen.

Weitere Informationen zum Bereitstellen einer Citrix ADC VPX VPX-Instanz in Microsoft Azure finden Sie unter: Bereitstellen einer Citrix ADC VPX VPX-Instanz in Microsoft Azure.

Weitere Informationen zur Funktionsweise einer Citrix ADC VPX VPX-Instanz in Azure finden Sie unter: So funktioniert eine Citrix ADC VPX VPX-Instanz in Azure.

Schritte für die Bereitstellung

Wenn Benutzer eine Citrix ADC VPX VPX-Instanz auf Microsoft Azure Resource Manager (ARM) bereitstellen, können sie die Cloud-Computing-Funktionen von Azure verwenden und Citrix ADC Load Balancing- und Verkehrsmanagementfunktionen für ihre Geschäftsanforderungen verwenden. Benutzer können Citrix ADC VPX VPX-Instanzen in Azure Resource Manager entweder als eigenständige Instanzen oder als Hochverfügbarkeitspaare im Aktiv-Standby-Modus bereitstellen.

Benutzer können eine Citrix ADC VPX VPX-Instanz auf Microsoft Azure auf zwei Arten bereitstellen:

  • Über den Azure Marketplace. Citrix ADC VPX ist eine virtuelle Appliance, die als Image in Microsoft Azure Marketplace zur Verfügung steht. Die Azure Resource Manager Manager-Vorlage wird im Azure Marketplace veröffentlicht und kann verwendet werden, um Citrix ADC in einer eigenständigen und in einer HA-Paar-Bereitstellung bereitzustellen.

  • Verwenden der auf GitHub verfügbaren JSON-Vorlage Citrix ADC Azure Resource Manager (ARM). Weitere Informationen finden Sie im GitHub-Repository für Citrix ADC ADC-Lösungsvorlagen.

Die richtige Azure-Instanz auswählen

Virtuelle VPX-Appliances in Azure können auf jedem Instanztyp bereitgestellt werden, der über zwei oder mehr Kerne und mehr als 2 GB Speicher verfügt. In der folgenden Tabelle sind die empfohlenen Instance-Typen für die ADC VPX-Lizenz aufgeführt:

VPX-Modell Azure-Instanz (empfohlen)
VPX10 Standard D2s v3
VPX200 Standard D2s v3
VPX1000 Standard D4s v3
VPX3000 Standardmäßige D8s v3

Sobald die Lizenz und der Instanztyp bekannt sind, die für die Bereitstellung verwendet werden müssen, können Benutzer eine Citrix ADC VPX VPX-Instanz in Azure mithilfe der empfohlenen Multi-NIC-Multi-IP-Architektur bereitstellen.

Multi-NIC Multi-IP-Architektur (drei Netzwerkkarten)

Bei diesem Bereitstellungstyp können Benutzer mehr als eine Netzwerkschnittstelle (NICs) an eine VPX-Instanz angeschlossen haben. Jede NIC kann eine oder mehrere IP-Konfigurationen haben - statische oder dynamische öffentliche und private IP-Adressen, die ihr zugewiesen sind. Die Multi-NIC-Architektur kann sowohl für eigenständige als auch für HA-Paar-Bereitstellungen verwendet werden. Die folgenden ARM-Vorlagen können verwendet werden:

  • Citrix ADC Standalone: ARM-Template-Standalone 3-NIC

  • Citrix ADC HA-Paar: ARM-Template-HA-Paar 3-NIC

Beziehen Sie sich auf die folgenden Anwendungsfälle:

Citrix ADM Bereitstellungsarchitektur

Das folgende Bild bietet einen Überblick darüber, wie Citrix ADM eine Verbindung mit Azure herstellt, um Citrix ADC VPX Instanzen in Microsoft Azure bereitzustellen.

image-vpx-azure-appsecurity-deployment-02

Benutzer müssen über drei Subnetze verfügen, um Citrix ADC VPX VPX-Instanzen in Microsoft Azure bereitzustellen und zu verwalten. Für jedes Subnetz muss eine Sicherheitsgruppe erstellt werden. Die in Network Security Group (NSG) festgelegten Regeln regeln die Kommunikation zwischen den Subnetzen.

Der Citrix ADM Service Agent hilft Benutzern bei der Bereitstellung und Verwaltung von Citrix ADC VPX VPX-Instanzen.

Konfiguration eines Hochverfügbarkeits-Setups mit mehreren IP-Adressen und Netzwerkkarten

In einer Microsoft Azure-Bereitstellung wird eine Hochverfügbarkeitskonfiguration von zwei Citrix ADC VPX-Instanzen mit Azure Load Balancer (ALB) erreicht. Dies wird durch die Konfiguration einer Health Probe auf ALB erreicht, die jede VPX-Instanz überwacht, indem alle 5 Sekunden Integritätsprüfungen an primäre und sekundäre Instanzen gesendet werden.

In diesem Setup reagiert nur der primäre Knoten auf Integritätssonden und der sekundäre nicht. Sobald der Primärserver die Antwort an den Integritätstest sendet, beginnt die ALB den Datenverkehr an die Instanz zu senden. Wenn die primäre Instanz zwei aufeinander folgende Integritätstests nicht besteht, leitet ALB keinen Datenverkehr an diese Instanz um. Beim Failover reagiert die neue primäre Instanz auf Integritätstests und der ALB leitet den Datenverkehr an ihn weiter. Die standardmäßige VPX-Hochverfügbarkeits-Failover-Zeit beträgt drei Sekunden. Die gesamte Failover-Zeit, die für die Verkehrsumschaltung auftreten kann, kann maximal 13 Sekunden betragen.

Benutzer können ein Paar Citrix ADC VPX VPX-Instanzen mit mehreren Netzwerkkarten in einem Aktiv-Passiv-Hochverfügbarkeits-Setup (HA) in Azure bereitstellen. Jede NIC kann mehrere IP-Adressen enthalten.

Für eine Hochverfügbarkeitsbereitstellung mit mehreren NIC stehen folgende Optionen zur Verfügung:

  • Hohe Verfügbarkeit mit Azure-Verfügbarkeitssatz

  • Hochverfügbarkeit mit Azure Availability Zones

Weitere Informationen zu Azure Availability Set und Availability Zones finden Sie in der Azure-Dokumentation Verfügbarkeit von virtuellen Linux-Maschinen verwalten.

Hochverfügbarkeit mit Availability Set

Ein Hochverfügbarkeitssetup unter Verwendung des Verfügbarkeitssatzes muss die folgenden Anforderungen erfüllen:

  • Eine HA Independent Network Configuration (INC) Konfiguration

  • Der Azure Load Balancer (ALB) im DSR-Modus (Direct Server Return)

Der gesamte Datenverkehr geht durch den primären Knoten. Der sekundäre Knoten bleibt im Standbymodus, bis der primäre Knoten ausfällt.

Hinweis:

Damit eine Citrix VPX-Hochverfügbarkeitsbereitstellung in der Azure Cloud funktioniert, benötigen Benutzer eine Floating Public IP (PIP), die zwischen den beiden VPX-Knoten verschoben werden kann. Der Azure Load Balancer (ALB) stellt dieses schwebende PIP bereit, das im Falle eines Failovers automatisch auf den zweiten Knoten verschoben wird.

In einer Aktiv-Passiv-Bereitstellung werden die öffentlichen ALB-Front-End-IP-Adressen (PIP) als VIP-Adressen in jedem VPX-Knoten hinzugefügt. In einer HA-INC-Konfiguration sind die VIP-Adressen Floating und die SNIP-Adressen sind instanzspezifisch.

Benutzer können ein VPX-Paar im Aktiv-Passiv-Hochverfügbarkeitsmodus auf zwei Arten bereitstellen, indem sie Folgendes verwenden:

  • Citrix ADC VPX Standard Hochverfügbarkeitsvorlage: Verwenden Sie diese Option, um ein HA-Paar mit der Standardoption von drei Subnetzen und sechs Netzwerkkarten zu konfigurieren.

  • Windows PowerShell Befehle: Verwenden Sie diese Option, um ein HA-Paar entsprechend Ihren Subnetz- und NIC-Anforderungen zu konfigurieren.

In diesem Abschnitt wird beschrieben, wie Sie ein VPX-Paar im Aktiv-Passiv-HA-Setup mithilfe der Citrix-Vorlage bereitstellen. Informationen zum Bereitstellen mit PowerShell-Befehlen finden Sie unter Konfigurieren eines Hochverfügbarkeits-Setups mit mehreren IP-Adressen und Netzwerkkarten mithilfe von PowerShell-Befehlen.

Konfiguration von HA-INC-Knoten mithilfe der Citrix High Availability-

Benutzer können mithilfe der Standardvorlage schnell und effizient zwei VPX-Instanzen im HA-INC-Modus bereitstellen. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs NICs. Die Subnetze sind für Management-, Client- und serverseitigen Datenverkehr vorgesehen, und jedes Subnetz verfügt über zwei Netzwerkkarten für beide VPX-Instanzen.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein hochverfügbarkeitsfähiges VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.

  1. Wählen Sie in Azure Marketplace die Citrix Lösungsvorlage aus, und starten Sie sie. Die Vorlage wird angezeigt.

  2. Stellen Sie sicher, dass der Bereitstellungstyp Resource Manager ist, und wählen Sie Erstellenaus.

  3. Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe, und wählen Sie OK.

  4. Die Seite Allgemeine Einstellungen wird angezeigt. Geben Sie die Details ein, und wählen Sie OKaus.

  5. Die Seite Netzwerkeinstellung wird angezeigt. Überprüfen Sie die VNet- und Subnetz-Konfigurationen, bearbeiten Sie die erforderlichen Einstellungen und wählen Sie OKaus.

  6. Die Seite Zusammenfassung wird angezeigt. Überprüfen Sie die Konfiguration und bearbeiten Sie entsprechend. Wählen Sie zur Bestätigung OK aus.

  7. Die Seite Kaufen wird angezeigt. Wählen Sie Kaufen, um die Bereitstellung abzuschließen.

Es kann einen Moment dauern, bis die Azure Resource Group mit den erforderlichen Konfigurationen erstellt wurde. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools, Integritätsprüfungen usw. anzuzeigen. Das Hochverfügbarkeitspaar wird als ns-vpx0 und ns-vpx1 angezeigt.

Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Benutzer dies über das Azure-Portal tun.

Als Nächstes müssen Benutzer den virtuellen Lastausgleichsserver mit der öffentlichen Frontend-IP-Adresse (PIP) der ALBauf dem primären Knoten konfigurieren. Um das ALB PIP zu finden, wählen Sie ALB > Frontend IP-Konfiguration.

Weitere Informationen zum Konfigurieren des virtuellen Lastausgleichsservers finden Sie im Abschnitt Ressourcen .

Ressourcen:

Die folgenden Links bieten zusätzliche Informationen zur HA-Bereitstellung und Konfiguration virtueller Server:

Verwandte Ressourcen:

Hohe Verfügbarkeit mit Availability Zones

Azure Availability Zones sind fehlerisolierte Standorte in einer Azure-Region, die redundante Stromversorgung, Kühlung und Netzwerke bieten und die Ausfallsicherheit erhöhen. Nur bestimmte Azure-Regionen unterstützen Availability Zones. Weitere Informationen finden Sie in der Azure-Dokumentation Availability Zones in Azure: Konfigurieren von GSLB in einem Setup mit hoher Verfügbarkeit im aktiven Standby.

Benutzer können ein VPX-Paar im Hochverfügbarkeitsmodus bereitstellen, indem sie die Vorlage „NetScaler 13.0 HA using Availability Zones“ verwenden, die im Azure Marketplace verfügbar ist.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein hochverfügbarkeitsfähiges VPX-Paar mithilfe von Azure Availability Zones bereitzustellen.

  1. Wählen Sie in Azure Marketplace die Citrix Lösungsvorlage aus, und starten Sie sie.

  2. Stellen Sie sicher, dass der Bereitstellungstyp Resource Manager ist, und wählen Sie Erstellenaus.

  3. Die Seite Grundlagen wird angezeigt. Geben Sie die Details ein und klicken Sie auf OK.

Hinweis: Stellen Sie sicher, dass eine Azure-Region ausgewählt ist, die Availability Zones Weitere Informationen zu Regionen, die Availability Zones unterstützen, finden Sie in der Azure-Dokumentation Availability Zones in Azure: Regions and Availability

  1. Die Seite Allgemeine Einstellungen wird angezeigt. Geben Sie die Details ein, und wählen Sie OKaus.

  2. Die Seite Netzwerkeinstellung wird angezeigt. Überprüfen Sie die VNet- und Subnetz-Konfigurationen, bearbeiten Sie die erforderlichen Einstellungen und wählen Sie OKaus.

  3. Die Seite Zusammenfassung wird angezeigt. Überprüfen Sie die Konfiguration und bearbeiten Sie entsprechend. Wählen Sie zur Bestätigung OK aus.

  4. Die Seite Kaufen wird angezeigt. Wählen Sie Kaufen, um die Bereitstellung abzuschließen.

Es kann einen Moment dauern, bis die Azure Resource Group mit den erforderlichen Konfigurationen erstellt wurde. Wählen Sie nach Abschluss die Ressourcengruppe aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools, Integritätstprobes usw. im Azure-Portal anzuzeigen. Das Hochverfügbarkeitspaar wird als ns-vpx0 und ns-vpx1 angezeigt. Benutzer können den Standort auch in der Spalte Standort sehen.

Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Benutzer dies über das Azure-Portal tun.

Weitere Informationen zur Bereitstellung von Citrix ADC VPX VPX-Instanzen auf Microsoft Azure finden Sie unter: Provisioning von Citrix ADC VPX VPX-Instanzen auf Microsoft Azure.

Citrix Application Delivery Management

Citrix Application Delivery Management Service (Citrix ADM) bietet eine einfache und skalierbare Lösung zur Verwaltung von Citrix ADC-Bereitstellungen, die Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN -Appliances, die lokal bereitgestellt werden oder in der Cloud.

Benutzer können diese Cloud-Lösung verwenden, um die gesamte globale Infrastruktur für die Anwendungsbereitstellung von einer einzigen, einheitlichen und zentralisierten Cloud-basierten Konsole aus zu verwalten, zu überwachen und Fehler zu beheben. Citrix ADM Service bietet alle Funktionen, die zum schnellen Einrichten, Bereitstellen und Verwalten der Anwendungsbereitstellung in Citrix ADC Bereitstellungen erforderlich sind, sowie umfassende Analysen zu Anwendungsstatus, Leistung und Sicherheit.

Der Citrix ADM-Dienst bietet die folgenden Vorteile:

  • Agil— Einfach zu bedienen, zu aktualisieren und zu nutzen. Das Servicemodell von Citrix ADM Service ist über die Cloud verfügbar, sodass die Funktionen von Citrix ADM Service einfach zu bedienen, zu aktualisieren und zu verwenden sind. Die Häufigkeit von Updates, kombiniert mit der automatisierten Update-Funktion, verbessert schnell die Citrix ADC ADC-Benutzerbereitstellung.

  • Schnellere Amortisierungszeit— Schnellere Erreichung der Geschäftsziele. Im Gegensatz zur herkömmlichen on-premises Bereitstellung können Benutzer ihren Citrix ADM Service mit wenigen Klicks verwenden. Benutzer sparen nicht nur Installations- und Konfigurationszeit, sondern verschwenden auch Zeit und Ressourcen nicht mit potenziellen Fehlern.

  • Multi-Site-Management— Ein Glasfenster für Instanzen in Rechenzentren mit mehreren Standorten. Mit dem Citrix ADM Service können Benutzer Citrix ADCs verwalten und überwachen, die sich in verschiedenen Bereitstellungstypen befinden. Benutzer haben eine zentrale Anlaufstelle für Citrix ADCs, die on-premises und in der Cloud bereitgestellt werden.

  • Betriebseffizienz— Optimierte und automatisierte Methode zur Erzielung einer höheren Betriebsproduktivität. Mit dem Citrix ADM Service werden die Betriebskosten der Benutzer reduziert, indem dem Benutzer Zeit, Geld und Ressourcen bei der Wartung und Aktualisierung der traditionellen Hardwarebereitstellungen gespart werden.

Funktionsweise von Citrix ADM Service

Citrix ADM Service ist als Dienst in der Citrix Cloud verfügbar. Nachdem sich Benutzer bei Citrix Cloud angemeldet und den Dienst verwendet haben, installieren Sie Agenten in der Benutzernetzwerkumgebung oder initiieren Sie den integrierten Agenten in den Instanzen. Fügen Sie dann dem Dienst die Instanzen hinzu, die Benutzer verwalten möchten.

Ein Agent ermöglicht die Kommunikation zwischen dem Citrix ADM Service und den verwalteten Instanzen im Benutzerdatenzentrum. Der Agent sammelt Daten von den verwalteten Instanzen im Benutzernetzwerk und sendet sie an den Citrix ADM ADM-Dienst.

Wenn Benutzer dem Citrix ADM ADM-Dienst eine Instanz hinzufügen, fügt sie sich implizit selbst als Trap-Ziel hinzu und sammelt ein Inventar der Instanz.

Der Dienst sammelt Instanzdetails wie:

  • Hostname

  • Softwareversion

  • Laufende und gespeicherte Konfiguration

  • Zertifikate

  • Entitäten, die für die Instanz konfiguriert sind, usw.

Citrix ADM Service fragt verwaltete Instanzen regelmäßig ab, um Informationen zu sammeln.

Die folgende Abbildung zeigt die Kommunikation zwischen dem Dienst, den Agenten und den Instanzen:

image-vpx-azure-appsecurity-deployment-03

Leitfaden zur Dokumentation

Die Dokumentation zum Citrix ADM Service enthält Informationen zu den ersten Schritten mit dem Dienst, eine Liste der vom Dienst unterstützten Funktionen und eine für diese Servicelösung spezifische Konfiguration.

Citrix ADC WAF und OWASP Top Ten — 2017

The Open Web Application Security Project: OWASP (veröffentlichte die OWASP Top 10 für 2017 für die Sicherheit von Webanwendungen. Diese Liste dokumentiert die häufigsten Sicherheitslücken in Webanwendungen und ist ein guter Ausgangspunkt für die Bewertung der Websicherheit. Hier wird beschrieben, wie Sie die Citrix ADC Web Application Firewall (WAF) konfigurieren, um diese Fehler zu mildern. WAF ist als integriertes Modul in der Citrix ADC (Premium Edition) und einer kompletten Reihe von Appliances verfügbar.

Das vollständige OWASP Top 10-Dokument ist unter OWASP Top Tenverfügbar.

OWASP Top-10 2017 Funktionen von Citrix ADC WAF
A 1:2017 - Injektion Verhinderung von Injection-Angriffen (SQL oder andere benutzerdefinierte Injektionen wie OS Command Injection, XPath-Injection und LDAP-Injection), Signaturfunktion für automatische Updates
A 2:2017 - Fehlerhafte Authentifizierung AAA, Cookie-Manipulationsschutz, Cookie-Proxying, Cookie-Verschlüsselung, CSRF-Tagging, SSL verwenden
A 3:2017 — Offenlegung sensibler Daten Kreditkartenschutz, Safe Commerce, Cookie-Proxying und Cookie-Verschlüsselung
A 4:2017 XML Externe Entitäten (XXE) XML-Schutz einschließlich WSI-Prüfungen, XML-Nachrichtenvalidierung und XML-SOAP-Fehlerfilter-Überprüfung
A 5:2017 Kaputte Zugangskontrolle AAA, Autorisierungssicherheitsfunktion innerhalb des AAA-Moduls von NetScaler, Formularschutz und Cookie-Manipulationsschutz, startURL und closureUrl
A 6:2017 - Fehlkonfiguration der Sicherheit PCI-Berichte, SSL-Funktionen, Signaturgenerierung aus Schwachstellenscanberichten wie Cenzic, Qualys, AppScan, WebInspect, Whitehat. Außerdem spezielle Schutzmaßnahmen wie Cookie-Verschlüsselung, Proxying und Manipulation
A 7:2017 - Site-übergreifendes Scripting (XSS) XSS Attack Prevention, Blockiert alle OWASP XSS-Spickzett-Angriffe
A 8:2017 — Unsichere Deserialisierung XML-Sicherheitsprüfungen, GWT-Inhaltstyp, benutzerdefinierte Signaturen, Xpath für JSON und XML
A 9:2017 — Komponenten mit bekannten Sicherheitslücken verwenden Berichte über Schwachstellenscans, Anwendungs-Firewallvorlagen und benutzerdefinierte Signaturen
A 10:2017 — Unzureichende Protokollierung und Überwachung Benutzerkonfigurierbare benutzerdefinierte Protokollierung, Citrix ADC Management and Analytics System

A 1:2017 - Injektion

Injektionsfehler wie SQL-, NoSQL-, OS- und LDAP-Injektion treten auf, wenn nicht vertrauenswürdige Daten als Teil eines Befehls oder einer Abfrage an einen Interpreter gesendet werden. Die feindlichen Daten des Angreifers können den Interpreter dazu verleiten, unbeabsichtigte Befehle auszuführen oder ohne entsprechende Berechtigung auf Daten zuzugreifen.

ADC WAF-Schutz

  • Die Funktion zur Verhinderung von SQL-Injection schützt vor gängigen Injection- Benutzerdefinierte Injektionsmuster können hochgeladen werden, um vor jeder Art von Injection-Angriff, einschließlich XPath und LDAP, zu schützen. Dies gilt sowohl für HTML- als auch für XML-Nutzlasten.

  • Die automatische Signaturaktualisierungsfunktion hält die Injektionssignaturen auf dem neuesten Stand.

  • Die Feldformat-Schutzfunktion ermöglicht es dem Administrator, jeden Benutzerparameter auf einen regulären Ausdruck zu beschränken. Sie können beispielsweise erzwingen, dass ein Postleitzahlfeld nur ganze Zahlen oder sogar 5-stellige Ganzzahlen enthält.

  • Konsistenz der Formularfelder: Überprüfen Sie jedes eingereichte Benutzerformular anhand der Signatur des Benutzersitzungsformulars, um die Gültigkeit aller Formularelemente sicherzustellen.

  • Pufferüberlaufprüfungen stellen sicher, dass sich die URL, Header und Cookies in den richtigen Grenzen befinden und alle Versuche blockieren, große Skripte oder Code einzufügen.

A 2:2017 — Fehlerhafte Authentifizierung

Anwendungsfunktionen im Zusammenhang mit Authentifizierung und Sitzungsmanagement werden häufig falsch implementiert, sodass Angreifer Passwörter, Schlüssel oder Sitzungstoken kompromittieren oder andere Implementierungsfehler ausnutzen können, um vorübergehend oder dauerhaft die Identität anderer Benutzer anzunehmen.

ADC WAF-Schutz

  • Das Citrix ADC AAA-Modul führt die Benutzerauthentifizierung durch und bietet Single Sign-On-Funktionalität für Back-End-Anwendungen. Dies ist in die Citrix ADC AppExpert Richtlinien-Engine integriert, um benutzerdefinierte Richtlinien basierend auf Benutzer- und Gruppeninformationen zuzulassen.

  • Mithilfe von SSL-Offloading- und URL-Transformationsfunktionen kann die Firewall Websites auch dabei unterstützen, sichere Transportschichtprotokolle zu verwenden, um den Diebstahl von Sitzungstoken durch Netzwerk-Sniffing zu verhindern.

  • Cookie-Proxying und Cookie-Verschlüsselung können eingesetzt werden, um den Diebstahl von Cookies vollständig zu verhindern.

A 3:2017 — Offenlegung sensibler Daten

Viele Webanwendungen und APIs schützen sensible Daten wie Finanzen, Gesundheitswesen und personenbezogene Daten nicht ordnungsgemäß. Angreifer können solche schlecht geschützten Daten stehlen oder ändern, um Kreditkartenbetrug, Identitätsdiebstahl oder andere Straftaten zu begehen. Sensible Daten können ohne zusätzlichen Schutz, wie Verschlüsselung im Ruhezustand oder bei der Übertragung, kompromittiert werden und erfordern besondere Vorsichtsmaßnahmen beim Austausch mit dem Browser.

ADC WAF-Schutz

  • Die Anwendungs-Firewall schützt Anwendungen vor dem Durchsickern sensibler Daten wie Kreditkartendaten.

  • Sensible Daten können im Safe Commerce-Schutz als sichere Objekte konfiguriert werden, um eine Gefährdung zu vermeiden.

  • Alle sensiblen Daten in Cookies können durch Cookie-Proxying und Cookie-Verschlüsselung geschützt werden.

A 4:2017 XML Externe Entitäten (XXE)

Viele ältere oder schlecht konfigurierte XML-Prozessoren werten externe Entitätsverweise in XML-Dokumenten aus. Externe Entitäten können verwendet werden, um interne Dateien mithilfe des Datei-URI-Handlers, interne Dateifreigaben, interne Port-Scans, Remotecodeausführung und Denial-of-Service-Angriffe offenzulegen.

ADC WAF-Schutz

  • Zusätzlich zum Erkennen und Blockieren gängiger Anwendungsbedrohungen, die für Angriffe auf XML-basierte Anwendungen angepasst werden können (d. h. Cross-Site Scripting, Befehlsinjektion usw.).

  • Die ADC Application Firewall umfasst eine Vielzahl von XML-spezifischen Sicherheitsvorkehrungen. Dazu gehören die Schemavalidierung zur gründlichen Überprüfung von SOAP-Nachrichten und XML-Nutzlasten sowie eine leistungsstarke Prüfung von XML-Anhängen, um Anlagen zu blockieren, die bösartige ausführbare Dateien oder Viren enthalten.

  • Automatische Datenverkehrsinspektionsmethoden blockieren XPath-Injection-Angriffe auf URLs und Formulare, die Zugriff erhalten sollen.

  • Die ADC Application Firewall verhindert auch verschiedene DoS-Angriffe, einschließlich Referenzen externer Entitäten, rekursiver Erweiterung, übermäßiger Verschachtelung und böswilliger Nachrichten, die entweder lange oder viele Attribute und Elemente enthalten.

A 5:2017 Kaputte Zugangskontrolle

Einschränkungen, was authentifizierte Benutzer tun dürfen, werden oft nicht ordnungsgemäß durchgesetzt. Angreifer können diese Schwachstellen ausnutzen, um auf nicht autorisierte Funktionen und Daten zuzugreifen, z. B. auf Konten anderer Benutzer zuzugreifen, vertrauliche Dateien anzuzeigen, Daten anderer Benutzer zu ändern, Zugriffsrechte zu ändern usw.

ADC WAF-Schutz

  • Die AAA-Funktion, die Authentifizierung, Autorisierung und Überwachung für den gesamten Anwendungsverkehr unterstützt, ermöglicht es einem Site-Administrator, Zugriffskontrollen mit der ADC-Appliance zu verwalten.

  • Die Sicherheitsfunktion Autorisierung innerhalb des AAA-Moduls der ADC-Appliance ermöglicht es der Appliance, zu überprüfen, auf welche Inhalte auf einem geschützten Server jedem Benutzer Zugriff gewährt werden soll.

  • Konsistenz von Formularfeldern: Wenn Objektverweise als ausgeblendete Felder in Formularen gespeichert werden, können Sie mithilfe der Formularfeldkonsistenz überprüfen, ob diese Felder bei nachfolgenden Anforderungen nicht manipuliert werden.

  • Cookie-Proxying und Cookie-Konsistenz: Objektreferenzen, die in Cookie-Werten gespeichert sind, können mit diesen Schutzmaßnahmen validiert werden.

  • URL-Prüfung mit URL-Schließung starten: Ermöglicht Benutzern den Zugriff auf eine vordefinierte Zulassungsliste von URLs. Die URL-Schließung erstellt eine Liste aller URLs, die in gültigen Antworten während der Benutzersitzung zu sehen sind, und ermöglicht automatisch den Zugriff auf sie während dieser Sitzung.

A 6:2017 - Fehlkonfiguration der Sicherheit

Eine Fehlkonfiguration der Sicherheit ist das am häufigsten auftretende Problem. Dies ist in der Regel auf unsichere Standardkonfigurationen, unvollständige oder improvisierte Konfigurationen, offenen Cloud-Speicher, falsch konfigurierte HTTP-Header und ausführliche Fehlermeldungen mit vertraulichen Informationen zurückzuführen. Es müssen nicht nur alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen sicher konfiguriert sein, sondern sie müssen auch rechtzeitig gepatcht und aktualisiert werden.

ADC WAF-Schutz

  • Der von der Application Firewall generierte PCI-DSS-Bericht dokumentiert die Sicherheitseinstellungen auf dem Firewall-Gerät.

  • Berichte der Scan-Tools werden in ADC WAF-Signaturen konvertiert, um Sicherheitsfehlkonfigurationen zu behandeln.

  • ADC WAF unterstützt Cenzic, IBM AppScan (Enterprise und Standard), Qualys, TrendMicro, WhiteHat und benutzerdefinierte Schwachstellenscanberichte.

A 7:2017 - Site-übergreifendes Scripting (XSS)

XSS-Fehler treten immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten ohne ordnungsgemäße Validierung oder Escaping in eine neue Webseite einfügt oder eine vorhandene Webseite mit vom Benutzer bereitgestellten Daten mithilfe einer Browser-API aktualisiert, die HTML oder JavaScript erstellen kann. XSS ermöglicht es Angreifern, Skripte im Browser des Opfers auszuführen, die Benutzersitzungen entführen, Websites verunstalten oder den Benutzer auf bösartige Websites umleiten können.

ADC WAF-Schutz

  • Der XSS-Schutz schützt vor gängigen XSS-Angriffen. Benutzerdefinierte XSS-Muster können hochgeladen werden, um die Standardliste der zulässigen Tags und Attribute zu ändern. Die ADC-WAF verwendet eine Whitelist mit erlaubten HTML-Attributen und -Tags, um XSS-Angriffe zu erkennen. Dies gilt sowohl für HTML- als auch für XML-Nutzlasten.

  • ADC WAF blockiert alle Angriffe, die im Spickzettel zur OWASP XSS-Filterbewertung aufgeführt sind.

  • Die Feldformatprüfung verhindert, dass ein Angreifer unangemessene Webformulardaten sendet, was ein potenzieller XSS-Angriff sein kann.

  • Konsistenz des Formularfeldes.

A 8:2017 - Unsichere Deserialisierung

Unsichere Deserialisierung führt häufig zur Remotecodeausführung. Auch wenn Deserialisierungsfehler nicht zur Remotecodeausführung führen, können sie zur Durchführung von Angriffen verwendet werden, einschließlich Wiederholungsangriffen, Injektionsangriffen und Angriffen zur Privilegieneskalation.

ADC WAF-Schutz

  • JSON-Nutzlast-Inspektion mit benutzerdefinierten Signaturen.

  • XML-Sicherheit: schützt vor XML-Denial of Service (XDoS), XML-SQL- und Xpath-Injection sowie Cross-Site-Scripting, Formatprüfungen, WS-I-Basisprofil-Konformität, Prüfung von

  • Feldformatprüfungen und Cookie-Konsistenz und Feldkonsistenz können verwendet werden.

A 9:2017 — Komponenten mit bekannten Sicherheitslücken verwenden

Komponenten wie Bibliotheken, Frameworks und andere Softwaremodule werden mit denselben Berechtigungen wie die Anwendung ausgeführt. Wenn eine anfällige Komponente ausgenutzt wird, kann ein solcher Angriff zu schwerwiegenden Datenverlusten oder Serverübernahmen führen. Anwendungen und APIs, die Komponenten mit bekannten Sicherheitslücken verwenden, können den Anwendungsschutz untergraben und verschiedene Angriffe und Auswirkungen ermöglichen.

ADC WAF-Schutz

  • Citrix empfiehlt, die Komponenten von Drittanbietern auf dem neuesten Stand zu halten.

  • In ADC-Signaturen konvertierte Schwachstellenscanberichte können verwendet werden, um diese Komponenten virtuell zu patchen.

  • Vorlagen der Anwendungs-Firewall, die für diese anfälligen Komponenten verfügbar sind, können verwendet werden.

  • Benutzerdefinierte Signaturen können an die Firewall gebunden werden, um diese Komponenten zu schützen.

A 10:2017 - Unzureichende Protokollierung und Überwachung

Eine unzureichende Protokollierung und Überwachung in Verbindung mit einer fehlenden oder ineffektiven Integration mit der Reaktion auf Vorfälle ermöglicht es Angreifern, Systeme weiter anzugreifen, die Persistenz aufrechtzuerhalten, auf mehr Systeme zu wechseln und Daten zu manipulieren, zu extrahieren oder zu zerstören. Die meisten Studien zu Verstößen zeigen, dass die Zeit bis zur Erkennung eines Verstoßes über 200 Tage beträgt, was normalerweise von externen Parteien und nicht von internen Prozessen oder Überwachungen erkannt wird

ADC WAF-Schutz

  • Wenn die Protokollierungsaktion für Sicherheitsüberprüfungen oder Signaturen aktiviert ist, enthalten die resultierenden Protokollmeldungen Informationen über die Anforderungen und Antworten, die die Anwendungs-Firewall beim Schutz Ihrer Websites und Anwendungen beobachtet hat.

  • Die Anwendungs-Firewall bietet den Komfort, die integrierte ADC-Datenbank zur Identifizierung der Speicherorte zu verwenden, die den IP-Adressen entsprechen, von denen böswillige Anfragen stammen.

  • Standardformat-Ausdrücke (PI) bieten die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen, mit der Option, die spezifischen Daten hinzuzufügen, die in den von der Anwendungs-Firewall generierten Protokollmeldungen erfasst werden sollen.

  • Die Anwendungs-Firewall unterstützt CEF-Protokolle.

Schutz der Anwendungssicherheit

Citrix ADM

Der Citrix Application Delivery Management Service (Citrix ADM) bietet eine skalierbare Lösung zur Verwaltung von Citrix ADC Bereitstellungen, zu denen Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway, Citrix ADC SDX, Citrix ADC CPX und Citrix SD-WAN-Appliances gehören, die on-premises oder auf dem Wolke.

Citrix ADM Anwendungsanalyse- und Verwaltungsfunktionen

Im Folgenden sind die wichtigsten Funktionen aufgeführt und zusammengefasst, die für die ADM-Rolle in App Security von entscheidender Bedeutung sind.

Anwendungsanalyse und -verwaltung

Die Application Analytics and Management-Funktion von Citrix ADM verstärkt den anwendungsorientierten Ansatz, um Benutzern bei der Bewältigung verschiedener Herausforderungen bei der Anwendungsbereitstellung zu helfen. Dieser Ansatz gibt Benutzern Einblick in die Integritätsbewertungen von Anwendungen, hilft Benutzern, die Sicherheitsrisiken zu ermitteln, und hilft Benutzern, Anomalien im Anwendungsdatenfluss zu erkennen und Korrekturmaßnahmen zu ergreifen. Die wichtigste dieser Rollen für App Security ist Application Security Analytics:

  • Analyse der Anwendungssicherheit: Analyse der Anwendungssicherheit. Das App Security Dashboard bietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Beispielsweise werden wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen, Bedrohungsindizes angezeigt. Das App Security-Dashboard zeigt auch angriffsbezogene Informationen wie SYN-Attacken, Angriffe auf kleine Fenster und DNS-Flutangriffe für die erkannten Citrix ADC ADC-Instanzen an.

StyleBooks

StyleBooks vereinfachen die Verwaltung komplexer Citrix ADC ADC-Konfigurationen für Benutzeranwendungen. Ein StyleBook ist eine Vorlage, mit der Benutzer Citrix ADC ADC-Konfigurationen erstellen und verwalten können. Hier beschäftigen sich Benutzer in erster Linie mit dem StyleBook, das zur Bereitstellung der Web Application Firewall verwendet wird. Weitere Informationen zu StyleBooks finden Sie unter: StyleBooks.

Analytics

Bietet eine einfache und skalierbare Möglichkeit, die verschiedenen Erkenntnisse der Daten der Citrix ADC ADC-Instanzen zu untersuchen, um die Anwendungsleistung zu beschreiben, vorherzusagen und zu verbessern. Benutzer können eine oder mehrere Analysefunktionen gleichzeitig verwenden. Die wichtigsten dieser Rollen für App Security sind:

  • Security Insight: Security Insight. Stellt eine Einbereichslösung bereit, mit der Benutzer den Sicherheitsstatus von Benutzeranwendungen einschätzen und Korrekturmaßnahmen ergreifen können, um Benutzeranwendungen zu schützen.

  • Bot Einblick

  • Weitere Informationen zu Analytics finden Sie unter Analytics: Analytics.

Weitere Funktionen, die für die ADM-Funktionalität wichtig sind, sind:

Event-Management

Ereignisse stellen Ereignisse oder Fehler in einer verwalteten Citrix ADC-Instanz dar. Wenn beispielsweise ein Systemfehler oder eine Änderung der Konfiguration vorliegt, wird ein Ereignis auf Citrix ADM generiert und aufgezeichnet. Im Folgenden finden Sie die zugehörigen Funktionen, die Benutzer mithilfe von Citrix ADM konfigurieren oder anzeigen können:

Weitere Informationen zum Veranstaltungsmanagement finden Sie unter: Veranstaltungen.

Instanz-Verwaltung

Ermöglicht Benutzern die Verwaltung der Citrix ADC-, Citrix Gateway-, Citrix Secure Web Gateway- und Citrix SD-WAN-Instanzen. Weitere Informationen zur Instanzverwaltung finden Sie unter: Instances hinzufügen.

Lizenzverwaltung

Ermöglicht Benutzern die Verwaltung von Citrix ADC Lizenzen, indem sie Citrix ADM als Lizenzmanager konfigurieren.

  • Gepoolte Citrix ADC-Kapazität: Gepoolte Kapazität. Ein gemeinsamer Lizenzpool, aus dem eine Citrix ADC ADC-Benutzerinstanz eine Instanzlizenz und nur so viel Bandbreite auschecken kann, wie sie benötigt. Wenn die Instanz diese Ressourcen nicht mehr benötigt, werden sie wieder in den gemeinsamen Pool eingecheckt und die Ressourcen anderen Instanzen zur Verfügung gestellt, die sie benötigen.

  • Citrix ADC VPX Check-in und Check-Out Lizenzierung: Citrix ADC VPX Check-In and Check-Out Lizenzierung. Citrix ADM weist Citrix ADC VPX VPX-Instanzen bei Bedarf Lizenzen zu. Eine Citrix ADC VPX Instanz kann die Lizenz vom Citrix ADM auschecken, wenn eine Citrix ADC VPX Instanz bereitgestellt wird, oder ihre Lizenz an Citrix ADM zurückchecken, wenn eine Instanz entfernt oder zerstört wird.

  • Weitere Informationen zur Lizenzverwaltung finden Sie unter: Gepoolte Kapazität.

Konfigurationsverwaltung

Mit Citrix ADM können Benutzer Konfigurationsaufträge erstellen, mit denen sie Konfigurationsaufgaben wie das Erstellen von Entitäten, das Konfigurieren von Funktionen, die Replikation von Konfigurationsänderungen, Systemupgrades und andere Wartungsaktivitäten problemlos in mehreren Instanzen ausführen können. Konfigurationsaufträge und Vorlagen vereinfachen die sich wiederholenden Verwaltungsaufgaben zu einer einzigen Aufgabe auf Citrix ADM. Weitere Informationen zum Konfigurationsmanagement finden Sie unter Konfigurationsjobs: Konfigurationsjobs.

Prüfung der Konfiguration

Ermöglicht Benutzern die Überwachung und Identifizierung von Anomalien in den Konfigurationen über Benutzerinstanzen hinweg.

Signaturen bieten die folgenden Bereitstellungsoptionen, um Benutzern zu helfen, den Schutz von Benutzeranwendungen zu optimieren:

  • Negatives Sicherheitsmodell: Beim negativen Sicherheitsmodell verwenden Benutzer zahlreiche vorkonfigurierte Signaturregeln, um die Leistungsfähigkeit des Mustervergleichs anzuwenden, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen. Benutzer blockieren nur das, was sie nicht wollen, und lassen den Rest zu. Benutzer können ihre eigenen Signaturregeln hinzufügen, die auf den spezifischen Sicherheitsanforderungen von Benutzeranwendungen basieren, um ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen.

  • Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Benutzer positive Sicherheitsüberprüfungen verwenden, um eine Konfiguration zu erstellen, die sich ideal für Benutzeranwendungen eignet. Verwenden Sie Signaturen, um zu blockieren, was Benutzer nicht möchten, und setzen Sie positive Sicherheitsprüfungen durch, um durchzusetzen, was zulässig ist

Um Benutzeranwendungen mithilfe von Signaturen zu schützen, müssen Benutzer ein oder mehrere Profile für die Verwendung ihres Signaturobjekts konfigurieren. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln im Benutzersignaturobjekt nicht nur von den Signaturregeln verwendet, sondern auch von den positiven Sicherheitsüberprüfungen, die im Profil der Web Application Firewall konfiguriert sind, das den signatures-Objekt.

Die Web Application Firewall untersucht den Verkehr zu benutzergeschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der mit einer Signatur übereinstimmt. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel mit dem Datenverkehr übereinstimmt. Wenn eine Übereinstimmung auftritt, werden die angegebenen Aktionen für die Regel aufgerufen. Benutzer können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anfrage blockiert wird. Protokollmeldungen können Benutzern helfen, Angriffe auf Benutzeranwendungen zu erkennen. Wenn Benutzer Statistiken aktivieren, verwaltet die Web Application Firewall Daten zu Anforderungen, die mit einer Signatur oder Sicherheitsüberprüfung der Web Application Firewall übereinstimmen.

Wenn der Datenverkehr sowohl mit einer Signatur als auch mit einer positiven Sicherheitsprüfung übereinstimmt, werden die restriktiveren der beiden Aktionen durchgesetzt. Wenn beispielsweise eine Anforderung mit einer Signaturregel übereinstimmt, für die die Blockaktion deaktiviert ist, aber die Anforderung auch mit einer positiven SQL Injection Sicherheitsprüfung übereinstimmt, für die die Aktion blockiert ist, wird die Anforderung blockiert. In diesem Fall kann die Signaturverletzung als protokolliert werden<not blocked>, obwohl die Anforderung durch die SQL-Injection-Prüfung blockiert wird.

Anpassung: Falls erforderlich, können Benutzer ihre eigenen Regeln zu einem Signatur-Objekt hinzufügen. Benutzer können die SQL/XSS-Muster auch anpassen. Die Option, eigene Signaturregeln hinzuzufügen, die auf den spezifischen Sicherheitsanforderungen von Benutzeranwendungen basieren, gibt Benutzern die Flexibilität, ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen. Benutzer blockieren nur das, was sie nicht wollen, und lassen den Rest zu. Ein bestimmtes Fast-Match-Muster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Benutzer können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Expressions-Editoren helfen Benutzern dabei, Benutzermuster zu konfigurieren und ihre Richtigkeit zu überprüfen.

Anwendungsfälle

Im Vergleich zu alternativen Lösungen, bei denen jeder Service als separate virtuelle Appliance bereitgestellt werden muss, kombiniert Citrix ADC auf AWS L4-Lastausgleich, L7-Verkehrsmanagement, Serveroffload, Anwendungsbeschleunigung, Anwendungssicherheit, flexible Lizenzierung und andere wichtige Funktionen zur Anwendungsbereitstellung. in einer einzigen VPX-Instanz, bequem über den AWS Marketplace verfügbar. Darüber hinaus wird alles von einem einzigen Richtlinienframework geregelt und mit den gleichen, leistungsstarken Tools verwaltet, die für die Verwaltung lokaler Citrix ADC-Bereitstellungen verwendet werden. Das Ergebnis ist, dass Citrix ADC auf AWS mehrere überzeugende Anwendungsfälle ermöglicht, die nicht nur die unmittelbaren Anforderungen der heutigen Unternehmen unterstützen, sondern auch die kontinuierliche Entwicklung von Legacy-Computing-Infrastrukturen zu Enterprise Cloud-Rechenzentren.

Citrix Web Application Firewall (WAF)

Die Citrix Web Application Firewall (WAF) ist eine Lösung für Unternehmen, die modernen Anwendungen auf dem neuesten Stand der Technik bietet. Citrix WAF mindert Bedrohungen gegen öffentlich zugängliche Ressourcen wie Websites, Webanwendungen und APIs. Citrix WAF umfasst IP-Reputationsfilterung, Bot-Minderung, OWASP Top 10 Schutz vor Anwendungsbedrohungen, Layer-7-DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Durchsetzung der Authentifizierung, starke SSL-/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Umschreibrichtlinien. Citrix WAF verwendet sowohl grundlegenden als auch erweiterten WAF-Schutz und bietet umfassenden Schutz für Ihre Anwendungen mit beispielloser Benutzerfreundlichkeit. Das Aufstehen ist eine Frage von Minuten. Darüber hinaus spart Citrix WAF den Benutzern durch die Verwendung eines automatisierten Lernmodells, das als dynamisches Profiling bezeichnet wird, wertvolle Zeit. Durch das automatische Erlernen der Funktionsweise einer geschützten Anwendung passt sich Citrix WAF der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Citrix WAF hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Stellen, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit Auto Scaling können Benutzer sicher sein, dass ihre Anwendungen auch dann geschützt bleiben, wenn ihr Datenverkehr zunimmt.

Bereitstellungsstrategie für die Webanwendungs

Der erste Schritt bei der Bereitstellung der Webanwendungs-Firewall besteht darin, zu bewerten, welche Anwendungen oder spezifischen Daten maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und für welche die Sicherheitsinspektion sicher umgangen werden kann. Dies hilft Benutzern dabei, eine optimale Konfiguration zu finden und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Benutzer können beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu Bypass, und eine weitere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um unterschiedliche Inhalte derselben Anwendung zu schützen.

Der nächste Schritt besteht darin, die Bereitstellung zu planen. Erstellen Sie zunächst einen virtuellen Server und führen Sie Testverkehr durch diesen aus, um sich ein Bild von der Geschwindigkeit und Menge des Datenverkehrs zu machen, der durch das Benutzersystem fließt.

Stellen Sie dann die Web Application Firewall bereit. Verwenden Sie Citrix ADM und das Web Application Firewall StyleBook, um die Web Application Firewall zu konfigurieren. Einzelheiten finden Sie im Abschnitt StyleBook weiter unten in diesem Handbuch.

Nachdem die Web Application Firewall mit dem Web Application Firewall StyleBook bereitgestellt und konfiguriert wurde, wäre ein nützlicher nächster Schritt die Implementierung der Citrix ADC WAF und OWASP Top Ten.

Schließlich sind drei Schutzmaßnahmen der Web Application Firewall besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger verwendet als alle anderen. Daher sollten sie bei der ersten Bereitstellung implementiert werden. Sie sind:

  • Site-übergreifendes HTML-Skript Untersucht Anfragen und Antworten für Skripte, die versuchen, auf Inhalte auf einer anderen Website als der Website, auf der sich das Skript befindet, zuzugreifen oder diese zu ändern. Wenn diese Überprüfung ein solches Skript findet, macht es entweder das Skript harmlos, bevor die Anforderung oder Antwort an das Ziel weitergeleitet wird, oder es blockiert die Verbindung.

  • HTML-SQL-Injektion. Untersucht Anforderungen, die Formularfelddaten enthalten, auf Versuche, SQL-Befehle in eine SQL-Datenbank einzufügen. Wenn diese Überprüfung injizierten SQL-Code erkennt, blockiert sie entweder die Anforderung oder macht den injizierten SQL-Code harmlos, bevor die Anforderung an den Webserver weitergeleitet wird.

Hinweis: Wenn beide der folgenden Bedingungen für die Benutzerkonfiguration zutreffen, sollten Benutzer sicherstellen, dass Ihre Web Application Firewall korrekt konfiguriert ist:

  • Wenn Benutzer die HTML Cross-Site Scripting Prüfung oder die HTML SQL Injection Check (oder beides) aktivieren und

  • Benutzergeschützte Websites akzeptieren Datei-Uploads oder enthalten Webformulare, die große POST-Textdaten enthalten können.

Weitere Informationen zur Konfiguration der Web Application Firewall für diesen Fall finden Sie unter Configuring the Application Firewall: Configuring the Web App Firewall.

  • Pufferüberlauf. Untersucht Anforderungen, um Versuche zu erkennen, einen Pufferüberlauf auf dem Webserver zu verursachen.

Konfiguration der Web Application Firewall (WAF)

Bei den folgenden Schritten wird davon ausgegangen, dass die WAF bereits aktiviert ist und ordnungsgemäß funktioniert.

Citrix empfiehlt Benutzern, WAF mit dem Web Application Firewall StyleBook zu konfigurieren. Für die meisten Benutzer ist es die einfachste Methode, die Web Application Firewall zu konfigurieren, und sie wurde entwickelt, um Fehler zu vermeiden. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, in erster Linie um eine vorhandene Konfiguration zu ändern oder erweiterte Optionen zu verwenden.

SQL Injection

Die HTML SQL Injection-Überprüfung der Anwendungs-Firewall bietet besonderen Schutz vor der Injektion von nicht autorisiertem SQL-Code, der die Sicherheit der Benutzeranwendung beeinträchtigen könnte. DieCitrix Web Application Firewall untersucht die Anforderungsnutzlast für injizierten SQL-Code an drei Stellen: 1) POST-Text, 2) Header und 3) Cookies.

Ein Standardsatz von Schlüsselwörtern und Sonderzeichen enthält bekannte Schlüsselwörter und Sonderzeichen, die häufig zum Starten von SQL-Angriffen verwendet werden. Benutzer können auch neue Muster hinzufügen und den Standardsatz bearbeiten, um die SQL-Prüfung anzupassen.

Es gibt mehrere Parameter, die für die SQL-Injection-Verarbeitung konfiguriert werden können. Benutzer können nach SQL-Platzhalterzeichensuchen. Benutzer können den SQL Injection-Typ ändern und eine der 4 Optionen auswählen (SqlKeyword, SqlSplChar, SqlSplCharandKeyword, SqlSplCharorKeyword), um anzugeben, wie die SQL-Schlüsselwörter und SQL-Sonderzeichen bei der Verarbeitung der Nutzdaten ausgewertet werden sollen. DerParameter Handhabung von SQL-Kommentarengibt Benutzern die Möglichkeit, den Typ der Kommentare anzugeben, die bei der Erkennung von SQL Injection überprüft oder ausgenommen werden müssen.

Benutzer können Relaxationen einsetzen, um Fehlalarme zu vermeiden. Die Lern-Engine kann Empfehlungen für die Konfiguration von Relaxationsregeln geben.

Die folgenden Optionen sind für die Konfiguration eines optimierten SQL Injection-Schutzes für die Benutzeranwendung verfügbar:

Block — Wenn Benutzer das Blockieren aktivieren, wird die Blockaktion nur ausgelöst, wenn die Eingabe mit der Spezifikation des SQL-Injektionstyps übereinstimmt. Wenn beispielsweiseSqlSplCharandKeywordals SQL-Injektionstyp konfiguriert ist, wird eine Anforderung nicht blockiert, wenn sie keine Schlüsselwörter enthält, auch wenn SQL-Sonderzeichen in der Eingabe erkannt werden. Eine solche Anforderung wird blockiert, wenn der SQL-Injektionstyp entweder aufsqlSplCharodersqlSplCharorKeywordgesetzt ist.

Log — Wenn Benutzer die Protokollfunktion aktivieren, generiert die SQL Injection-Prüfung Protokollmeldungen, die die ergriffenen Aktionen angeben. Wenn der Block deaktiviert ist, wird für jedes Eingabefeld, in dem die SQL-Verletzung erkannt wurde, eine separate Protokollmeldung generiert. Allerdings wird nur eine Nachricht generiert, wenn die Anforderung blockiert wird. In ähnlicher Weise wird eine Protokollnachricht pro Anforderung für den Transformationsvorgang generiert, auch wenn SQL-Sonderzeichen in mehrere Felder umgewandelt werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Versuche hinweisen, einen Angriff zu starten.

Statistiken — Wenn diese Option aktiviert ist, sammelt die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hinweisen, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration erneut aufrufen, um festzustellen, ob sie neue Relaxationsregeln konfigurieren oder die vorhandenen ändern müssen.

Lernen — Wenn Benutzer sich nicht sicher sind, welche SQL-Relaxationsregeln für ihre Anwendungen am besten geeignet sind, können sie die Lernfunktion verwenden, um Empfehlungen auf der Grundlage der erlernten Daten zu generieren. Die Web Application Firewall-Lernengine überwacht den Datenverkehr und bietet SQL-Lernempfehlungen basierend auf den beobachteten Werten. Um einen optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

SQL-Sonderzeichen transformieren— Die Web Application Firewall berücksichtigt drei Zeichen, einfaches Anführungszeichen (‘), Backslash () und Semikolon (;), als Sonderzeichen für die Verarbeitung der SQL-Sicherheitsprüfung. Die Funktion “SQL Transformation” ändert den SQL-Einschleusung-Code in einer HTML-Anforderung, um sicherzustellen, dass die Anforderung unschädlich gemacht wird. Die geänderte HTML-Anforderung wird dann an den Server gesendet. Alle standardmäßigen Transformationsregeln sind in der Datei /netscaler/default_custom_settings.xml angegeben.

  • Durch die Transformationsoperation wird der SQL-Code inaktiv, indem die folgenden Änderungen an der Anforderung vorgenommen werden:

  • Einfaches gerades Anführungszeichen (‘) in doppeltes gerades Anführungszeichen („).

  • Backslash () zu doppeltem Backslash ().

  • Semikolon (;) wird vollständig verworfen.

Diese drei Zeichen (Sonderzeichenfolgen) sind erforderlich, um Befehle an einen SQL-Server auszugeben. Sofern einem SQL-Befehl keine spezielle Zeichenfolge vorangestellt wird, ignorieren die meisten SQL-Server diesen Befehl. Daher verhindern die Änderungen, die die Web Application Firewall bei aktivierter Transformation vornimmt, dass ein Angreifer aktives SQL injiziert. Nachdem diese Änderungen vorgenommen wurden, kann die Anfrage sicher an die vom Benutzer geschützte Website weitergeleitet werden. Wenn Webformulare auf der vom Benutzer geschützten Website rechtmäßig SQL-Sonderzeichenfolgen enthalten können, die Webformulare jedoch nicht auf die speziellen Zeichenfolgen angewiesen sind, können Benutzer das Blockieren deaktivieren und die Transformation aktivieren, um das Blockieren legitimer Webformulardaten zu verhindern, ohne den Schutz des Webs zu verringern Die Anwendungs-Firewall stellt dem Benutzer geschützte Websites zur Verfügung.

Der Transformationsvorgang funktioniert unabhängig von der Einstellung “SQL Injection Type”. Wenn transform aktiviert ist und der Typ SQL Injection als SQL-Schlüsselwort angegeben wird, werden SQL-Sonderzeichen umgewandelt, auch wenn die Anforderung keine Schlüsselwörter enthält.

Tipp: Benutzer aktivieren normalerweise entweder Transformation oder Blockierung, aber nicht beide. Wenn die Blockaktion aktiviert ist, hat sie Vorrang vor der Transformationsaktion. Wenn Benutzer das Blockieren aktiviert haben, ist das Aktivieren der Transformation überflüssig.

AufSQL-Platzhalterzeichen prüfen — Platzhalterzeichenkönnen verwendet werden, um die Auswahl einer SELECT SQL-Anweisung zu erweitern. Diese Platzhalteroperatoren können mit den OperatorenLIKEundNOT LIKEverwendet werden, um einen Wert mit ähnlichen Werten zu vergleichen. Die Prozentzeichen (%) und Unterstriche (_) werden häufig als Platzhalter verwendet. Das Prozentzeichen entspricht dem Sternchen (*) -Platzhalterzeichen, das mit MS-DOS verwendet wird, und um Null, ein oder mehrere Zeichen in einem Feld abzugleichen. Der Unterstrich ähnelt dem MS-DOS-Fragezeichen (?) Platzhalterzeichen. Es stimmt mit einer einzelnen Zahl oder einem Zeichen in einem Ausdruck überein.

Benutzer können beispielsweise die folgende Abfrage verwenden, um eine Stringsuche durchzuführen, um alle Kunden zu finden, deren Namen das Zeichen D enthalten.

SELECT * vom Kunden WHERE-Namen wie „%D%“:

Im folgenden Beispiel werden die Operatoren kombiniert, um Gehaltswerte zu finden, die an zweiter und dritter Stelle 0 haben.

SELECT * vom Kunden WHERE Gehalt wie ‘_ 00% ‘:

Verschiedene DBMS-Anbieter haben die Platzhalterzeichen um zusätzliche Operatoren erweitert. Die Citrix Web Application Firewall kann vor Angriffen schützen, die durch das Einfügen dieser Platzhalterzeichen ausgelöst werden. Die 5 standardmäßigen Platzhalterzeichen sind Prozent (%), Unterstrich (_), Caret (^), öffnende Klammer ([) und schließende Klammer (]). Dieser Schutz gilt sowohl für HTML- als auch für XML-Profile.

Die Standard-Platzhalterzeichen sind eine Liste von Literalen, die in den*Standardsignaturen angegeben sind:

  • <wildchar type=“ LITERAL“ >%</wildchar>

  • <wildchar type=“ LITERAL“ >_</wildchar>

  • <wildchar type=“ LITERAL“ >^</wildchar>

  • <wildchar type=“ LITERAL“ >[</wildchar>

  • <wildchar type=“ LITERAL“ >]</wildchar>

Platzhalterzeichen in einem Angriff können PCRE sein, wie [^A-F]. Die Web Application Firewall unterstützt auch PCRE-Platzhalter, aber die obigen literalen Platzhalterzeichen reichen aus, um die meisten Angriffe zu blockieren.

Hinweis: Die SQL-Platzhalterzeichenprüfung unterscheidet sich von der SQL-Sonderzeichenprüfung. Diese Option muss mit Vorsicht verwendet werden, um Fehlalarme zu vermeiden.

Check Request containing SQL Injection Type — Die Web Application Firewall bietet 4 Optionen, um die gewünschte Strenge für die SQL Injection-Prüfung zu implementieren, basierend auf den individuellen Anforderungen der Anwendung. Die Anforderung wird mit der Spezifikation des Injektionstyps zur Erkennung von SQL-Verletzungen abgeglichen. Die 4 Optionen für den SQL-Einschleusung-Typ sind:

  • SQL-Sonderzeichen und -Schlüsselwort — Sowohl ein SQL-Schlüsselwort als auch ein SQL-Sonderzeichen müssen in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Diese am wenigsten restriktive Einstellung ist auch die Standardeinstellung.

  • SQL-Sonderzeichen — Mindestens eines der Sonderzeichen muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen.

  • SQL-Schlüsselwort — Mindestens eines der angegebenen SQL-Schlüsselwörter muss in der Eingabe vorhanden sein, um eine SQL-Verletzung auszulösen. Wählen Sie diese Option nicht ohne angemessene Berücksichtigung aus. Um Fehlalarme zu vermeiden, stellen Sie sicher, dass keines der Schlüsselwörter in den Eingaben erwartet wird.

  • SQL-Sonderzeichen oder Schlüsselwort—Entweder das Schlüsselwort oder die Sonderzeichenfolge muss in der Eingabe vorhanden sein, um die Sicherheitsüberprüfungsverletzung auszulösen.

Tipp: Wenn Benutzer die Web Application Firewall so konfigurieren, dass sie nach Eingaben sucht, die ein SQL-Sonderzeichen enthalten, überspringt die Web Application Firewall Webformularfelder, die keine Sonderzeichen enthalten. Da die meisten SQL-Server keine SQL-Befehle verarbeiten, denen kein Sonderzeichen vorangestellt ist, kann die Aktivierung dieser Option die Web Application Firewall erheblich reduzieren und die Verarbeitung beschleunigen, ohne die vom Benutzer geschützten Websites zu gefährden.

Umgang mit SQL-Kommentaren — Standardmäßig überprüft die Web Application Firewall alle SQL-Kommentare auf injizierte SQL-Befehle. Viele SQL-Server ignorieren jedoch alles in einem Kommentar, auch wenn ein SQL-Sonderzeichen vorangestellt ist. Wenn Ihr SQL-Server Kommentare ignoriert, können Sie zur schnelleren Verarbeitung die Web Application Firewall so konfigurieren, dass Kommentare bei der Prüfung von Anfragen für injiziertes SQL übersprungen werden. Die Optionen für die Verarbeitung von SQL-Kommentaren sind:

  • ANSI—Überspringt SQL-Kommentare im ANSI-Format, die normalerweise von UNIX-basierten SQL-Datenbanken verwendet werden. Beispiel:

    • /— (Zwei Bindestriche) - Dies ist ein Kommentar, der mit zwei Bindestrichen beginnt und mit dem Zeilenende endet.

    • {} - Klammern (Klammern umschließen den Kommentar. Das {steht vor dem Kommentar und das} folgt ihm. Klammern können ein- oder mehrzeilige Kommentare abgrenzen, Kommentare können jedoch nicht verschachtelt werden)

    • /**/: Kommentare im C-Stil (Erlaubt keine verschachtelten Kommentare). Bitte beachten Sie /*! <comment that begins with a slash followed by an asterisk and an exclamation mark is not a comment >*/

    • MySQL Server unterstützt einige Varianten von Kommentaren im C-Stil. Diese ermöglichen es Benutzern, Code zu schreiben, der MySQL-Erweiterungen enthält, aber immer noch portierbar ist, indem sie Kommentare der folgenden Form verwenden: [/*! MySQL-spezifischer Code */]

    • .#: Mysql-Kommentare: Dies ist ein Kommentar, der mit dem Zeichen # beginnt und mit einem Zeilenende endet

  • Verschachtelt — Überspringt verschachtelte SQL-Kommentare, die normalerweise von Microsoft SQL Server verwendet werden. Zum Beispiel; — (Zwei Bindestriche) und/**/(Erlaubt verschachtelte Kommentare)

  • ANSI/Nested — Überspringt Kommentare, die sowohl den ANSI- als auch den verschachtelten SQL-Kommentarstandards entsprechen. Kommentare, die nur dem ANSI-Standard oder nur dem verschachtelten Standard entsprechen, werden weiterhin auf injizierte SQL überprüft.

  • Alle Kommentare überprüfen — Überprüft die gesamte Anfrage für eingespritztes SQL, ohne etwas zu überspringen. Dies ist die Standardeinstellung.

Tipp: Normalerweise sollten Benutzer die Option Verschachtelt oder ANSI/Verschachtelt nicht wählen, es sei denn, ihre Back-End-Datenbank läuft auf Microsoft SQL Server. Die meisten anderen Typen von SQL Server-Software erkennen verschachtelte Kommentare nicht. Wenn verschachtelte Kommentare in einer Anfrage erscheinen, die an einen anderen SQL-Servertyp gerichtet ist, deuten sie möglicherweise auf einen Versuch hin, die Sicherheit auf diesem Server zu verletzen.

Anforderungsheader prüfen — Aktivieren Sie diese Option, wenn Benutzer nicht nur die Eingabe in den Formularfeldern überprüfen, sondern auch die Anforderungsheader auf HTML SQL Injection-Angriffe untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im BereichErweiterte Einstellungen->Profileinstellungendes Profils Web Application Firewall aktivieren.

Hinweis: Wenn Benutzer das Header-Flag Check Request aktivieren, müssen sie möglicherweise eine Relaxationsregel für denUser-Agent-Headerkonfigurieren. Das Vorhandensein des SQL-Schlüsselwortslikeund eines SQL-Sonderzeichen-Semikolons (;) kann falsch positive und Blockanforderungen auslösen, die diesen Header enthalten. Warnung: Wenn Benutzer sowohl die Überprüfung des Anforderungs-Headers als auch die Transformation aktivieren, werden auch alle SQL-Sonderzeichen in Headern transformiert Die Header Accept, Accept-Charset, Accept-Encoding, Accept-Language, Expect und User-Agent enthalten normalerweise Semikolons (;). Die gleichzeitige Aktivierung von Request-Header-Überprüfung und Transformation kann zu Fehlern führen

inspectQueryContentTypes— Konfigurieren Sie diese Option, wenn Benutzer den Anforderungsabfrageteil auf SQL-Injection-Angriffe für die spezifischen Inhaltstypen untersuchen möchten. Wenn Benutzer die GUI verwenden, können sie diesen Parameter im BereichErweiterte Einstellungen->Profileinstellungendes Anwendungs-Firewall-Profils konfigurieren.

Site-übergreifende Skripting

Die HTML Cross-Site Scripting (Cross-Site Scripting) -Prüfung untersucht sowohl die Header als auch die POST-Texte von Benutzeranfragen auf mögliche Cross-Site-Scripting-Angriffe. Wenn es ein Cross-Site-Skript findet, ändert (transformiert) es entweder die Anforderung, um den Angriff unschädlich zu machen, oder blockiert die Anforderung.

Hinweis: Die HTML Cross-Site Scripting (Cross-Site Scripting) -Prüfung funktioniert nur für Inhaltstyp, Inhaltslänge usw. Es funktioniert nicht für Cookie. Stellen Sie außerdem sicher, dass die Option ‘checkRequestHeaders’ im Benutzerprofil der Web Application Firewall aktiviert ist.

Um den Missbrauch von Skripten auf benutzergeschützten Websites zu verhindern und die Sicherheit auf Benutzerwebsites zu verletzen, blockiert die HTML Cross-Site Scripting Prüfung Skripts, die gegen dieselbe Ursprungsregel verstoßen, die besagt, dass Skripts nicht auf Inhalte auf einem Server zugreifen oder diese ändern dürfen, außer auf dem Server, auf dem sie sich befinden. Jedes Skript, das gegen dieselbe Ursprungsregel verstößt, wird als siteübergreifendes Skript bezeichnet, und die Praxis, Skripts zum Zugriff auf oder Ändern von Inhalten auf einem anderen Server zu verwenden, wird als siteübergreifende Skripts bezeichnet. Der Grund, warum Cross-Site Scripting ein Sicherheitsproblem darstellt, besteht darin, dass ein Webserver, der Cross-Site Scripting ermöglicht, mit einem Skript angegriffen werden kann, das sich nicht auf diesem Webserver befindet, sondern auf einem anderen Webserver, z. B. einem, der dem Angreifer gehört und von diesem kontrolliert wird.

Leider verfügen viele Unternehmen über eine große installierte Basis von Webinhalten mit Javascript, die gegen dieselbe Ursprungsregel verstoßen. Wenn Benutzer die HTML Cross-Site Scripting Prüfung auf einer solchen Site aktivieren, müssen sie die entsprechenden Ausnahmen generieren, damit die Prüfung legitime Aktivitäten nicht blockiert.

Die Web Application Firewall bietet verschiedene Aktionsoptionen zur Implementierung des HTML Cross-Site Scripting-Schutzes. Zusätzlich zu den AktionenBlockieren,Protokollieren,StatistikenundLernenhaben Benutzer auch die Möglichkeit,standortübergreifende Skripte zu transformieren, um einen Angriff unschädlich zu machen, indem die Skript-Tags in der eingereichten Anfrage durch Entitäten codiert werden. Benutzer können Check complete URLs für den Cross-Site-Scripting-Parameter konfigurieren, um anzugeben, ob sie nicht nur die Abfrageparameter, sondern die gesamte URL überprüfen möchten, um einen Cross-Site-Scripting-Angriff zu erkennen. Benutzer können den Parameter InspectQueryContentTypesso konfigurieren, dass der Anforderungsabfrageteil auf einen Cross-Site-Scripting-Angriff für die spezifischen Inhaltstypen überprüft wird.

Benutzer können Relaxationen einsetzen, um Fehlalarme zu vermeiden. Die Lernmaschine der Web Application Firewall kann Empfehlungen für die Konfiguration von Relaxationsregeln geben.

Für die Konfiguration eines optimierten HTML Cross-Site Scripting-Schutzes für die Benutzeranwendung stehen die folgenden Optionen zur Verfügung:

  • Blockieren — Wenn Benutzer das Blockieren aktivieren, wird die Blockaktion ausgelöst, wenn die Cross-Site-Scripting-Tags in der Anforderung erkannt werden.

  • Log — Wenn Benutzer die Protokollfunktion aktivieren, generiert die HTML Cross-Site Scripting-Prüfung Protokollmeldungen, die die ergriffenen Aktionen angeben. Wenn Block deaktiviert ist, wird für jeden Header oder jedes Formularfeld, in dem die Cross-Site-Scripting-Verletzung erkannt wurde, eine separate Protokollnachricht generiert. Allerdings wird nur eine Nachricht generiert, wenn die Anforderung blockiert wird. Ebenso wird eine Protokollnachricht pro Anforderung für den Transformationsvorgang generiert, selbst wenn websiteübergreifende Skript-Tags in mehrere Felder umgewandelt werden. Benutzer können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Ein starker Anstieg der Anzahl der Protokollmeldungen kann auf Versuche hinweisen, einen Angriff zu starten.

  • Statistiken — Wenn diese Option aktiviert ist, sammelt die Statistikfunktion Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg des Statistikzählers könnte darauf hinweisen, dass die Benutzeranwendung angegriffen wird. Wenn legitime Anfragen blockiert werden, müssen Benutzer möglicherweise die Konfiguration erneut aufrufen, um festzustellen, ob sie neue Relaxationsregeln konfigurieren oder die vorhandenen ändern müssen.

  • Lernen — Wenn Benutzer sich nicht sicher sind, welche Relaxationsregeln für ihre Anwendung am besten geeignet sind, können sie die Lernfunktion verwenden, um basierend auf den erlernten Daten Empfehlungen für HTML-Site-Scripting-Regeln zu generieren. Die Web Application Firewall Learning Engine überwacht den Datenverkehr und gibt auf der Grundlage der beobachteten Werte Lernempfehlungen. Um einen optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Benutzer möglicherweise die Lernoption für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Regeln bereitstellen und das Lernen deaktivieren.

  • Site-übergreifende Skripts transformieren — Wenn diese Option aktiviert ist, nimmt die Web Application Firewall die folgenden Änderungen an Anforderungen vor, die der Prüfung für HTML Cross-Site Scripting entsprechen:

    • Linke eckige Klammer (<) zum Äquivalent der HTML-Zeichenentität (<)

    • Rechtwinklige Klammer (>) zu HTML-Zeichenentitätsäquivalent (>)

Dadurch wird sichergestellt, dass Browser keine unsicheren HTML-Tags wie <script>, and thereby run malicious code. If users enable both request-header checking and transformation, any special characters found in request headers are also modified as described above. If scripts on the user protected website contain cross-site scripting features, but the user website does not rely upon those scripts to operate correctly, users can safely disable blocking and enable transformation. This configuration ensures that no legitimate web traffic is blocked, while stopping any potential cross-site scripting attacks.

  • Vollständige URLs auf Cross-Site Scripting prüfen — Wenn die Überprüfung vollständiger URLs aktiviert ist, untersucht die Web Application Firewall ganze URLs auf Site-übergreifende HTML-Scripting-Angriffe, anstatt nur die Abfrageteile von URLs zu überprüfen.

  • Anforderungsheader prüfen — Wenn die Request Header-Prüfung aktiviert ist, untersucht die Web Application Firewall die Header von Anforderungen für Site-übergreifende HTML-Scripting-Angriffe, anstatt nur URLs. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte Einstellungen des Web Application Firewall-Profils aktivieren.

  • inspectQueryContentTypes— Wenn Request Query Inspection konfiguriert ist, untersucht die Anwendungs-Firewall die Abfrage von Anforderungen für Cross-Site-Scripting-Angriffe für die spezifischen Inhaltstypen. Wenn Benutzer die GUI verwenden, können sie diesen Parameter auf der Registerkarte Einstellungen des Anwendungs-Firewall-Profils konfigurieren.

Wichtig: Im Zuge der Streaming-Änderungen hat sich die Verarbeitung der Cross-Site-Scripting-Tags durch die Web Application Firewall geändert. In früheren Versionen wurde das Vorhandensein von offenen Klammern (<), or close bracket (>) oder sowohl offenen als auch geschlossenen Klammern (<>) als Cross-Site-Scripting-Verletzung gekennzeichnet. Das Verhalten wurde in den Builds geändert, die Unterstützung für das Streaming auf der Anforderungsseite beinhalten Nur das Zeichen in der engen Klammer (>) wird nicht mehr als Angriff betrachtet. Anfragen werden auch dann geblockt, wenn ein Zeichen in offener Klammer (<) vorhanden ist, und werden als Angriff betrachtet. Der Cross-Site-Scripting-Angriff wird markiert.

Pufferüberlaufprüfung

Die Pufferüberlaufprüfung erkennt Versuche, einen Pufferüberlauf auf dem Webserver zu verursachen. Wenn die Web Application Firewall feststellt, dass die URL, die Cookies oder der Header länger als die konfigurierte Länge sind, blockiert sie die Anfrage, da sie einen Pufferüberlauf verursachen kann.

Die Pufferüberlaufprüfung verhindert Angriffe auf unsichere Betriebssystem- oder Webserver-Software, die abstürzen oder sich unvorhersehbar verhalten können, wenn sie eine Datenzeichenfolge empfängt, die größer ist als sie verarbeiten kann. Richtige Programmiertechniken verhindern Pufferüberläufe, indem eingehende Daten überprüft und überlange Zeichenfolgen zurückgewiesen oder abgeschnitten werden. Viele Programme überprüfen jedoch nicht alle eingehenden Daten und sind daher anfällig für Pufferüberläufe. Dieses Problem betrifft insbesondere ältere Versionen von Web-Server-Software und Betriebssystemen, von denen viele noch verwendet werden.

Die Pufferüberlauf-Sicherheitsprüfung ermöglicht es Benutzern, dieBlock-,Log- undStatistik-Aktionenzu konfigurieren. Darüber hinaus können Benutzer auch die folgenden Parameter konfigurieren:

  • Maximale URL-Länge. Die maximale Länge, die die Web Application Firewall in einer angeforderten URL zulässt. Anfragen mit längeren URLs werden blockiert.Mögliche Werte: 0—65535.Standard: 1024

  • Maximale Cookie-Länge Die maximale Länge, die die Web Application Firewall für alle Cookies in einer Anfrage zulässt. Anfragen mit längeren Cookies lösen die Verstöße aus.Mögliche Werte: 0—65535.Standard: 4096

  • Maximale Kopfzeilenlänge. Die maximale Länge, die die Web Application Firewall für HTTP-Header zulässt. Anfragen mit längeren Kopfzeilen werden blockiert.Mögliche Werte: 0—65535.Standard: 4096

  • Länge der Abfragezeichenfolge. Die maximale Länge, die für eine Abfragezeichenfolge in einer eingehenden Anforderung zulässig ist. Anfragen mit längeren Abfragen werden blockiert. Mögliche Werte: 0—65535. Standard: 1024

  • Gesamtlänge der Anfrage. Maximale Anforderungslänge für eine eingehende Anforderung. Anfragen mit einer längeren Länge werden blockiert. Mögliche Werte: 0—65535. Standard: 24820

Virtuelles Patchen/Signaturen

Die Signaturen bieten spezifische, konfigurierbare Regeln, um den Schutz von Benutzerwebsites vor bekannten Angriffen zu vereinfachen. Eine Signatur stellt ein Muster dar, das eine Komponente eines bekannten Angriffs auf ein Betriebssystem, einen Webserver, eine Website, einen XML-basierten Webdienst oder eine andere Ressource ist. Ein umfangreicher Satz vorkonfigurierter integrierter oder nativer Regeln bietet eine benutzerfreundliche Sicherheitslösung, die die Leistungsfähigkeit des Mustervergleichs einsetzt, um Angriffe zu erkennen und vor Anwendungsschwachstellen zu schützen.

Benutzer können ihre eigenen Signaturen erstellen oder Signaturen in den integrierten Vorlagen verwenden. Die Web Application Firewall hat zwei eingebaute Vorlagen:

  • Standardsignaturen: Diese Vorlage enthält eine vorkonfigurierte Liste von über 1.300 Signaturen sowie eine vollständige Liste von SQL-Injection-Schlüsselwörtern, SQL-Sonderzeichenfolgen, SQL-Transformationsregeln und SQL-Platzhalterzeichen. Es enthält auch abgelehnte Muster für siteübergreifende Skripterstellung sowie zulässige Attribute und Tags für siteübergreifende Skripterstellung. Dies ist eine schreibgeschützte Vorlage. Benutzer können den Inhalt anzeigen, aber sie können in dieser Vorlage nichts hinzufügen, bearbeiten oder löschen. Um es verwenden zu können, müssen Benutzer eine Kopie erstellen. In ihrer eigenen Kopie können Benutzer die Signaturregeln aktivieren, die sie auf ihren Datenverkehr anwenden möchten, und die Aktionen angeben, die ausgeführt werden sollen, wenn die Signaturregeln mit dem Verkehr übereinstimmen.

Die Signaturen stammen aus den von SNORT: SNORTveröffentlichten Regeln, einem Open-Source-Intrusion Prevention-System, das in der Lage ist, Verkehrsanalysen in Echtzeit durchzuführen, um verschiedene Angriffe und Tests zu erkennen.

  • *Xpath Injection Patterns: Diese Vorlage enthält einen vorkonfigurierten Satz von Literal- und PCRE-Schlüsselwörtern sowie spezielle Strings, die zur Erkennung von XPath-Injection-Angriffen (XML Path Language) verwendet werden.

Leere Signaturen: Benutzer können nicht nur eine Kopie der integrierten Vorlage für Standardsignaturen erstellen, sondern auch eine leere Signaturvorlage verwenden, um ein Signaturobjekt zu erstellen. Das Signaturobjekt, das Benutzer mit der Option Leere Signaturen erstellen, hat keine nativen Signaturregeln, aber genau wie die *Default-Vorlage enthält es alle in SQL/XSS integrierten Entitäten.

Signaturen im externen Format: Die Web Application Firewall unterstützt auch externe Formatsignaturen. Benutzer können den Scanbericht von Drittanbietern mithilfe der XSLT-Dateien importieren, die von der Citrix Web Application Firewall unterstützt werden. Für ausgewählte Scan-Tools steht eine Reihe integrierter XSLT-Dateien zur Verfügung, um externe Formatdateien in ein systemeigenes Format zu übersetzen (eine Liste der integrierten XSLT-Dateien finden Sie weiter unten in diesem Abschnitt).

Während Signaturen den Benutzern helfen, das Risiko offengelegter Schwachstellen zu verringern und die geschäftskritischen Webserver des Benutzers zu schützen, während gleichzeitig die Wirksamkeit angestrebt wird, verursachen Signaturen zusätzliche CPU-Verarbeitung.

Es ist wichtig, die richtigen Signaturen für die Bedürfnisse der Benutzeranwendung auszuwählen. Aktivieren Sie nur die Signaturen, die für die Kundenanwendung/-umgebung relevant sind.

Citrix bietet Signaturen in mehr als 10 verschiedenen Kategorien für Plattformen/Betriebssystem/Technologien.

image-vpx-azure-appsecurity-deployment-04

Die Datenbank mit Signaturregeln ist umfangreich, da sich im Laufe der Jahre Angriffsinformationen gesammelt haben. Daher sind die meisten alten Regeln möglicherweise nicht für alle Netzwerke relevant, da Softwareentwickler sie möglicherweise bereits gepatcht haben oder Kunden eine neuere Version des Betriebssystems ausführen.

Signaturen-Updates

Die Citrix Web Application Firewall unterstützt sowohl die automatische als auch die manuelle Aktualisierung von Signaturen. Wir empfehlen außerdem die automatische Aktualisierung für Signaturen zu aktivieren, um auf dem neuesten Stand zu bleiben.

image-vpx-azure-appsecurity-deployment-05

Diese Signaturdateien werden in der AWS-Umgebung gehostet und es ist wichtig, ausgehenden Zugriff auf NetScaler IPs von Network Firewalls aus zu ermöglichen, um die neuesten Signaturdateien abzurufen. Das Aktualisieren von Signaturen für den ADC während der Verarbeitung von Echtzeitverkehr hat keine Auswirkung.

Analysen zur Anwendungssicherheit

DasApplication Security Dashboardbietet einen ganzheitlichen Überblick über den Sicherheitsstatus von Benutzeranwendungen. Beispielsweise werden wichtige Sicherheitsmetriken wie Sicherheitsverletzungen, Signaturverletzungen und Bedrohungsindizes angezeigt. Das Application Security Dashboard zeigt auch angriffsbezogene Informationen wie Syn-Angriffe, Small-Fenster-Angriffe und DNS-Flutangriffe für die erkannten Citrix ADC ADC-Instanzen an.

Hinweis: Um die Metriken des Application Security Dashboard anzuzeigen, sollte AppFlow for Security Insight auf den Citrix ADC ADC-Instanzen aktiviert sein, die Benutzer überwachen möchten.

So zeigen Sie die Sicherheitsmetriken einer Citrix ADC ADC-Instanz im Anwendungssicherheits-Dashboardan:

  1. Melden Sie sich mit den Administratoranmeldeinformationen bei Citrix ADM an.

  2. Navigieren Sie zuApplications > App Security Dashboardund wählen Sie die Instanz-IP-Adresse aus der Geräteliste aus.

Benutzer können die im Application Security Investigator gemeldeten Unstimmigkeiten weiter aufschlüsseln, indem sie auf die im Diagramm dargestellten Blasen klicken.

Zentralisiertes Lernen zu ADM

Die Citrix Web Application Firewall (WAF) schützt Benutzerwebanwendungen vor böswilligen Angriffen wie SQL-Injection und Cross-Site Scripting (XSS). Um Datenverletzungen zu verhindern und den richtigen Sicherheitsschutz zu bieten, müssen Benutzer ihren Datenverkehr auf Bedrohungen und in Echtzeit verwertbare Daten zu Angriffen überwachen. Manchmal können die gemeldeten Angriffe falsch positiv sein, und diese müssen als Ausnahme bereitgestellt werden.

Das Centralized Learning on Citrix ADM ist ein sich wiederholender Musterfilter, mit dem WAF das Verhalten (die normalen Aktivitäten) von Benutzerwebanwendungen erlernen kann. Basierend auf der Überwachung generiert die Engine eine Liste der vorgeschlagenen Regeln oder Ausnahmen für jede Sicherheitsprüfung, die auf den HTTP-Datenverkehr angewendet wird.

Es ist viel einfacher, Relaxationsregeln mithilfe der Learning-Engine bereitzustellen, als sie bei Bedarf manuell einzusetzen.

Um die Lernfunktion bereitzustellen, müssen Benutzer zunächst ein Web Application Firewall-Profil (eine Reihe von Sicherheitseinstellungen) auf der Citrix ADC Appliance des Benutzers konfigurieren. Weitere Informationen finden Sie unter Erstellen von Webanwendungs-Firewallprofilen: Erstellen von Web App Firewall Firewall-Profilen.

Citrix ADM generiert eine Liste von Ausnahmen (Relaxationen) für jede Sicherheitsprüfung. Als Administrator können Benutzer die Liste der Ausnahmen in Citrix ADM überprüfen und entscheiden, ob sie bereitstellen oder überspringen möchten.

Mit der WAF-Lernfunktion in Citrix ADM können Benutzer:

  • Konfigurieren Sie ein Lernprofil mit den folgenden Sicherheitsprüfungen

    • Pufferüberlauf

    • HTML Cross-Site-Scripting

      Hinweis: Die standortübergreifende Beschränkung des Standorts für Skripts gilt nur für FormField.

    • HTML SQL Injection

      Hinweis:

      Für die HTML SQL Injection-Überprüfung müssen Benutzerset -sqlinjectionTransformSpecialChars ONundset -sqlinjectiontype sqlspclcharorkeywords in der Citrix ADC ADC-Instanz konfigurieren.

  • Überprüfen Sie die Relaxationsregeln in Citrix ADM und entscheiden Sie, die erforderlichen Maßnahmen zu ergreifen (Bereitstellen oder Überspringen)

  • Erhalten Sie die Benachrichtigungen per E-Mail, Slack und ServiceNow

  • Verwenden Sie das Dashboard, um Entspannungsdetails anzuzeigen

So verwenden Sie das WAF-Lernen in Citrix ADM:

  1. Lernprofil konfigurieren: Lernprofilkonfigurieren

  2. Siehe die Entspannungsregeln: Entspannungsregeln und Leerlaufregeln anzeigen

  3. Verwenden des WAF-Lern-Dashboards: WAF-Lern-Dashboard anzeigen

StyleBook

Die Citrix Web Application Firewall ist eine Web Application Firewall (WAF), die Webanwendungen und Websites vor bekannten und unbekannten Angriffen schützt, einschließlich aller Bedrohungen auf Anwendungsebene und Zero-Day-Bedrohungen.

Citrix ADM bietet jetzt ein Standard-StyleBook, mit dem Benutzer bequemer eine Anwendungs-Firewallkonfiguration auf Citrix ADC ADC-Instanzen erstellen können.

Bereitstellen von Anwendungs-Firewall-Konfigurationen

Die folgende Aufgabe unterstützt Sie bei der Bereitstellung einer Lastausgleichskonfiguration zusammen mit der Anwendungsfirewall und der IP-Reputationsrichtlinie auf Citrix ADC-Instanzen in Ihrem Unternehmensnetzwerk.

So erstellen Sie eine LB-Konfiguration mit Anwendungs-Firewall-Einstellungen

Navigieren Sie in Citrix ADM zuApplications>Configurations>StyleBooks. Auf der StyleBooks-Seite werden alle StyleBooks angezeigt, die Kunden in Citrix verwenden können.

  • ADM. Scrollen Sie nach unten und suchen Sie das HTTP/SSL Load Balancing StyleBook mit der Firewall-Richtlinie und der IP-Reputationsrichtlinie. Benutzer können auch nach dem StyleBook suchen, indem sie den Namen als lb-appfw. ClickCreate Configurationeingeben.

Das StyleBook wird als Benutzeroberflächenseite geöffnet, auf der Benutzer die Werte für alle in diesem StyleBook definierten Parameter eingeben können.

  • Geben Sie Werte für die folgenden Parameter ein:

    • Anwendungsname für Lastausgleich. Name der Konfiguration mit Lastausgleich mit einer Anwendungs-Firewall, die im Benutzernetzwerk bereitgestellt werden soll.

    • Laden Sie ausbalancierte virtuelle IP-Adresse der App. Virtuelle IP-Adresse, unter der die Citrix ADC-Instanz Clientanforderungen empfängt.

    • Laden Sie den virtuellen Port für ausbalancierte App. Der TCP-Port, der von den Benutzern beim Zugriff auf die Lastausgleichsanwendung verwendet wird.

    • Load Balanced App-Protokoll. Wählen Sie das Front-End-Protokoll aus der Liste aus.

    • Anwendungsserver-Protokoll. Wählen Sie das Protokoll des Anwendungsservers aus.

image-vpx-azure-appsecurity-deployment-06

  • Optional können Benutzer dieerweiterten Load Balancer-Einstellungenaktivieren und konfigurieren.

image-vpx-azure-appsecurity-deployment-07

  • Optional können Benutzer auch einen Authentifizierungsserver für die Authentifizierung des Datenverkehrs für den virtuellen Lastausgleichsserver einrichten.

image-vpx-azure-appsecurity-deployment-08

  • Klicken Sie im Abschnitt Server-IPs und -Ports auf „+“, um Anwendungsserver und die Ports zu erstellen, über die auf sie zugegriffen werden kann.

image-vpx-azure-appsecurity-deployment-09

  • Benutzer können auch FQDN-Namen für Anwendungsserver erstellen.

image-vpx-azure-appsecurity-deployment-10

  • Benutzer können auch die Details des SSL-Zertifikats angeben.

image-vpx-azure-appsecurity-deployment-11

  • Benutzer können auch Monitore in der Citrix ADC ADC-Zielinstanz erstellen.

image-vpx-azure-appsecurity-deployment-12

  • Um eine Anwendungsfirewall auf dem virtuellen Server zu konfigurieren, aktivieren Sie WAF-Einstellungen.

Stellen Sie sicher, dass die Anwendungs-Firewall-Richtlinienregel wahr ist, wenn Benutzer die Firewalleinstellungen der Anwendung auf den gesamten Datenverkehr auf dieser VIP anwenden möchten. Andernfalls geben Sie die Citrix ADC Richtlinienregel an, um eine Teilmenge von Anforderungen auszuwählen, auf die die Firewalleinstellungen der Anwendung angewendet werden sollen. Wählen Sie als Nächstes den Profiltyp aus, der angewendet werden soll - HTML oder XML.

image-vpx-azure-appsecurity-deployment-13

  • Optional können Benutzer detaillierte Firewall-Profileinstellungen für Anwendungen konfigurieren, indem sie das Kontrollkästchen Profileinstellungen der Anwendungs-Firewall aktivieren.

  • Wenn Benutzer Anwendungsfirewallsignaturen konfigurieren möchten, geben Sie optional den Namen des Signaturobjekts ein, das auf der Citrix ADC ADC-Instanz erstellt wird, in der der virtuelle Server bereitgestellt werden soll.

Hinweis:

Benutzer können mit diesem StyleBook keine Signaturobjekte erstellen.

  • Als Nächstes können Benutzer auch alle anderen Firewall-Profileinstellungen für Anwendungen konfigurieren, z. B. startURL-Einstellungen, DenyURL-Einstellungen und andere.

image-vpx-azure-appsecurity-deployment-14

Weitere Informationen zur Anwendungsfirewall und Konfigurationseinstellungen finden Sie unter Anwendungsfirewall.

  • Wählen Sie im AbschnittZielinstanzendie Citrix ADC ADC-Instanz aus, auf der der virtuelle Lastausgleichsserver mit der Anwendungs-Firewall bereitgestellt werden soll.

Hinweis: Benutzer können auch auf das Aktualisierungssymbol klicken, um kürzlich entdeckte Citrix ADC ADC-Instanzen in Citrix ADM zur verfügbaren Liste von Instanzen in diesem Fenster hinzuzufügen.

  • Benutzer können auch dieIP-Reputationsprüfungaktivieren, um die IP-Adresse zu identifizieren, die unerwünschte Anfragen sendet. Benutzer können die IP-Reputationsliste verwenden, um Anfragen, die von der IP mit der schlechten Reputation kommen, präventiv abzulehnen.

image-vpx-azure-appsecurity-deployment-15

Tipp: Citrix empfiehlt Benutzern, Dry Run auszuwählen, um die Konfigurationsobjekte zu überprüfen, die auf der Zielinstanz erstellt werden müssen, bevor sie die eigentliche Konfiguration auf der Instanz ausführen.

Wenn die Konfiguration erfolgreich erstellt wurde, erstellt das StyleBook den erforderlichen virtuellen Lastenausgleichsserver, Anwendungsserver, Dienste, Dienstgruppen, Anwendungsfirewall Labels, Anwendungsfirewall Richtlinien und bindet sie an den virtuellen Lastausgleichsserver.

Die folgende Abbildung zeigt die in jedem Server erstellten Objekte:

image-vpx-azure-appsecurity-deployment-16

  • Um das ConfigPack anzuzeigen, das auf Citrix ADM erstellt wurde, navigieren Sie zu Anwendungen > Konfigurationen.

image-vpx-azure-appsecurity-deployment-17

Security Insight Analytik

Web- und Webdienstanwendungen, die dem Internet ausgesetzt sind, sind zunehmend anfällig für Angriffe geworden. Um Anwendungen vor Angriffen zu schützen, benötigen Benutzer Einblick in Art und Ausmaß vergangener, gegenwärtiger und drohender Bedrohungen, umsetzbare Echtzeitdaten zu Angriffen und Empfehlungen zu Gegenmaßnahmen. Security Insight bietet eine Einbereichslösung, mit der Benutzer den Sicherheitsstatus von Benutzeranwendungen einschätzen und Korrekturmaßnahmen ergreifen können, um Benutzeranwendungen zu schützen.

Funktionsweise von Security Insight

Security Insight ist eine intuitive dashboard-basierte Sicherheitsanalyselösung, die Benutzern einen vollständigen Einblick in die mit Benutzeranwendungen verbundene Bedrohungsumgebung bietet. Security Insight ist in Citrix ADM enthalten und generiert regelmäßig Berichte, die auf den Benutzerkonfigurationen Application Firewall und ADC-Systemsicherheit basieren. Die Berichte enthalten für jede Anwendung die folgenden Informationen:

  • Bedrohungsindex. Ein einstelliges Bewertungssystem, das die Kritikalität von Angriffen auf die Anwendung angibt, unabhängig davon, ob die Anwendung durch eine ADC-Appliance geschützt ist. Je kritischer die Angriffe auf eine Anwendung sind, desto höher ist der Bedrohungsindex für diese Anwendung. Die Werte reichen von 1 bis 7.

Der Bedrohungsindex basiert auf Angriffsinformationen. Die angriffsbezogenen Informationen wie Art des Verstoßes, Angriffskategorie, Standort und Clientdetails geben Benutzern Einblick in die Angriffe auf die Anwendung. Verstöße werden nur dann an Citrix ADM gesendet, wenn eine Verletzung oder ein Angriff auftritt. Viele Verstöße und Schwachstellen führen zu einem hohen Bedrohungsindexwert.

  • Sicherheitsindex. Ein einstelliges Bewertungssystem, das angibt, wie sicher Benutzer die ADC-Instanzen konfiguriert haben, um Anwendungen vor externen Bedrohungen und Sicherheitslücken zu schützen. Je niedriger die Sicherheitsrisiken für eine Anwendung, desto höher der Sicherheitsindex. Die Werte reichen von 1 bis 7.

Der Sicherheitsindex berücksichtigt sowohl die Konfiguration der Anwendungsfirewall als auch die Sicherheitskonfiguration des ADC-Systems. Für einen hohen Sicherheitsindex müssen beide Konfigurationen stark sein. Wenn beispielsweise strenge Prüfungen der Anwendungsfirewall vorhanden sind, aber Sicherheitsmaßnahmen des ADC-Systems, z. B. ein sicheres Kennwort für den nsroot Benutzer, nicht übernommen wurden, wird den Anwendungen ein niedriger Sicherheitsindexwert zugewiesen.

  • Umsetzbare Informationen. Informationen, die Benutzer benötigen, um den Bedrohungsindex zu senken und den Sicherheitsindex zu erhöhen, was die Anwendungssicherheit erheblich verbessert. Benutzer können beispielsweise Informationen über Verstöße, bestehende und fehlende Sicherheitskonfigurationen für die Anwendungs-Firewall und andere Sicherheitsfunktionen, die Rate, mit der die Anwendungen angegriffen werden, usw. überprüfen.

Konfigurieren von Security Insight

Hinweis: Security Insight wird nur auf ADC-Instances mit Premium-Lizenz oder ADC Advanced mit AppFirewall-Lizenz unterstützt.

Um Sicherheitseinblicke für eine ADC-Instanz zu konfigurieren, konfigurieren Sie zuerst ein Anwendungsfirewallprofil und eine Anwendungsfirewall-Richtlinie und binden Sie dann die Richtlinie für die Anwendungsfirewall global.

Aktivieren Sie dann die AppFlow Funktion, konfigurieren Sie einen AppFlow-Kollektor, eine Aktion und eine Richtlinie und binden Sie die Richtlinie global. Wenn Benutzer den Collector konfigurieren, müssen sie die IP-Adresse des Citrix ADM Service ADM-Dienstagenten angeben, auf dem sie die Berichte überwachen möchten.

Security Insight auf einer ADC-Instanz konfigurieren

  • Führen Sie die folgenden Befehle aus, um ein Anwendungsfirewallprofil und eine Richtlinie zu konfigurieren und die Anwendungsfirewall global oder an den virtuellen Lastausgleichsserver zu binden.

add appfw profile \ <name\ >\ [-defaults (basic oder advanced)]

set appfw profile <name> [-startURLAction <startURLAction> …]

add appfw policy <name> <rule> <profileName>

bind appfw global <policyName> <priority>

oder,

bind lb vserver <lb vserver> -policyName <policy> -priority <priority>

Beispiel:


add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->
  • Führen Sie die folgenden Befehle aus, um das AppFlow Feature zu aktivieren, einen AppFlow-Kollektor, eine Aktion und eine Richtlinie zu konfigurieren und die Richtlinie global oder an den virtuellen Lastausgleichsserver zu binden:

add appflow collector <name> -IPAddress <ipaddress>

set appflow Parameter [-SecurityInsightRecordInterval** \\ <secs\ >]\ [-SecurityInsightTraffic** (ENABLED oder DISABLED)]

add appflow action <name> -collectors <string>

add appflow policy <name> <rule> <action>

bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

oder,

bind lb vserver <vserver> -policyName <policy> -priority <priority>

Beispiel:


add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

Aktivieren von Security Insight von Citrix ADM

  1. Navigieren Sie zuNetzwerke>Instances>Citrix ADCund wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  2. Wählen Sie die Instanz aus und klicken Sie in der ListeAktion auswählenaufAnalytics konfigurieren.

  3. Gehen Sie im Fenster Analytics auf virtuellen Server konfigurierenwie folgt vor:

    • Wählen Sie die virtuellen Server aus, für die Sie Security Insight aktivieren möchten, und klicken Sie aufAnalytics aktivieren.

    Das FensterAnalytics aktivierenwird angezeigt.

    • Wählen SieSecurity Insight

    • Wählen Sie unterErweiterte OptionenLogstreamoderIPFIXals Transportmodus

    • Der Ausdruck ist standardmäßig true

    • Klicken Sie aufOK

image-vpx-azure-appsecurity-deployment-18

Hinweis:

  • Wenn Benutzer virtuelle Server auswählen, die nicht lizenziert sind, lizenziert Citrix ADM zuerst diese virtuellen Server und aktiviert dann Analysen

  • Für Admin-Partitionen wird nur Web Insight unterstützt

Nachdem Benutzer aufOKgeklickt haben, aktiviert Citrix ADM Analysen auf den ausgewählten virtuellen Servern.

image-vpx-azure-appsecurity-deployment-19

Hinweis: Wenn Benutzer eine Gruppe erstellen, können sie der Gruppe Rollen zuweisen, der Gruppe Zugriff auf Anwendungsebene gewähren und der Gruppe Benutzer zuweisen. Citrix ADM Analytics unterstützt jetzt virtuelle IP-Adressbasierte Autorisierung. Kundenbenutzer können jetzt Berichte für alle Insights nur für die Anwendungen (virtuelle Server) sehen, für die sie autorisiert sind. Weitere Informationen zu Gruppen und zum Zuweisen von Benutzern zur Gruppe finden Sie unter Configure Groups on Citrix ADM: Configure Groups on Citrix ADM.

Schwellenwerte

Benutzer können Schwellenwerte für den Sicherheitsindex und den Bedrohungsindex von Anwendungen in Security Insight festlegen und anzeigen.

So legen Sie einen Schwellenwertfest:

  • Navigieren Sie zuSystem>Analytics-Einstellungen>Schwellenwerteund wählen SieHinzufügenaus.

  • Wählen Sie den Traffic-Typ alsSicherheitim Feld Traffic-Typ aus und geben Sie die erforderlichen Informationen in die anderen entsprechenden Felder wie Name, Dauer und Entität ein.

  • Verwenden Sie im AbschnittRegeldie Felder Metrik, Komparator und Wert, um einen Schwellenwert festzulegen. Zum Beispiel „Bedrohungsindex“ „>“ „5“

  • Klicken Sie auf Erstellen.

So zeigen Sie die Schwellenverstöße an:

  • Navigieren Sie zuAnalytics>Security Insight>Devicesund wählen Sie die ADC-Instanz aus.

  • Im AbschnittAnwendungkönnen Benutzer in der Spalte Schwellenverletzung die Anzahl der Schwellenverletzungen anzeigen, die für jeden virtuellen Server aufgetreten sind.

Security Insight — Anwendungsfall

In den folgenden Anwendungsfällen wird beschrieben, wie Benutzer Security Insight nutzen können, um die Bedrohungsgefährdung von Anwendungen zu bewerten und Sicherheitsmaßnahmen zu verbessern.

Erhalten Sie einen Überblick über die Bedrohungsumgebung

In diesem Anwendungsfall verfügen Benutzer über eine Reihe von Anwendungen, die Angriffen ausgesetzt sind, und sie haben Citrix ADM für die Überwachung der Bedrohungsumgebung konfiguriert. Benutzer müssen häufig den Bedrohungsindex, den Sicherheitsindex sowie die Art und Schwere aller Angriffe, denen die Anwendungen ausgesetzt waren, überprüfen, damit sie sich zunächst auf die Anwendungen konzentrieren können, die am meisten Aufmerksamkeit benötigen. Das Security Insight Dashboard bietet eine Zusammenfassung der Bedrohungen, denen die Benutzeranwendungen über einen bestimmten Zeitraum und für ein ausgewähltes ADC-Gerät ausgesetzt sind. Es zeigt die Liste der Anwendungen, deren Bedrohungs- und Sicherheitsindizes sowie die Gesamtzahl der Angriffe für den gewählten Zeitraum an.

Beispielsweise überwachen Benutzer möglicherweise Microsoft Outlook, Microsoft Lync, SharePoint und eine SAP-Anwendung, und Benutzer möchten möglicherweise eine Zusammenfassung der Bedrohungsumgebung für diese Anwendungen überprüfen.

Um eine Zusammenfassung der Bedrohungsumgebung zu erhalten, melden Sie sich bei Citrix ADM an und navigieren Sie dann zuAnalytics > Security Insight.

Für jede Anwendung werden Schlüsselinformationen angezeigt. Der Standardzeitraum ist 1 Stunde.

image-vpx-azure-appsecurity-deployment-20

Um Informationen für einen anderen Zeitraum anzuzeigen, wählen Sie in der Liste oben links einen Zeitraum aus.

image-vpx-azure-appsecurity-deployment-21

Um eine Zusammenfassung für eine andere ADC-Instanz anzuzeigen, klicken Sie unterGeräteauf die IP-Adresse der ADC-Instanz. Um die Anwendungsliste nach einer bestimmten Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

Ermitteln der Bedrohungsgefahr einer Anwendung

Nach der Überprüfung einer Zusammenfassung der Bedrohungsumgebung im Security Insight Insight-Dashboard, um die Anwendungen zu identifizieren, die einen hohen Bedrohungsindex und einen niedrigen Sicherheitsindex aufweisen, möchten die Benutzer ihre Bedrohungsgefährdung ermitteln, bevor sie entscheiden, wie sie geschützt werden sollen. Das heißt, Benutzer möchten die Art und Schwere der Angriffe ermitteln, die ihre Indexwerte beeinträchtigt haben. Benutzer können die Bedrohungslage einer Anwendung anhand der Anwendungszusammenfassung ermitteln.

In diesem Beispiel hat Microsoft Outlook einen Bedrohungsindexwert von 6, und Benutzer möchten wissen, welche Faktoren zu diesem hohen Bedrohungsindex beitragen.

Um die Bedrohungsgefährdung von Microsoft Outlook zu ermitteln, klicken Sie imSecurity Insight Insight-Dashboard aufOutlook. Die Anwendungsübersicht enthält eine Karte, die den geografischen Standort des Servers identifiziert.

image-vpx-azure-appsecurity-deployment-22

Klicken Sie aufBedrohungsindex > Verletzungen der Sicherheitsüberprüfung, und überprüfen Sie die angezeigten Informationen zu Verstößen

image-vpx-azure-appsecurity-deployment-23

Klicken Sie aufSignaturverstößeund überprüfen Sie die angezeigten Informationen zu Verstößen.

image-vpx-azure-appsecurity-deployment-24

Ermitteln vorhandener und fehlender Sicherheitskonfiguration für eine Anwendung

Nach der Überprüfung der Bedrohungslage einer Anwendung möchten Benutzer feststellen, welche Anwendungssicherheitskonfigurationen vorhanden sind und welche Konfigurationen für diese Anwendung fehlen. Benutzer können diese Informationen abrufen, indem sie einen Drilldown in die Zusammenfassung des Sicherheitsindex der Anwendung durchführen.

Die Zusammenfassung des Sicherheitsindex gibt Benutzern Informationen über die Wirksamkeit der folgenden Sicherheitskonfigurationen:

  • Konfiguration der Anwendungs-Firewall. Zeigt an, wie viele Signatur- und Sicherheitseinheiten nicht konfiguriert sind.

  • Citrix ADM Systemsicherheit. Zeigt an, wie viele Systemsicherheitseinstellungen nicht konfiguriert sind.

image-vpx-azure-appsecurity-deployment-25

Im vorherigen Anwendungsfall überprüften Benutzer die Bedrohungsgefährdung von Microsoft Outlook, das einen Bedrohungsindexwert von 6 hat. Jetzt möchten Benutzer wissen, welche Sicherheitskonfigurationen für Outlook vorhanden sind und welche Konfigurationen hinzugefügt werden können, um den Bedrohungsindex zu verbessern.

Klicken Sie imSecurity Insight Insight-DashboardaufOutlookund dann auf die RegisterkarteSicherheitsindex. Überprüfen Sie die Informationen im BereichZusammenfassung des Sicherheitsindex.

image-vpx-azure-appsecurity-deployment-26

Klicken Sie im KnotenKonfiguration der Anwendungs-FirewallaufOutlook_Profile, und überprüfen Sie die Informationen zur Sicherheitsüberprüfung und Signaturverletzung in den Kreisdiagrammen.

image-vpx-azure-appsecurity-deployment-27

Überprüfen Sie den Konfigurationsstatus der einzelnen Schutztypen in der Übersichtstabelle der Anwendungsfirewall. Um die Tabelle in einer Spalte zu sortieren, klicken Sie auf die Spaltenüberschrift.

image-vpx-azure-appsecurity-deployment-28

Klicken Sie auf den KnotenCitrix ADM System Securityund überprüfen Sie die Systemsicherheitseinstellungen und die Empfehlungen von Citrix, um den Anwendungssicherheitsindex zu verbessern.

Identifizieren von Anwendungen, die sofortige Aufmerksamkeit erfordern

Die Anwendungen, die sofortige Aufmerksamkeit erfordern, sind diejenigen mit einem hohen Bedrohungsindex und einem niedrigen Sicherheitsindex.

In diesem Beispiel weisen sowohl Microsoft Outlook als auch Microsoft Lync einen hohen Bedrohungsindexwert von 6 auf, Lync weist jedoch den unteren der beiden Sicherheitsindizes auf. Daher müssen Benutzer möglicherweise ihre Aufmerksamkeit auf Lync richten, bevor sie die Bedrohungsumgebung für Outlook verbessern können.

image-vpx-azure-appsecurity-deployment-29

Bestimmen Sie die Anzahl der Angriffe in einem bestimmten Zeitraum

Benutzer möchten möglicherweise ermitteln, wie viele Angriffe zu einem bestimmten Zeitpunkt auf eine bestimmte Anwendung stattgefunden haben, oder sie möchten die Angriffsrate für einen bestimmten Zeitraum untersuchen.

Klicken Sie auf der Seite Security Insight auf eine beliebige Anwendung und klicken Sie in der Anwendungszusammenfassungauf die Anzahl der Verstöße. Auf der Seite Total Violations werden die Angriffe grafisch für eine Stunde, einen Tag, eine Woche und einen Monat angezeigt.

image-vpx-azure-appsecurity-deployment-30

Die TabelleAnwendungszusammenfassungenthält Einzelheiten zu den Angriffen. Einige von ihnen sind wie folgt:

  • Angriffszeit

  • IP-Adresse des Clients, von dem der Angriff stattgefunden hat

  • Schweregrad

  • Kategorie des Verstoßes

  • URL, von der der Angriff stammt, und weitere Details.

image-vpx-azure-appsecurity-deployment-31

Während Benutzer die Angriffszeit immer in einem stündlichen Bericht anzeigen können, wie in der Abbildung oben zu sehen ist, können sie jetzt den Angriffszeitbereich für aggregierte Berichte auch für tägliche oder wöchentliche Berichte anzeigen. Wenn Benutzer in der Liste der Zeiträume „1 Tag“ auswählen, zeigt der Security Insight Insight-Bericht alle Angriffe an, die aggregiert sind, und die Angriffszeit wird in einem Zeitraum von einer Stunde angezeigt. Wenn Benutzer „1 Woche“ oder „1 Monat“ wählen, werden alle Angriffe zusammengefasst und die Angriffszeit wird in einem Tagesbereich angezeigt.

image-vpx-azure-appsecurity-deployment-32

Detaillierte Informationen zu Sicherheitsverletzungen erhalten

Benutzer möchten möglicherweise eine Liste der Angriffe auf eine Anwendung anzeigen und Einblicke in die Art und Schwere der Angriffe, die von der ADC-Instanz ausgeführten Aktionen, die angeforderten Ressourcen und die Quelle der Angriffe erhalten.

Beispielsweise möchten Benutzer möglicherweise ermitteln, wie viele Angriffe auf Microsoft Lync blockiert wurden, welche Ressourcen angefordert wurden und welche IP-Adressen der Quellen vorliegen.

Klicken Sie imSecurity Insight Insight-DashboardaufLync > Total Violations. Klicken Sie in der Tabelle in der SpaltenüberschriftAktionausgeführt auf das Filtersymbol, und wählen Sie dannBlockiertaus.

image-vpx-azure-appsecurity-deployment-33

Informationen zu den Ressourcen, die angefordert wurden, finden Sie in der SpalteURL. Informationen zu den Quellen der Angriffe finden Sie in der SpalteClient-IP.

Details zum Protokollausdruck anzeigen

Citrix ADC ADC-Instanzen verwenden mit dem Application Firewall-Profil konfigurierte Protokollausdrücke, um Maßnahmen gegen die Angriffe auf eine Anwendung im Benutzerunternehmen zu ergreifen. In Security Insight können Benutzer die Werte anzeigen, die für die von der ADC-Instanz verwendeten Protokollausdrücke zurückgegeben werden. Diese Werte umfassen Anfrage-Header, Anforderungskörper und so weiter. Zusätzlich zu den Werten des Protokollausdrucks können Benutzer auch den Namen des Protokollausdrucks und den Kommentar für den Protokollausdruck anzeigen, der im Profil der Anwendungs-Firewall definiert ist, mit dem die ADC-Instanz Maßnahmen gegen den Angriff ergriffen hat.

Voraussetzungen:

Stellen Sie sicher, dass Benutzer

  • Konfigurieren Sie Protokollausdrücke im Profil der Anwendungsfirewall. Weitere Informationen finden Sie unter Application Firewall.

  • Aktivieren Sie auf Protokollausdruck basierende Security Insights-Einstellungen in Citrix ADM. Führen Sie folgende Schritte aus:

    • Navigieren Sie zuAnalytics > Einstellungenund klicken Sie aufFunktionen für Analytics aktivieren.

    • Wählen Sie auf der Seite „Features für Analyticsaktivieren“ im Abschnitt „Auf Logausdruck basierende Security InsightSetting“ die Option „Enable Security Insightaus

image-vpx-azure-appsecurity-deployment-34

Beispielsweise möchten Benutzer möglicherweise die Werte des Protokollausdrucks anzeigen, der von der ADC-Instanz für die Aktion zurückgegeben wird, die sie bei einem Angriff auf Microsoft Lync im Benutzerunternehmen durchgeführt hat.

Navigieren Sie im Security Insight Insight-DashboardzuLync > Total Violations. Klicken Sie in der Tabelle Anwendungszusammenfassung auf die URL, um die vollständigen Details des Verstoßes auf der SeiteInformationen zur Verletzunganzuzeigen, einschließlich des Namens des Protokollausdrucks, des Kommentars und der von der ADC-Instanz für die Aktion zurückgegebenen Werte.

image-vpx-azure-appsecurity-deployment-35

Bestimmen Sie den Sicherheitsindex vor der Bereitstellung der Konfiguration

Sicherheitsverletzungen treten auf, nachdem Benutzer die Sicherheitskonfiguration auf einer ADC-Instanz bereitgestellt haben. Möglicherweise möchten Benutzer jedoch die Wirksamkeit der Sicherheitskonfiguration bewerten, bevor sie sie bereitstellen.

Benutzer möchten beispielsweise den Sicherheitsindex der Konfiguration für die SAP-Anwendung auf der ADC-Instanz mit der IP-Adresse 10.102.60.27 bewerten.

Klicken Sie imSecurity Insight Insight-DashboardunterGeräteauf die IP-Adresse der ADC-Instanz, die Benutzer konfiguriert haben. Benutzer können sehen, dass sowohl der Bedrohungsindex als auch die Gesamtzahl der Angriffe 0 sind. Der Bedrohungsindex spiegelt direkt die Anzahl und Art der Angriffe auf die Anwendung wider. Null-Angriffe weisen darauf hin, dass die Anwendung nicht bedroht ist.

image-vpx-azure-appsecurity-deployment-36

Klicken Sie aufSAP > Safety Index > SAP_Profileund bewerten Sie die angezeigten Sicherheitsindexinformationen.

image-vpx-azure-appsecurity-deployment-37

In der Zusammenfassung der Anwendungs-Firewall können Benutzer den Konfigurationsstatus verschiedener Schutzeinstellungen anzeigen. Wenn eine Einstellung auf log eingestellt ist oder wenn eine Einstellung nicht konfiguriert ist, wird der Anwendung ein niedrigerer Sicherheitsindex zugewiesen.

image-vpx-azure-appsecurity-deployment-38

Sicherheitsverletzungen

Details zu Sicherheitsverstößen für Anwendungen anzeigen

Webanwendungen, die dem Internet ausgesetzt sind, sind drastisch anfälliger für Angriffe geworden. Mit Citrix ADM können Benutzer verwertbare Verstoßdetails visualisieren, um Anwendungen vor Angriffen zu schützen. Navigieren Sie zuSicherheit>Sicherheitsverstößefür eine Einbereichslösung, um:

  • Greifen Sie auf die Sicherheitsverletzungen der Anwendung basierend auf ihren Kategorien wieNetzwerk,BotundWAFzu

  • Ergreifen Sie Korrekturmaßnahmen, um die Anwendungen zu sichern

Um die Sicherheitsverletzungen in Citrix ADM anzuzeigen, stellen Sie Folgendes sicher:

  • Benutzer haben eine Premium-Lizenz für die Citrix ADC ADC-Instanz (für WAF- und BOT-Verstöße).

  • Benutzer haben eine Lizenz auf den virtuellen Load-Balancing- oder Content-Switching-Servern (für WAF und BOT) angewendet. Weitere Informationen finden Sie unter: Lizenzierung auf virtuellen Servern verwalten.

  • Benutzer aktivieren mehr Einstellungen. Weitere Informationen finden Sie im Abschnitt Setting up in der Citrix-Produktdokumentation: Setting up.

Kategorien von Verstößen

Mit Citrix ADM können Benutzer die folgenden Verstöße anzeigen:

NETZWERK Bot WAF
HTTP Slow Loris Übermäßige Clientverbindungen Ungewöhnlich hohe Upload-Transaktionen
DNS Slow Loris Übernahme von Konten** Ungewöhnlich hohe Download-Transaktionen
Langsame HTTP-Post Ungewöhnlich hohe Upload-Volumen Übermäßige eindeutige IPs
NXDomain Flood Attack Ungewöhnlich hohe Anforderungsrate Übermäßige eindeutige IPs pro Geo
HTTP-Desync-Angriff Ungewöhnlich hohes Downloadvolumen  
Bleichenbacher Angriff    
Segment smack Attack    
Syn Flood Angriff    

** - Benutzer müssen die Einstellung zur Kontoübernahme in Citrix ADM konfigurieren. Weitere Informationen finden Sie unter Account Takeover: Account Takeover.

Abgesehen von diesen Verstößen können Benutzer auch die folgenden Security Insight- und Bot Insight-Verstöße in den Kategorien WAF bzw. Bot anzeigen:

WAF Bot
Pufferüberlauf Crawler
Content-Typ Feed Fetcher
Konsistenz von Cookies Link Checker
CSRF-Formular-Tagging Marketing
URL verweigern Scraper
Konsistenz von Formularfeldern Screenshot Creator
Feld-Formate Suchmaschine
Maximale Uploads Service Agent
Referrer Header Sitemonitor
Sicherer Handel Geschwindigkeitstester
Sicheres Objekt Tool
HTML SQL Inject Nicht kategorisiert
Start-URL Viren-Scanner
XSS Vulnerability Scanner
XML DoS DeviceFP-Wartezeit überschritten
XML-Format Ungültiger DeviceFP
XML WSI Ungültige Captcha-Antwort
XML SSL Captcha-Versuche wurden überschritten
XML-Anhang Gültige Captcha-Antwort
XML SOAP Captcha-Kunde stummgeschaltet
XML-Validierung Captcha-Wartezeit überschritten
Andere Probleme Größenbeschränkung der Anfrage überschritten
IP-Reputation Ratenlimit überschritten
HTTP DOS Blacklist (IP, Subnetz, Richtlinienausdruck)
TCP Small Window Whitelist (IP, Subnetz, Richtlinienausdruck)
Signatur-Verletzung Null-Pixel-Anfrage
Datei-Upload-Typ Quell-IP
JSON XSS Host
JSON SQL Geografischer Standort
JSON DOS URL
Befehlseinschleusung  
Infer Content Type XML  
Cookie Hijack  

Einrichten

Benutzer müssenAdvanced Security Analyticsaktivieren und dieWeb-TransaktionseinstellungenaufAllesetzen, um die folgenden Verstöße in Citrix ADM anzuzeigen:

  • Ungewöhnlich hohe Upload-Transaktionen (WAF)

  • Ungewöhnlich hohe Download-Transaktionen (WAF)

  • Übermäßige eindeutige IPs (WAF)

  • Kontoübernahme (BOT)

Stellen Sie bei anderen Verstößen sicher, dassMetrics Collectoraktiviert ist. Standardmäßig istMetrics Collectorauf der Citrix ADC ADC-Instanz aktiviert. Weitere Informationen finden Sie unter:Intelligent App Analytics konfigurieren.

Erweiterte Sicherheitsanalysen aktivieren

  • Navigieren Sie zuNetzwerke>Instances>Citrix ADC, und wählen Sie den Instanztyp aus. Zum Beispiel MPX.

  • Wählen Sie die Citrix ADC ADC-Instanz aus und wählen Sie in der ListeAktion auswählendie OptionAnalytics konfigurierenaus.

  • Wählen Sie den virtuellen Server aus und klicken Sie aufAnalytics aktivieren.

  • GehenSie im Fenster Analytics aktivierenwie folgt vor

    • Wählen SieWeb Insight. Nachdem Benutzer Web Insight ausgewählt haben, wird die schreibgeschützteAdvanced Security Analytics-Optionautomatisch aktiviert.

    Hinweis: Die OptionAdvanced Security Analyticswird nur für Premium lizenzierte ADC-Instances angezeigt.

    • Wählen SieLogstreamals Transportmodus

    • Der Ausdruck ist standardmäßig true

    • Klicken Sie aufOK

image-vpx-azure-appsecurity-deployment-39

Web-Transaktionseinstellungen aktivieren

  • Navigieren Sie zuAnalytics>Einstellungen.

Die SeiteEinstellungenwird angezeigt.

  • Klicken Sie aufFunktionen für Analytics aktivieren.

  • Wählen Sie unterWebtransaktionseinstellungendie OptionAlleaus.

image-vpx-azure-appsecurity-deployment-40

  • Klicken Sie aufOk.

Dashboard für Sicherheitsverletzungen

Im Dashboard für Sicherheitsverstöße können Benutzer Folgendes anzeigen:

  • Insgesamt sind Verstöße über alle ADC-Instanzen und -Anwendungen aufgetreten. Die Gesamtverstöße werden basierend auf der gewählten Zeitdauer angezeigt.

image-vpx-azure-appsecurity-deployment-41

  • Gesamtverstöße unter jeder Kategorie.

image-vpx-azure-appsecurity-deployment-42

  • Insgesamt betroffene ADCs, insgesamt betroffene Anwendungen und Top-Verstöße basierend auf den gesamten Vorkommen und den betroffenen Anwendungen.

image-vpx-azure-appsecurity-deployment-43

Details zur Verletzung

Für jede Verletzung überwacht Citrix ADM das Verhalten für eine bestimmte Zeitdauer und erkennt Verletzungen für ungewöhnliche Verhaltensweisen. Klicken Sie auf die einzelnen Registerkarten, um die Verstöße anzuzeigen. Benutzer können Details anzeigen wie:

  • Die Gesamtereignisse, zuletzt aufgetretene und die Gesamtzahl der betroffenen Anwendungen

  • Unter Veranstaltungsdetails können Benutzer Folgendes anzeigen:

    • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

    • Das Diagramm, das Verstöße anzeigt.

    Ziehen Sie die Maus, und wählen Sie sie in der Grafik aus, in der die Verstöße aufgelistet sind, um die Verletzungssuche einzugrenzen.

    image-vpx-azure-appsecurity-deployment-44

    Klicken Sie aufZoom zurücksetzen, um das Zoomergebnis

    • Empfohlene Aktionen, die darauf hinweisen, dass Benutzer das Problem beheben

    • Weitere Verstöße wie die Zeit des Auftretens von Gewalt und Erkennungsnachricht

Bot Insight

Verwenden von Bot Insight in Citrix ADM

Nachdem Benutzer die Bot-Verwaltung in Citrix ADC konfiguriert haben, müssen sieBot Insightauf virtuellen Servern aktivieren, um Einblicke in Citrix ADM anzuzeigen.

So aktivieren SieBot Insight:

  • Navigieren Sie zuNetzwerke>Instances>Citrix ADCund wählen Sie den Instanztyp aus. Zum Beispiel VPX.

  • Wählen Sie die Instanz aus und klicken Sie in der ListeAktion auswählenaufAnalytics konfigurieren.

  • Wählen Sie den virtuellen Server aus und klicken Sie aufAnalytics aktivieren.

  • GehenSie im Fenster Analytics aktivierenwie folgt vor

    • WählenBot Insight

    • Wählen Sie unterErweiterte Optiondie OptionLogstreamaus.

    image-vpx-azure-appsecurity-deployment-45

    • Klicken Sie auf OK.

Nachdem SieBot Insightaktiviert haben, navigieren Sie zuAnalytics>Sicherheit>Bot Insight

image-vpx-azure-appsecurity-deployment-46

  1. Zeitliste zum Anzeigen von Bot-Details

  2. Ziehen Sie den Regler, um einen bestimmten Zeitraum auszuwählen, und klicken Sie aufLos, um die angepassten Ergebnisse anzuzeigen.

  3. Gesamtzahl der von Bots betroffenen Instanzen

  4. Virtueller Server für die ausgewählte Instanz mit Gesamtzahl an Bot-Angriffen

    • Gesamtzahl der Bots— Gibt die Gesamtzahl der Bot-Angriffe (einschließlich aller Bot-Kategorien) an, die für den virtuellen Server gefunden wurden.

    • Gesamtzahl menschlicher Browser— Gibt die Gesamtzahl der menschlichen Benutzer an, die auf den virtuellen Server zugreifen.

    • Bot Human Ratio— Gibt das Verhältnis zwischen menschlichen Benutzern und Bots an, die auf den virtuellen Server zugreifen.

    • Signature-Bots,Bot mit Fingerabdruck,ratenbasierte Bots, IP-Reputation-Bots, Allow-List-Botsund Blocklisten-Bots— Zeigt die Gesamtzahl der Bot-Angriffe basierend auf der konfigurierten Bot-Kategorie Weitere Informationen zur Bot-Kategorie finden Sie unter:Konfigurieren von Bot-Erkennungstechniken in Citrix ADC.

  5. Klicken Sie auf >, um Bot-Details in einem Diagrammformat anzuzeigen.

image-vpx-azure-appsecurity-deployment-47

Ereignisverlauf anzeigen

Benutzer können die Bot-Signatur-Updates imEreignisverlaufanzeigen, wenn:

  • Neue Bot-Signaturen werden in Citrix ADC-Instanzen hinzugefügt.

  • Vorhandene Bot-Signaturen werden in Citrix ADC-Instanzen aktualisiert.

Benutzer können die Zeitdauer auf der Bot-Insight-Seite auswählen, um den Ereignisverlauf anzuzeigen.

image-vpx-azure-appsecurity-deployment-48

Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS-Cloud abgerufen, auf Citrix ADC aktualisiert werden und wie die Signaturaktualisierungszusammenfassung in Citrix ADM angezeigt wird.

image-vpx-azure-appsecurity-deployment-49

  1. Der Planer für automatische Aktualisierung der Bot-Signatur ruft die Zuordnungsdatei vom AWS-URI ab.

  2. Prüft die neuesten Signaturen in der Zuordnungsdatei mit den vorhandenen Signaturen in der ADC-Appliance.

  3. Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.

  4. Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.

  5. Generiert eine SNMP-Warnung und sendet die Signaturaktualisierungszusammenfassung an Citrix ADM.

Bots ansehen

Klicken Sie auf den virtuellen Server, um dieAnwendungszusammenfassunganzuzeigen

image-vpx-azure-appsecurity-deployment-50

  1. Stellt die Anwendungszusammenfassungsdetails bereit, wie z. B.:

    • Durchschnittlicher RPS— Gibt die durchschnittlichen Bot-Transaktionsanforderungen pro Sekunde (RPS) an, die auf virtuellen Servern empfangen wurden.

    • Bots nach Schweregrad— Gibt die höchsten Bot-Transaktionen basierend auf dem Schweregrad an. Der Schweregrad wird basierend aufKritisch,Hoch,MittelundNiedrigkategorisiert.

    Wenn die virtuellen Server beispielsweise 11770 Bots mit hohem Schweregrad und 1550 Bots mit kritischem Schweregrad haben, zeigt Citrix ADM unterBots nach SchweregradKritisch 1,55 Kan.

    • Größte Bot-Kategorie— Zeigt die höchsten Bot-Angriffe basierend auf der Bot-Kategorie an.

    Wenn die virtuellen Server beispielsweise 8000 blockgelistete Bots, 5000 zugelassene Bots und 10000 Rate Limit Exceeded Bots haben, zeigt Citrix ADM unterGrößte Bot-KategorieRate Limit Exceeded 10 Kan.

    • Größte Geoquelle— Zeigt die höchsten Bot-Angriffe basierend auf einer Region an.

    Wenn die virtuellen Server beispielsweise 5000 Bot-Angriffe in Santa Clara, 7000 Bot-Angriffe in London und 9000 Bot-Angriffe in Bangalore haben, zeigt Citrix ADMBangalore 9 K unter LargestGeo Sourcean.

    • Durchschnittlicher% Bot-Traffic— Gibt das menschliche Bot-Verhältnis an.
  2. Zeigt die Schwere der Bot-Angriffe basierend auf den Standorten in der Kartenansicht an

  3. Zeigt die Arten von Bot-Angriffen an (Gut, Schlecht und Alle)

  4. Zeigt die Gesamtzahl der Bot-Angriffe zusammen mit den entsprechenden konfigurierten Aktionen an. Wenn Sie beispielsweise Folgendes konfiguriert haben:

    • IP-Adressbereich (192.140.14.9 bis 192.140.14.254) als Sperrlistenbots und ausgewählte Drop als Aktion für diese IP-Adressbereiche

    • IP-Bereich (192.140.15.4 bis 192.140.15.254) als Blocklisten-Bots und ausgewählt, um eine Protokollnachricht als Aktion für diese IP-Bereiche zu erstellen

      In diesem Szenario zeigt Citrix ADM Folgendes an:

      • Sperrlistenbots insgesamt

      • Gesamtzahl Bots unterDropped

      • Gesamtzahl der Bots unter Protokoll

CAPTCHA Bots anzeigen

Auf Webseiten sollen CAPTCHAs erkennen, ob der eingehende Traffic von einem Menschen oder einem automatisierten Bot stammt. Um die CAPTCHA-Aktivitäten in Citrix ADM anzuzeigen, müssen Benutzer CAPTCHA als Bot-Aktion für IP-Reputation und Techniken zur Erkennung von Gerätefingerabdrücken in einer Citrix ADC ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter:Bot-Management konfigurieren.

Die folgenden CAPTCHA-Aktivitäten werden von Citrix ADM in Bot Insight angezeigt:

  • Captcha-Versuche überschritten— Gibt die maximale Anzahl von CAPTCHA-Versuchen nach Anmeldefehlern an

  • Captcha-Client stummgeschaltet— Gibt die Anzahl der Client-Anfragen an, die verworfen oder umgeleitet wurden, da diese Anfragen zuvor mit der CAPTCHA-Herausforderung als fehlerhafte Bots erkannt wurden

  • Human— Bezeichnet die Captcha-Einträge, die von den menschlichen Benutzern durchgeführt wurden

  • Ungültige Captcha-Antwort— Gibt die Anzahl der falschen CAPTCHA-Antworten an, die vom Bot oder Menschen empfangen wurden, wenn Citrix ADC eine CAPTCHA-Herausforderung sendet

image-vpx-azure-appsecurity-deployment-51

Bot-Fallen ansehen

Um Bot-Traps in Citrix ADM anzuzeigen, müssen Sie den Bot-Trap in der Citrix ADC ADC-Instanz konfigurieren. Weitere Informationen finden Sie unter:Bot-Management konfigurieren.

image-vpx-azure-appsecurity-deployment-52

Um die Bot-Falle zu identifizieren, ist auf der Webseite ein Skript aktiviert und dieses Skript ist vor Menschen verborgen, aber nicht vor Bots. Citrix ADM identifiziert und meldet die Bot-Traps, wenn Bots auf dieses Skript zugreifen.

Klicken Sie auf den virtuellen Server und wählen SieNull Pixel Request

image-vpx-azure-appsecurity-deployment-53

Bot-Details anzeigen

Weitere Informationen erhalten Sie, indem Sie unterBot-Kategorie auf den Bot-Angriffstypklicken.

Die Details wie die Angriffszeit und die Gesamtzahl der Bot-Angriffe für die ausgewählte Captcha-Kategorie werden angezeigt.

image-vpx-azure-appsecurity-deployment-54

Benutzer können das Balkendiagramm auch ziehen, um den spezifischen Zeitbereich auszuwählen, der bei Bot-Angriffen angezeigt werden soll.

image-vpx-azure-appsecurity-deployment-55

Um zusätzliche Informationen über den Bot-Angriff zu erhalten, klicken Sie zum Erweitern.

image-vpx-azure-appsecurity-deployment-56

  • Instanz-IP— Gibt die IP-Adresse der Citrix ADC ADC-Instanz an

  • Gesamtzahl der Bots— Gibt die Gesamtzahl der Bot-Angriffe für diese bestimmte Zeit an.

  • URL der HTTP-Anforderung— Gibt die URL an, die für die Captcha-Berichterstattung konfiguriert ist

  • Ländercode— Gibt das Land an, in dem der Bot-Angriff stattgefunden hat

  • Region— Gibt die Region an, in der der Bot-Angriff stattgefunden hat

  • Profilname— Gibt den Profilnamen an, den Benutzer bei der Konfiguration angegeben haben

Erweiterte Suche

Benutzer können auch das Suchtextfeld und die Zeitdauerliste verwenden, in der sie Bot-Details gemäß den Benutzeranforderungen anzeigen können. Wenn Benutzer auf das Suchfeld klicken, erhalten sie im Suchfeld die folgende Liste mit Suchvorschlägen.

  • Instanz-IP — IP-Adresseder Citrix ADC ADC-Instanz

  • Client-IP— Client-IP-Adresse

  • Bot-Type— Bot-Typ wie Gut oder Schlecht

  • Schweregrad— Schweregrad des Bot-Angriffs

  • ActionTaken— Nach dem Bot-Angriff ausgeführte Aktionen wie Drop, Keine Aktion, Redirect

  • Bot-Kategorie— Kategorie des Bot-Angriffs wie Sperrliste, Zulassungsliste, Fingerabdruck usw. Basierend auf einer Kategorie können Benutzer ihr eine Bot-Aktion zuordnen

  • Bot-Erkennung— Bot-Erkennungstypen (Sperrliste, Zulassungsliste usw.), die Benutzer auf der Citrix ADC ADC-Instanz konfiguriert haben

  • Standort— Region/Land, in dem der Bot-Angriff stattgefunden hat

  • request-url— URL mit den möglichen Bot-Angriffen

Benutzer können auch Operatoren in den Benutzersuchabfragen verwenden, um den Fokus der Benutzersuche einzugrenzen. Wenn Benutzer zum Beispiel alle schlechten Bots sehen möchten:

  • Klicken Sie auf das Suchfeld und wählen SieBot-Type

  • Klicken Sie erneut auf das Suchfeld und wählen Sie den Operator aus**=**

  • Klicken Sie erneut auf das Suchfeld und wählen SieSchlecht

  • Klicken Sie aufSuchen, um die Ergebnisse anzuzeigen

image-vpx-azure-appsecurity-deployment-57

Details zu Bot-Verstößen

Übermäßige Clientverbindungen

Wenn ein Client versucht, auf die Webanwendung zuzugreifen, wird die Clientanforderung in der Citrix ADC Appliance verarbeitet, anstatt eine direkte Verbindung zum Server herzustellen. Web-Traffic umfasst Bots und Bots können verschiedene Aktionen mit einer schnelleren Geschwindigkeit ausführen als ein Mensch.

Mithilfe des Indikators „Übermäßige Kundenverbindungen“ können Benutzer Szenarien analysieren, in denen eine Anwendung ungewöhnlich hohe Kundenverbindungen über Bots erhält.

image-vpx-azure-appsecurity-deployment-58

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die gesamte IP-Adressen angibt, die die Anwendung transagieren

  • Der akzeptierte IP-Adressbereich, den die Anwendung empfangen kann

Übernahme von Konten

Hinweis: Stellen Sie sicher, dass Benutzer die erweiterten Sicherheitsanalysen und Web-Transaktionsoptionen aktivieren. Weitere Informationen finden Sie unter Einrichten: Einrichten.

Einige bösartige Bots können Benutzeranmeldeinformationen stehlen und verschiedene Arten von Cyberangriffen durchführen. Diese bösartigen Bots werden als schlechte Bots bekannt. Es ist wichtig, schlechte Bots zu identifizieren und die Benutzer-Appliance vor jeder Form von fortschrittlichen Sicherheitsangriffen zu schützen.

Voraussetzung

Benutzer müssen die Einstellungen für dieKontoübernahmein Citrix ADM konfigurieren.

  • Navigieren Sie zuAnalytics>Einstellungen>Sicherheitsverletzungen

  • Klicken Sie aufHinzufügen

image-vpx-azure-appsecurity-deployment-59

  • Geben Sie auf der Seite Add Application die folgenden Parameter an:

    • Anwendung— Wählen Sie den virtuellen Server aus der Liste aus.

    • Methode— Wählen Sie den HTTP-Methodentyp aus der Liste aus. Die verfügbaren Optionen sindGET,PUSH,POSTundUPDATE.

    • Anmelde-URL und Erfolgsantwortcode- Geben Sie die URL der Webanwendung an und geben Sie den HTTP-Statuscode an (z. B. 200), für den Citrix ADM den Verstoß gegen die Kontoübernahme von fehlerhaften Bots melden soll.

    • Klicken Sie aufHinzufügen.

image-vpx-azure-appsecurity-deployment-60

Nachdem Benutzer die Einstellungen mithilfe desKontenübernahmeindikatorskonfiguriert haben, können Benutzer analysieren, ob schlechte Bots versucht haben, das Benutzerkonto zu übernehmen, und mehrere Anfragen zusammen mit Anmeldeinformationen geben.

image-vpx-azure-appsecurity-deployment-61

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die insgesamt ungewöhnliche fehlgeschlagene Anmeldeaktivität, erfolgreiche Anmeldungen und fehlgeschlagene Anmeldungen angibt

  • Die fehlerhafte Bot-IP-Adresse. Klicken Sie hier, um Details wie Uhrzeit, IP-Adresse, Gesamtanzahl erfolgreicher Anmeldungen, fehlgeschlagene Anmeldungen und Gesamtanzahl der Anfragen von dieser IP-Adresse anzuzeigen.

image-vpx-azure-appsecurity-deployment-62

Ungewöhnlich hohe Upload-Volumen

Webverkehr umfasst auch Daten, die zum Hochladen verarbeitet werden. Wenn die durchschnittlichen Upload-Daten des Benutzers pro Tag beispielsweise 500 MB betragen und Benutzer 2 GB Daten hochladen, kann dies als ungewöhnlich hohes Upload-Datenvolumen angesehen werden. Bots sind auch in der Lage, das Hochladen von Daten schneller als Menschen zu verarbeiten.

Mithilfe des Indikators fürungewöhnlich hohes Upload-Volumenkönnen Benutzer abnormale Szenarien für das Hochladen von Daten in die Anwendung über Bots analysieren.

image-vpx-azure-appsecurity-deployment-63

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Upload-Datenvolumen angibt

  • Der akzeptierte Bereich von Upload-Daten in die Anwendung

Ungewöhnlich hohes Downloadvolumen

Ähnlich wie bei einem hohen Upload-Volumen können Bots auch schneller als Menschen Downloads durchführen.

Mithilfe des Indikators fürungewöhnlich hohes Download-Volumenkönnen Benutzer abnormale Szenarien von Download-Daten aus der Anwendung mithilfe von Bots analysieren.

image-vpx-azure-appsecurity-deployment-64

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die das gesamte verarbeitete Download-Datenvolumen angibt

  • Der akzeptierte Bereich von Download-Daten aus der Anwendung

Ungewöhnlich hohe Anforderungsrate

Benutzer können den eingehenden und ausgehenden Verkehr von oder zu einer Anwendung steuern. Ein Bot-Angriff kann eine ungewöhnlich hohe Anforderungsrate ausführen. Wenn Benutzer beispielsweise eine Anwendung so konfigurieren, dass sie 100 Anforderungen/Minute zulässt, und wenn Benutzer 350 Anfragen beobachten, kann es sich um einen Bot-Angriff handeln.

Mithilfe des IndikatorsUngewöhnlich hohe Anforderungsratekönnen Benutzer die ungewöhnliche Anforderungsrate analysieren, die an die Anwendung eingegangen ist.

image-vpx-azure-appsecurity-deployment-65

UnterVeranstaltungsdetailskönnen Benutzer Folgendes anzeigen:

  • Die betroffene Anwendung. Benutzer können die Anwendung auch aus der Liste auswählen, wenn zwei oder mehr Anwendungen von Verstößen betroffen sind.

  • Das Diagramm, das alle Verstöße anzeigt

  • Zeitpunkt des Auftretens von Verletzungen

  • Die Erkennungsmeldung für die Verletzung, die die Gesamtanzahl der empfangenen Anfragen angibt und% der übermäßigen Anforderungen, die als die erwarteten Anforderungen empfangen wurden.

  • Der akzeptierte Bereich der erwarteten Anforderungsrate reicht von der Anwendung ab

Anwendungsfälle

Bot

Manchmal besteht der eingehende Web-Traffic aus Bots und die meisten Organisationen leiden unter Bot-Attacken. Web- und mobile Anwendungen sind große Umsatztreiber für Unternehmen und die meisten Unternehmen sind unter der Bedrohung von fortgeschrittenen Cyberangriffen wie Bots. Ein Bot ist ein Softwareprogramm, das automatisch bestimmte Aktionen wiederholt mit einer viel schnelleren Geschwindigkeit ausführt als ein Mensch. Bots können mit Webseiten interagieren, Formulare einreichen, Aktionen ausführen, Texte scannen oder Inhalte herunterladen. Sie können auf Social-Media-Plattformen auf Videos zugreifen, Kommentare posten und twittern. Einige Bots, bekannt als Chatbots, können grundlegende Gespräche mit menschlichen Benutzern führen. Ein Bot, der einen hilfreichen Service wie Kundenservice, automatisierter Chat und Suchmaschinen-Crawler ausführt, sind gute Bots. Gleichzeitig sind ein Bot, der Inhalte von einer Website kratzen oder herunterladen kann, Benutzeranmeldeinformationen, Spam-Inhalte stehlen und andere Arten von Cyberangriffen ausführen kann, schlechte Bots. Bei einer guten Anzahl von schlechten Bots, die böswillige Aufgaben ausführen, ist es wichtig, den Bot-Traffic zu verwalten und die Webanwendungen der Benutzer vor Bot-Angriffen zu schützen. Mithilfe der Citrix Bot-Verwaltung können Benutzer den eingehenden Bot-Verkehr erkennen und Bot-Angriffe abschwächen, um die Webanwendungen der Benutzer zu schützen. Das Citrix Bot-Management hilft dabei, schädliche Bots zu identifizieren und die Benutzer-Appliance vor erweiterten Sicherheitsangriffen zu schützen Es erkennt gute und schlechte Bots und identifiziert, ob eingehender Traffic ein Bot-Angriff ist. Durch die Verwendung des Bot-Managements können Benutzer Angriffe abwehren und die Webanwendungen der Benutzer schützen.

Die Citrix ADC Bot-Verwaltung bietet folgende Vorteile:

  • Schützt vor Bots, Skripten und Toolkits. Bietet Bedrohungsabwehr in Echtzeit mithilfe statischer signaturbasierter Abwehr und Geräte-Fingerprinting.

  • Neutralisiert automatisierte grundlegende und erweiterte Angriffe. Verhindert Angriffe, wie App-Layer-DDoS, Kennwort-Spraying, Kennwort-Stuffing, Preis-Scraper und Inhalts-Scraper.

  • Schützt Benutzer-APIs und Investitionen. Schützt Benutzer-APIs vor ungerechtfertigtem Missbrauch und Infrastrukturinvestitionen vor automatisiertem Datenverkehr.

Einige Anwendungsfälle, in denen Benutzer von der Verwendung des Citrix Bot-Managementsystems profitieren können, sind:

  • Brute-Force-Anmeldung. Ein Internetportal der Regierung wird ständig von Bots angegriffen, die versuchen, sich mit Brute-Force-Benutzern anzumelden. Das Unternehmen entdeckt den Angriff, indem es Webprotokolle durchsucht und feststellt, dass bestimmte Benutzer wiederholt angegriffen werden, wobei schnelle Anmeldeversuche und Passwörter mithilfe eines Wörterbuchangriffsansatzes erhöht werden. Nach dem Gesetz müssen sie sich und ihre Nutzer schützen. Durch die Bereitstellung der Citrix Bot-Verwaltung können sie die Brute-Force-Anmeldung mit Geräte-Fingerprinting und Ratenbegrenzungstechniken stoppen.

  • Blockieren Sie schlechte Bots und unbekannte Bots mit Fingerabdrücken Eine Web-Entität erhält jeden Tag 100.000 Besucher. Sie müssen den zugrundeliegenden Fußabdruck verbessern und sie geben ein Vermögen aus. In einem kürzlich durchgeführten Audit entdeckte das Team, dass 40 Prozent des Traffics von Bots, Scraping von Inhalten, Auswahl von Nachrichten, Überprüfung von Benutzerprofilen und mehr kamen. Sie möchten diesen Datenverkehr blockieren, um ihre Benutzer zu schützen und ihre Hosting-Kosten zu senken. Mit der Bot-Verwaltung können sie bekannte schlechte Bots und Fingerabdrücke unbekannte Bots blockieren, die ihre Website hämmern. Indem sie diese Bots blockieren, können sie den Bot-Verkehr um 90 Prozent reduzieren.

  • Erlaube gute Bots. „Gute“ Bots sollen Unternehmen und Verbrauchern helfen. Sie gibt es seit den frühen 1990er Jahren, als die ersten Suchmaschinen-Bots entwickelt wurden, um das Internet zu crawlen. Google, Yahoo und Bing würden ohne sie nicht existieren. Andere Beispiele für gute Bots, die hauptsächlich auf Verbraucher ausgerichtet sind, sind:

    • Chatbots (auch bekannt als Chatterbots, Smart Bots, Talk-Bots, IM-Bots, Social Bots, Konversations-Bots) interagieren mit Menschen über Text oder Ton. Eine der ersten Textverwendungen war für den Online-Kundenservice und Textnachrichten-Apps wie Facebook Messenger und iPhone Messages. Siri, Cortana und Alexa sind Chatbots; aber auch mobile Apps, mit denen Benutzer Kaffee bestellen und ihnen dann mitteilen können, wann er fertig ist, die Benutzer Filmtrailer ansehen und lokale Theatervorführungen finden können oder Benutzern ein Bild des Automodells und des Nummernschilds senden können, wenn sie einen Fahrservice anfordern.

    • Shopbots durchsuchen das Internet auf der Suche nach den niedrigsten Preisen für Artikel, nach denen Benutzer suchen.

    • Monitoring Bots überprüfen den Zustand (Verfügbarkeit und Reaktionsfähigkeit) von Websites. Downdetector ist ein Beispiel für eine unabhängige Website, die Echtzeit-Statusinformationen, einschließlich Ausfällen, von Websites und anderen Arten von Diensten bereitstellt. Weitere Informationen zu Downdetector finden Sie unter: Downdetector.

Bot-Erkennung

Konfigurieren des Bot-Managements mithilfe der Citrix ADC GUI

Benutzer können die Citrix ADC Bot-Verwaltung konfigurieren, indem sie zuerst die Funktion auf der Appliance aktivieren. Sobald die Benutzer aktiviert haben, können sie eine Bot-Richtlinie erstellen, um den eingehenden Datenverkehr als Bot auszuwerten und den Traffic an das Bot-Profil zu senden. Anschließend erstellen Benutzer ein Bot-Profil und binden das Profil dann an eine Bot-Signatur. Alternativ können Benutzer auch die standardmäßige Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nach dem Erstellen der Signaturdatei können Benutzer sie in das Bot-Profil importieren. Alle diese Schritte werden in der folgenden Reihenfolge ausgeführt:

image-vpx-azure-appsecurity-deployment-66

  1. Bot-Management-Funktion aktivieren

  2. Konfigurieren von Bot-Verwaltungseinstellungen

  3. Klonen der Citrix Bot-Standardsignatur

  4. Importieren der Citrix Bot-Signatur

  5. Konfigurieren Sie Bot Einstellungen für die

  6. Erstellen Sie ein Bot-Profil

  7. Erstellen Sie Bot-Richtlinie

Bot-Management-Funktion aktivieren

Befolgen Sie die unten angegebenen Schritte, um die Bot-Verwaltung zu aktivieren:

  1. Erweitern Sie im NavigationsbereichSystem, und klicken Sie dann aufEinstellungen.

  2. Aktivieren Sie auf der SeiteErweiterte Funktionen konfigurierendas KontrollkästchenBot Management.

  3. Klicken Sie aufOKund dann aufSchließen.

image-vpx-azure-appsecurity-deployment-67

Bot-Signaturdatei kl

Befolgen Sie die unten angegebenen Schritte, um Bot-Signaturdatei zu klonen:

  1. Navigieren Sie zuSicherheit>Citrix Bot ManagementandSignatures.

  2. Wählen Sie auf der SeiteCitrix Bot Management-Signaturenden Standarddatensatz für Bot-Signaturen

  3. Geben Sie auf der SeiteBot-Signatur kloneneinen Namen ein und bearbeiten Sie die Signaturdaten.

  4. Klicken Sie auf Erstellen.

image-vpx-azure-appsecurity-deployment-68

Bot-Signaturdatei importieren

Wenn Benutzer ihre eigene Signaturdatei haben, können sie diese als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:

  • Navigieren Sie zuSicherheit>Citrix Bot ManagementandSignatures.

  • Importieren Sie auf der SeiteCitrix Bot Management Signaturesdie Datei als URL, Datei oder Text.

  • Klicken Sie auf Weiter.

image-vpx-azure-appsecurity-deployment-69

  • Legen Sie auf der Seite Citrix Bot Management Signature importieren die folgenden Parameter fest.

    • Name. Name der Bot-Signaturdatei.

    • Kommentieren. Kurzbeschreibung der importierten Datei.

    • Überschreiben. Aktivieren Sie das Kontrollkästchen, um das Überschreiben von Daten während der Dateiaktualisierung zu ermöglichen.

    • Signatur-Daten. Ändern von Signaturparametern

  • Klicken Sie auf Fertig.

image-vpx-azure-appsecurity-deployment-70

IP-Reputation

Konfigurieren der IP-Reputation mithilfe der Citrix ADC GUI

Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Mit der Erkennungstechnik können Benutzer erkennen, ob von einer eingehenden IP-Adresse böswillige Aktivitäten ausgehen. Im Rahmen der Konfiguration legen wir verschiedene bösartige Bot-Kategorien fest und ordnen jeder von ihnen eine Bot-Aktion zu. Gehen Sie wie folgt vor, um die IP-Reputationstechnik zu konfigurieren.

  • Navigieren Sie zuSicherheit>Citrix Bot ManagementandProfiles.

  • Wählen Sie auf der SeiteCitrix Bot Management Profileseine Signaturdatei aus und klicken Sie aufBearbeiten.

  • Gehen Sie auf der SeiteCitrix Bot Management Profilezum AbschnittSignatureinstellungenund klicken Sie aufIP-Reputation.

  • Stellen Sie im Abschnitt IP-Reputation die folgenden Parameter ein:

    • Aktiviert. Aktivieren Sie das Kontrollkästchen, um eingehenden Bot-Verkehr als Teil des Erkennungsprozesses zu validieren.

    • Kategorien konfigurieren. Benutzer können die IP-Reputation-Technik für eingehenden Bot-Traffic in verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Benutzer den Bot-Traffic löschen oder umleiten. Klicken Sie auf Hinzufügen, um eine bösartige Bot-Kategorie zu konfigurieren

    • Legen Sie auf der SeiteIP-Reputationsbindung des Citrix Bot Management-Profils konfigurierendie folgenden Parameter fest:

      • Kategorie. Wählen Sie eine böswillige Bot-Kategorie aus der Liste aus. Ordnen Sie eine Bot-Aktion basierend auf der Kategorie zu.

      • Aktiviert. Aktivieren Sie das Kontrollkästchen, um die Erkennung von IP-Reputations-Signaturen

      • Bot-Aktion. Basierend auf der konfigurierten Kategorie können Benutzer keine Action, Drop, Redirect oder CAPTCHA-Aktion zuweisen.

      • Log. Aktivieren Sie das Kontrollkästchen, um Logeinträge zu speichern.

      • Nachricht protokollieren. Kurzbeschreibung des Protokolls.

      • Kommentare. Kurze Beschreibung der Bot-Kategorie.

  • Klicken Sie auf OK.

  • Klicken Sie aufUpdate.

  • Klicken Sie auf Fertig.

image-vpx-azure-appsecurity-deployment-71

Automatisches Update für Bot-Signaturen

Die statische Bot-Signaturtechnik verwendet eine Signatur-Lookup-Tabelle mit einer Liste guter Bots und schlechter Bots. Die Bots werden basierend auf Benutzer-Agent-Zeichenfolgen und Domain-Namen kategorisiert. Wenn die Benutzer-Agent-Zeichenfolge und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Bot-Signatur-Updates werden in der AWS-Cloud gehostet, und die Signatur-Lookup-Tabelle kommuniziert mit der AWS-Datenbank für Signaturaktualisierungen. Der Autosignatur-Update-Scheduler wird alle 1 Stunde ausgeführt, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der ADC-Appliance zu aktualisieren.

Die URL zur automatischen Aktualisierung der Bot-Signaturzuordnung zum Konfigurieren von Signaturen lautet:Bot-Signatur

Hinweis: Benutzer können auch einen Proxyserver konfigurieren und regelmäßig Signaturen aus der AWS-Cloud über einen Proxy auf die ADC-Appliance aktualisieren. Für die Proxykonfiguration müssen Benutzer die Proxy-IP-Adresse und Portadresse in den Bot-Einstellungen festlegen.

Automatisches Bot-Signatur-Update konfigurieren

Führen Sie die folgenden Schritte aus, um das automatische Update der Bot-Signatur zu konfigurieren:

Automatisches Bot-Signatur-Update aktivieren

Benutzer müssen die Option zur automatischen Aktualisierung in den Bot-Einstellungen der ADC-Appliance aktivieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

Bot-Einstellungen setzen —SignatureAutoUpdate ON

Konfigurieren Sie Bot Signature Auto Update mit der Citrix ADC GUI

Führen Sie die folgenden Schritte aus, um das automatische Update für die Bot-Signatur

  • Navigieren Sie zuSicherheit > Citrix Bot Management.

  • Klicken Sie im Detailbereich unterEinstellungenaufCitrix Bot Management Settings ändern.

  • Aktivieren Sie in denCitrix Bot Management-Einstellungen konfigurierendas KontrollkästchenAutom. Update-Signatur.

image-vpx-azure-appsecurity-deployment-72

  • Klicken Sie aufOKund aufSchließen.

Weitere Informationen zur Konfiguration der IP-Reputation mithilfe der CLI finden Sie unter: Konfigurieren der IP-Reputationsfunktion mithilfe der CLI.

Referenzen

Informationen zur Verwendung von SQL Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zur Konfiguration der SQL Injection Check über die Befehlszeile finden Sie unter: HTML SQL Injection Check.

Informationen zur Konfiguration der SQL Injection Check mithilfe der GUI finden Sie unter: Using the GUI to Configure the SQL Injection Security Check.

Informationen zur Verwendung der Lernfunktion mit der SQL Injection Check finden Sie unter: Verwenden der Lernfunktion mit der SQL Injection Check.

Informationen zur Verwendung der Log Funktion mit der SQL Injection Check finden Sie unter: Using the Log Feature with the SQL Injection Check.

Informationen zu Statistiken für die SQL-Injection-Verletzungen finden Sie unter: Statistics for the SQL Injection Violations.

Informationen zu den Highlights der SQL Injection Check finden Sie unter Highlights.

Hinweise zu XML SQL Injection Checks finden Sie unter: XML SQL Injection Check.

Informationen zur Verwendung von Cross-Site Scripting Fine Grained Relaxations finden Sie unter: SQL Fine Grained Relaxations.

Informationen zur Konfiguration von HTML Cross-Site Scripting über die Befehlszeile finden Sie unter: Verwenden der Befehlszeile zur Konfiguration der HTML Cross-Site Scripting Check.

Informationen zur Konfiguration von HTML Cross-Site Scripting mithilfe der GUI finden Sie unter: Using the GUI to Configure the HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Lernfunktion mit der HTML Cross-Site Scripting Check finden Sie unter: Verwenden der Lernfunktion mit der HTML Cross-Site Scripting Check.

Informationen zur Verwendung der Log-Funktion mit der HTML Cross-Site Scripting Check finden Sie unter: Verwenden der Log-Funktion mit der HTML Cross-Site Scripting Check.

Informationen zu Statistiken für Verstöße gegen das HTML Cross-Site Scripting finden Sie unter: Statistics for the HTML Cross-Site Scripting Violations.

Informationen zu den Highlights des Cross-Site Scripting in HTML finden Sie unter Highlights.

Informationen zum Cross-Site Scripting finden Sie unter: XML Cross-Site Scripting Check.

Informationen zur Verwendung der Befehlszeile zur Konfiguration der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Die Befehlszeile zum Konfigurieren der Sicherheitsüberprüfung für den Pufferüberlaufverwenden.

Informationen zur Verwendung der GUI zum Konfigurieren der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Konfigurieren der Pufferüberlauf-Sicherheitsüberprüfung mithilfe der Citrix ADC GUI.

Informationen zur Verwendung der Log-Funktion mit der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Verwenden der Protokollfunktion mit der Pufferüberlauf-Sicherheitsüberprüfung.

Informationen zu Statistiken für die Pufferüberlaufverletzungen finden Sie unter: Statistiken für die Pufferüberlaufverstöße.

Informationen zu den Highlights der Pufferüberlauf-Sicherheitsüberprüfung finden Sie unter: Highlights.

Informationen zum Hinzufügen oder Entfernen eines Signaturobjekts finden Sie unter: Hinzufügen oder Entfernen eines Signaturobjekts.

Informationen zum Erstellen eines Signaturenobjekts aus einer Vorlage finden Sie unter: So erstellen Sie ein Signaturen-Objekt aus einer Vorlage.

Informationen zum Erstellen eines Signaturenobjekts durch Importieren einer Datei finden Sie unter: So erstellen Sie ein Signatures-Objekt durch Importieren einer Datei.

Informationen zum Erstellen eines Signaturenobjekts durch Importieren einer Datei über die Befehlszeile finden Sie unter: So erstellen Sie ein Signaturen-Objekt, indem Sie eine Datei über die Befehlszeile importieren.

Informationen zum Entfernen eines Signaturenobjekts mithilfe der GUI finden Sie unter: So entfernen Sie ein Signaturen-Objekt mithilfe der GUI.

Informationen zum Entfernen eines Signaturenobjekts mithilfe der Befehlszeile finden Sie unter: So entfernen Sie ein Signatures-Objekt mithilfe der Befehlszeile.

Informationen zum Konfigurieren oder Ändern eines Signatures-Objekts finden Sie unter: Ein Signaturen-Objekt konfigurieren oder ändern.

Weitere Informationen zum Aktualisieren eines Signaturobjekts finden Sie unter: Ein Signature-Objekt aktualisieren.

Informationen zur Verwendung der Befehlszeile zum Aktualisieren von Web Application Firewall-Signaturen aus der Quelle finden Sie unter: So aktualisieren Sie die Firewall-Signaturen der Web Application aus der Quelle mithilfe der Befehlszeile.

Informationen zum Aktualisieren eines Signaturobjekts aus einer Citrix-Formatdatei finden Sie unter: Aktualisieren eines Signaturen-Objekts aus einer Citrix Formatdatei.

Informationen zum Aktualisieren eines Signaturobjekts mit einem unterstützten Tool zum Scannen von Sicherheitslücken finden Sie unter: Aktualisieren eines Signaturen-Objekts über ein unterstütztes Tool zum Scannen von Sicherheitslücken.

Informationen zur Integration von Snort-Regeln finden Sie unter: Snort-Regelintegration.

Informationen zur Konfiguration von Snort-Regeln finden Sie unter: Snort-Regeln konfigurieren.

Informationen zur Konfiguration des Bot-Managements über die Befehlszeile finden Sie unter: Bot-Management konfigurieren.

Informationen zum Konfigurieren der Bot-Verwaltungseinstellungen für die Geräte-Fingerabdrucktechnik finden Sie unter: Bot-Management-Einstellungen für die Geräte-Fingerprint-Technik

Informationen zum Konfigurieren von Bot-Zulassungslisten mithilfe der Citrix ADC GUI finden Sie unter: Konfigurieren der Bot-Whitelist mithilfe der Citrix ADC GUI.

Informationen zum Konfigurieren von Bot-Blocklisten mithilfe der Citrix ADC GUI finden Sie unter: Konfigurieren Sie die schwarze Liste von Bot mithilfe der Citrix ADC GUI.

Weitere Informationen zur Konfiguration der Bot-Verwaltung finden Sie unter:Bot-Management konfigurieren.

Voraussetzungen

Benutzer benötigen einige Vorkenntnisse, bevor sie eine Citrix VPX-Instanz in Azure bereitstellen:

  • Vertrautheit mit Azure-Terminologie und Netzwerkdetails. Weitere Informationen finden Sie in der Azure-Terminologie oben.

  • Kenntnisse einer Citrix ADC-Appliance. Detaillierte Informationen zur Citrix ADC Appliance finden Sie unter:Citrix ADC 13.0.

  • Kenntnisse über Citrix ADC Netzwerke. Siehe: Netzwerke.

Voraussetzungen für Azure

In diesem Abschnitt werden die Voraussetzungen beschrieben, die Benutzer in Microsoft Azure und Citrix ADM erfüllen müssen, bevor sie Citrix ADC VPX VPX-Instanzen bereitstellen.

Dieses Dokument setzt Folgendes voraus:

  • Benutzer besitzen ein Microsoft Azure-Konto, das das Azure Resource Manager-Bereitstellungsmodell unterstützt.

  • Benutzer haben eine Ressourcengruppe in Microsoft Azure.

Weitere Informationen zum Erstellen eines Kontos und zu anderen Aufgaben finden Sie in der Microsoft Azure-Dokumentation:Microsoft Azure-Dokumentation.

Einschränkungen

Das Ausführen der Citrix ADC VPX Load Balancing-Lösung unter ARM birgt die folgenden Einschränkungen:

  • Die Azure-Architektur unterstützt die folgenden Citrix ADC ADC-Funktionen nicht:

    • Clustering

    • IPv6

    • Unentgeltliches ARP (GARP)

    • L2-Modus (Bridging). Transparente virtuelle Server werden mit L2 (MAC Rewrite) für Server im selben Subnetz wie das SNIP unterstützt.

    • Getagged VLAN

    • Dynamisches Routing

    • Virtueller MAC

    • USIP

    • Jumbo Frames

  • Wenn Benutzer der Meinung sind, dass sie die virtuelle Citrix ADC VPX-Maschine möglicherweise herunterfahren und vorübergehend freigeben müssen, sollten sie beim Erstellen der virtuellen Maschine eine statische interne IP-Adresse zuweisen. Wenn sie keine statische interne IP-Adresse zuweisen, weist Azure der virtuellen Maschine möglicherweise bei jedem Neustart eine andere IP-Adresse zu, sodass auf die virtuelle Maschine möglicherweise nicht mehr zugegriffen werden kann.

  • In einer Azure-Bereitstellung werden nur die folgenden Citrix ADC VPX-Modelle unterstützt: VPX 10, VPX 200, VPX 1000 und VPX 3000. Weitere Informationen finden Sie im Citrix ADC VPX VPX-Datenblatt.

  • Wenn eine Citrix ADC VPX VPX-Instanz mit einer höheren Modellnummer als VPX 3000 verwendet wird, entspricht der Netzwerkdurchsatz möglicherweise nicht dem in der Lizenz der Instanz angegebenen. Andere Funktionen wie SSL-Durchsatz und SSL-Transaktionen pro Sekunde können jedoch verbessert werden.

  • Die „Bereitstellungs-ID“, die von Azure während der Bereitstellung virtueller Maschinen generiert wird, ist für den Benutzer in ARM nicht sichtbar. Benutzer können die Bereitstellungs-ID nicht verwenden, um die Citrix ADC VPX-Appliance auf ARM bereitzustellen.

  • Die Citrix ADC VPX VPX-Instanz unterstützt bei der Initialisierung einen Durchsatz von 20 MB/s und Funktionen der Standard Edition.

  • Für eine XenApp - und XenDesktop Bereitstellung kann ein virtueller VPN-Server auf einer VPX-Instanz in den folgenden Modi konfiguriert werden:

    • Basismodus, in dem der Parameter ICAOnly des virtuellen VPN-Servers auf ON eingestellt ist. Der Basismodus funktioniert vollständig auf einer nicht lizenzierten Citrix ADC VPX-Instanz.

    • Smart-Access-Modus, bei dem der virtuelle ICAOnly VPN-Serverparameter auf OFF gesetzt ist. Der Smart-Access-Modus funktioniert nur für 5 NetScaler AAA-Sitzungsbenutzer auf einer nicht lizenzierten Citrix ADC VPX-Instanz.

Hinweis:

Um die Smart Control-Funktion zu konfigurieren, müssen Benutzer eine Premium-Lizenz auf die Citrix ADC VPX VPX-Instanz anwenden.

Von Azure-VPX unterstützte Modelle und Lizenzierung

In einer Azure-Bereitstellung werden nur die folgenden Citrix ADC VPX-Modelle unterstützt: VPX 10, VPX 200, VPX 1000 und VPX 3000. Weitere Informationen finden Sie im Citrix ADC VPX VPX-Datenblatt.

Eine Citrix ADC VPX-Instanz auf Azure benötigt eine Lizenz. Die folgenden Lizenzierungsoptionen sind für Citrix ADC VPX Instanzen verfügbar, die in Azure ausgeführt werden. Benutzer können eine dieser Methoden wählen, um von Citrix ADM bereitgestellte Citrix ADCs zu lizenzieren:

  • Verwenden von ADC-Lizenzen in Citrix ADM: Konfigurieren Sie gepoolte Kapazität, VPX-Lizenzen oder virtuelle CPU-Lizenzen beim Erstellen der Autoscale-Gruppe. Wenn also eine neue Instanz für eine Autoscale-Gruppe bereitgestellt wird, wird der bereits konfigurierte Lizenztyp automatisch auf die bereitgestellte Instanz angewendet.

    • Pooled Capacity: Weist jeder bereitgestellten Instanz in der Autoscale-Gruppe Bandbreite zu. Stellen Sie sicher, dass Benutzer in Citrix ADM über die erforderliche Bandbreite verfügen, um neue Instanzen bereitzustellen. Weitere Informationen finden Sie unter: Konfigurieren der gepoolten Kapazität.

    Jede ADC-Instanz in der Autoscale-Gruppe checkt eine Instanzlizenz und die angegebene Bandbreite aus dem Pool aus.

    • VPX-Lizenzen: Wendet die VPX-Lizenzen auf neu bereitgestellte Instances an. Stellen Sie sicher, dass Benutzer über die erforderliche Anzahl von VPX-Lizenzen in Citrix ADM verfügen, um neue Instanzen bereitzustellen.

    Wenn eine Citrix ADC VPX Instanz bereitgestellt wird, checkt die Instanz die Lizenz vom Citrix ADM aus. Weitere Informationen finden Sie unter: Citrix ADC VPX Check-In and Check-Out Lizenzierung.

    • Virtuelle CPU-Lizenzen: Wendet virtuelle CPU-Lizenzen auf neu bereitgestellte Instanzen an Diese Lizenz gibt die Anzahl der CPUs an, die für eine Citrix ADC VPX Instanz berechtigt sind. Stellen Sie sicher, dass Benutzer über die erforderliche Anzahl virtueller CPUs in Citrix ADM verfügen, um neue Instanzen bereitzustellen.

Wenn eine Citrix ADC VPX Instanz bereitgestellt wird, checkt die Instanz die virtuelle CPU-Lizenz vom Citrix ADM aus. Weitere Informationen finden Sie unter:Citrix ADC Virtual CPU-Lizenzierung.

Wenn die bereitgestellten Instanzen zerstört oder die Bereitstellung aufgehoben werden, werden die angewendeten Lizenzen automatisch an Citrix ADM zurückgegeben.

Um die verbrauchten Lizenzen zu überwachen, navigieren Sie zur SeiteNetzwerke>Lizenzen.

Verwenden von Microsoft Azure-Abonnementlizenzen: Konfigurieren Sie die in Azure Marketplace verfügbaren Citrix ADC Lizenzen beim Erstellen der Autoscale-Gruppe. Wenn also eine neue Instanz für die Autoscale-Gruppe bereitgestellt wird, wird die Lizenz von Azure Marketplace abgerufen.

Unterstützte Citrix ADC Azure-Images für virtuelle Maschinen

Unterstützte Citrix ADC Azure Virtual Machine Images für die Bereitstellung

Verwenden Sie das Azure-Image für virtuelle Computer, das mindestens drei Netzwerkkarten unterstützt. Provisioning der Citrix ADC VPX Instanz wird nur in der Premium und Advanced Edition unterstützt. Weitere Informationen zu den Imagetypen von virtuellen Azure-Maschinen finden Sie unter:Allgemeine Größen virtueller Maschinen.

Im Folgenden sind die empfohlenen VM-Größen für die Provisioning:

  • Standard_DS3_v2

  • Standard_B2ms

  • Standard_DS4_v2

Richtlinien zur Port-Nutzung

Benutzer können mehr eingehende und ausgehende Regeln in NSG konfigurieren, während sie die NetScaler VPX VPX-Instanz erstellen oder nachdem die virtuelle Maschine bereitgestellt wurde. Jede eingehende und ausgehende Regel ist einem öffentlichen und einem privaten Port zugeordnet.

Beachten Sie vor der Konfiguration von NSG-Regeln die folgenden Richtlinien bezüglich der Portnummern, die Benutzer verwenden können:

  1. Die NetScaler VPX VPX-Instanz reserviert die folgenden Ports. Benutzer können diese nicht als private Ports definieren, wenn sie die öffentliche IP-Adresse für Anfragen aus dem Internet verwenden. Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Wenn Benutzer jedoch möchten, dass mit dem Internet verbundene Dienste wie die VIP einen Standardport verwenden (z. B. Port 443), müssen Benutzer mithilfe der NSG eine Portzuordnung erstellen. Der Standardport wird dann einem anderen Port zugeordnet, der auf dem Citrix ADC VPX für diesen VIP-Dienst konfiguriert ist. Beispielsweise kann ein VIP-Dienst auf Port 8443 der VPX-Instanz ausgeführt werden, wird aber dem öffentlichen Port 443 zugeordnet. Wenn der Benutzer also über die Public IP auf Port 443 zugreift, wird die Anforderung an den privaten Port 8443 weitergeleitet.

  2. Die öffentliche IP-Adresse unterstützt keine Protokolle, in denen die Portzuordnung dynamisch geöffnet wird, wie passives FTP oder ALG.

  3. Hochverfügbarkeit funktioniert nicht für Datenverkehr, der eine öffentliche IP-Adresse (PIP) verwendet, die einer VPX-Instanz zugeordnet ist, anstelle eines auf dem Azure-Load Balancer konfigurierten PIP. Weitere Informationen finden Sie unter:Konfigurieren eines Hochverfügbarkeits-Setups mit einer einzelnen IP-Adresse und einer einzelnen NIC.

  4. In einer NetScaler Gateway Gateway-Bereitstellung müssen Benutzer keine SNIP-Adresse konfigurieren, da das NSIP als SNIP verwendet werden kann, wenn kein SNIP konfiguriert ist. Benutzer müssen die VIP-Adresse mithilfe der NSIP-Adresse und einer nicht standardmäßigen Portnummer konfigurieren. Für die Rückrufkonfiguration auf dem Backend-Server muss die VIP-Port-Nummer zusammen mit der VIP-URL angegeben werden (z. B. url: port).

    Hinweis:

    • In Azure Resource Manager ist eine Citrix ADC VPX-Instanz zwei IP-Adressen zugeordnet - eine öffentliche IP-Adresse (PIP) und eine interne IP-Adresse. Während der externe Datenverkehr mit dem PIP verbunden ist, ist die interne IP-Adresse oder der NSIP nicht routingfähig. Verwenden Sie zur Konfiguration eines VIP in VPX die interne IP-Adresse (NSIP) und einen der verfügbaren freien Ports. Verwenden Sie den PIP nicht zur Konfiguration eines VIP.

    • Wenn beispielsweise NSIP einer Citrix ADC VPX VPX-Instanz 10.1.0.3 ist und ein verfügbarer freier Port 10022 ist, können Benutzer eine VIP konfigurieren, indem sie die Kombination 10.1.0. 3:10022 (NSIP-Adresse + Port) bereitstellen.

Citrix ADC VPX auf Azure Bereitstellungshandbuch

In diesem Artikel