Citrix Web App Firewall

Die folgenden Themen behandeln die Installation und Konfiguration der Citrix Web App Firewall Funktion.

   
Einführung Eine Übersicht über die Websicherheit und die Funktionsweise der Web App Firewall.
Konfiguration Konfigurieren der Web App Firewall zum Schutz einer Website, eines Webdienstes oder einer Web 2.0-Website
Unterschriften Eine detaillierte Beschreibung der Signaturfunktion und zum Konfigurieren der Signaturen, Hinzufügen von Signaturen aus einem unterstützten Tool zum Scannen von Schwachstellen und Definieren eigener Signaturen mit Beispielen.
Übersicht über Sicherheitsprüfungen Eine detaillierte Beschreibung aller Sicherheitsprüfungen der Web App Firewall mit Konfigurationsinformationen und Beispielen.
Profile Eine Beschreibung der Konfiguration und Verwendung von Profilen in der Web App Firewall.
Richtlinien Eine Beschreibung der Verwendung von Richtlinien bei der Konfiguration der Web App Firewall mit Beispielen nützlicher Richtlinien.
Einfuhren Eine Beschreibung, wie die Web App Firewall verschiedene Arten von importierten Dateien verwendet und wie Dateien importiert und exportiert werden.
Globale Konfiguration Eine Beschreibung der Web App Firewall Features, die für alle Profile gelten, und wie sie konfiguriert werden.
Anwendungsfälle Erweiterte Beispiele, die veranschaulichen, wie die Web App Firewall eingerichtet wird, um bestimmte Typen komplexerer Websites und Webdienste optimal zu schützen.
Protokolle, Statistiken und Berichte So greifen Sie auf die Web App Firewall Protokolle, die Statistiken und die Berichte zu und verwenden, um sie bei der Konfiguration der Web App Firewall zu unterstützen.

Die Citrix Web App Firewall bietet einfach zu konfigurierende Optionen, um eine Vielzahl von Anwendungssicherheitsanforderungen zu erfüllen. Web App Firewall Profile, die aus Sicherheitsüberprüfungen bestehen, können zum Schutz sowohl der Anforderungen als auch der Antworten verwendet werden, indem umfassende Inspektionen auf Paketebene bereitgestellt werden. Jedes Profil enthält eine Option zur Auswahl grundlegender Schutzmaßnahmen oder erweiterter Schutz. Einige Schutzmaßnahmen erfordern möglicherweise die Verwendung anderer Dateien. Beispielsweise erfordern XML-Validierungsprüfungen WSDL- oder Schemadateien. Die Profile können auch andere Dateien wie Signaturen oder Fehlerobjekte verwenden. Diese Dateien können lokal hinzugefügt oder im Vorfeld importiert und zur späteren Verwendung auf der Appliance gespeichert werden. Sie können von mehreren Profilen gemeinsam genutzt werden.

Profile funktionieren in Verbindung mit den Richtlinien der Web App Firewall. Jede Richtlinie identifiziert einen Typ von Datenverkehr, und dieser Datenverkehr wird auf die Sicherheitsüberprüfungsverletzungen überprüft, die in dem Profil angegeben sind, das der Richtlinie zugeordnet ist. Die Richtlinien können unterschiedliche Bindungspunkte haben, die den Umfang der Richtlinie bestimmen. Beispielsweise wird eine Richtlinie, die an einen bestimmten virtuellen Server gebunden ist, nur für den Datenverkehr aufgerufen und ausgewertet, der durch diesen virtuellen Server fließt. Die Richtlinien werden in der Reihenfolge ihrer festgelegten Prioritäten ausgewertet, und die erste, die der Anforderung oder Antwort entspricht, wird angewendet.

  • Schnelle Bereitstellung des Web App Firewall Schutzes

    Sie können das folgende Verfahren für die schnelle Bereitstellung der Web App Firewall -Sicherheit verwenden:

    1. Fügen Sie ein appfw-Profil hinzu und wählen Sie den entsprechenden Typ (html, xml, JSON) für die Sicherheitsanforderungen der Anwendung aus.
    2. Wählen Sie die erforderliche Sicherheitsstufe (Basic oder Advanced) aus.
    3. Fügen Sie die erforderlichen Dateien hinzu, z. B. Signaturen oder WSDL.
    4. Konfigurieren Sie das Profil so, dass die Dateien verwendet werden, und nehmen Sie alle weiteren erforderlichen Änderungen an den Standardeinstellungen vor.
    5. Fügen Sie eine appfw-Richtlinie für dieses Profil hinzu.
    6. Binden Sie die Richtlinie an den Ziel-Bindungspunkt und geben Sie die Priorität an.
  • Web App Firewall Entitäten

    Profil: Ein Web App Firewall Profil gibt an, wonach zu suchen ist und was zu tun ist. Es überprüft sowohl die Anforderung als auch die Antwort, um festzustellen, welche potenziellen Sicherheitsverletzungen überprüft werden sollen und welche Maßnahmen bei der Verarbeitung einer Transaktion ergriffen werden sollen. Ein Profil kann eine HTML-, XML- oder HTML- und XML-Nutzlast schützen. Abhängig von den Sicherheitsanforderungen der Anwendung können Sie entweder ein einfaches oder ein erweitertes Profil erstellen. Ein Basisprofil kann vor bekannten Angriffen schützen. Wenn höhere Sicherheit erforderlich ist, können Sie ein erweitertes Profil bereitstellen, um kontrollierten Zugriff auf die Anwendungsressourcen zu ermöglichen und Zero-Day-Angriffe zu blockieren. Ein Basisprofil kann jedoch modifiziert werden, um erweiterten Schutz zu bieten, und umgekehrt. Es stehen mehrere Aktionsoptionen (z. B. Blockieren, Protokollieren, Lernen und Transformieren) zur Verfügung. Erweiterte Sicherheitsprüfungen können Sitzungscookies und versteckte Formular-Tags verwenden, um die Clientverbindungen zu steuern und zu überwachen. Web App Firewall Profile können die ausgelösten Verstöße lernen und die Relaxationsregeln vorschlagen.

    Grundlegende Schutzmaßnahmen: Ein Basisprofil enthält einen vorkonfigurierten Satz von Start-URL und URL-Relaxationsregeln verweigern. Diese Relaxationsregeln legen fest, welche Anfragen zugelassen werden sollen und welche abgelehnt werden sollen. Eingehende Anforderungen werden mit diesen Listen abgeglichen, und die konfigurierten Aktionen werden angewendet. Dies ermöglicht es dem Benutzer, Anwendungen mit minimaler Konfiguration für Relaxationsregeln zu sichern. Die Start-URL-Regeln schützen vor erzwundem Browsen. Bekannte Webserver-Schwachstellen, die von Hackern ausgenutzt werden, können erkannt und blockiert werden, indem eine Reihe von Standard-URL-Regeln verweigern aktiviert wird. Häufig gestartete Angriffe wie Pufferüberlauf, SQL oder siteübergreifende Skripterstellung können ebenfalls leicht erkannt werden.

    Erweiterter Schutz: Wie der Name schon sagt, werden erweiterte Schutzmaßnahmen für Anwendungen verwendet, die höhere Sicherheitsanforderungen aufweisen. Relaxationsregeln sind so konfiguriert, dass nur der Zugriff auf bestimmte Daten ermöglicht und der Rest blockiert wird. Dieses positive Sicherheitsmodell mildert unbekannte Angriffe, die möglicherweise nicht durch grundlegende Sicherheitsüberprüfungen erkannt werden. Zusätzlich zu allen grundlegenden Schutzmaßnahmen verfolgt ein erweitertes Profil eine Benutzersitzung, indem es das Browsen steuert, nach Cookies sucht, Eingabeanforderungen für verschiedene Formularfelder spezifiziert und vor Manipulationen von Formularen oder Cross-Site-Anforderungsfälschungen schützt. Das Lernen, das den Datenverkehr beobachtet und die entsprechenden Relaxationen bereitstellt, ist standardmäßig für viele Sicherheitsprüfungen aktiviert. Obwohl sie einfach zu bedienen sind, erfordern erweiterte Schutzmaßnahmen gebührende Berücksichtigung, da sie eine engere Sicherheit bieten, aber auch mehr Verarbeitung erfordern und keine Verwendung von Caching zulassen, was die Leistung beeinträchtigen kann.

    Importieren— Die Importfunktion ist nützlich, wenn Web App Firewall Profile externe Dateien verwenden müssen, d. h. Dateien, die auf einem externen oder internen Webserver gehostet werden oder die von einem lokalen Computer kopiert werden müssen. Das Importieren einer Datei und das Speichern auf der Appliance ist sehr nützlich, insbesondere in Situationen, in denen Sie den Zugriff auf externe Websites steuern müssen oder wenn die Kompilierung lange dauert, große Dateien über HA-Bereitstellungen hinweg synchronisiert werden müssen, oder Sie können eine Datei wiederverwenden, indem Sie sie auf mehreren Geräten kopieren. Zum Beispiel:

    • WSDLs, die auf externen Webservern gehostet werden, können lokal importiert werden, bevor der Zugriff auf externe Websites blockiert wird.
    • Große Signaturdateien, die von einem externen Scan-Tool wie Cenzic generiert werden, können mithilfe eines Schemas auf der Citrix Appliance importiert und vorkompiliert werden.
    • Eine benutzerdefinierte HTML- oder XML-Fehlerseite kann von einem externen Webserver importiert oder aus einer lokalen Datei kopiert werden.

    Unterschriften: Signaturen sind sehr leistungsstark, da sie Pattern-Matching verwenden, um bösartige Angriffe zu erkennen, und können so konfiguriert werden, dass sowohl die Anforderung als auch die Antwort einer Transaktion überprüft werden. Sie sind eine bevorzugte Option, wenn eine anpassbare Sicherheitslösung benötigt wird. Mehrere Auswahlmöglichkeiten (z. B. Blockieren, Protokollieren, Lernen und Transformieren) stehen für die Aktion zur Verfügung, die ausgeführt werden soll, wenn eine Signaturübereinstimmung erkannt wird. Die Web App Firewall verfügt über ein integriertes Standardsignaturobjekt, das aus mehr als 1.300 Signaturregeln besteht, mit der Option, die neuesten Regeln mithilfe der automatischen Update-Funktion abzurufen. Regeln, die von anderen Scan-Tools erstellt wurden, können ebenfalls importiert werden. Das Signaturobjekt kann durch Hinzufügen neuer Regeln angepasst werden, die in Verbindung mit den anderen im Web App Firewall Profil angegebenen Sicherheitsprüfungen funktionieren können. Eine Signaturregel kann mehrere Muster aufweisen und eine Verletzung nur dann kennzeichnen, wenn alle Muster übereinstimmen, wodurch falsche Positive vermieden werden. Eine sorgfältige Auswahl eines literalen Fastmatch-Musters für eine Regel kann die Verarbeitungszeit erheblich optimieren.

    Richtlinien: Web App Firewall-Richtlinien werden verwendet, um den Datenverkehr in verschiedene Typen zu filtern und zu trennen. Dies bietet die Flexibilität, verschiedene Sicherheitsebenen für die Anwendungsdaten zu implementieren. Der Zugriff auf hochsensible Daten kann auf erweiterte Sicherheitsprüfungen geleitet werden, während weniger sensible Daten durch grundlegende Sicherheitsprüfungen geschützt werden. Richtlinien können auch so konfiguriert werden, dass die Überprüfung der Sicherheitsprüfung auf harmlosen Datenverkehr umgangen wird. Höhere Sicherheit erfordert mehr Verarbeitung, so dass eine sorgfältige Gestaltung der Richtlinien die gewünschte Sicherheit zusammen mit optimierter Leistung bieten kann. Die Priorität der Richtlinie bestimmt die Reihenfolge, in der sie ausgewertet wird, und ihr Bindepunkt bestimmt den Anwendungsbereich ihrer Anwendung.

Highlights

  1. Möglichkeit, eine Vielzahl von Anwendungen zu sichern, indem verschiedene Datentypen geschützt werden, das richtige Maß an Sicherheit für verschiedene Ressourcen implementiert und immer noch maximale Leistung erreicht wird.
  2. Flexibilität beim Hinzufügen oder Ändern einer Sicherheitskonfiguration. Sie können Sicherheitsprüfungen verschärfen oder entspannen, indem Sie grundlegende und erweiterte Schutzmaßnahmen aktivieren oder deaktivieren.
  3. Option zum Konvertieren eines HTML-Profils in ein XML- oder Web2.0-Profil (HTML+XML) und umgekehrt, wodurch die Sicherheit für verschiedene Arten von Nutzlast erhöht werden kann.
  4. Einfach implementierte Aktionen, um Angriffe zu blockieren, sie in Protokollen zu überwachen, Statistiken zu sammeln oder sogar einige Angriffszeichenfolgen zu transformieren, um sie harmlos zu machen.
  5. Fähigkeit, Angriffe durch Inspektion eingehender Anforderungen zu erkennen und das Auslaufen vertraulicher Daten zu verhindern, indem die von den Servern gesendeten Antworten überprüft werden.
  6. Möglichkeit, aus dem Datenverkehrsmuster zu lernen, um Empfehlungen für leicht bearbeitbare Relaxationsregeln zu erhalten, die bereitgestellt werden können, um Ausnahmen zu erlauben.
  7. Hybrides Sicherheitsmodell, das die Leistungsfähigkeit anpassbarer Signaturen anwendet, um Angriffe zu blockieren, die bestimmten Mustern entsprechen, und bietet die Flexibilität, die Positive-Security-Modellüberprüfungen für grundlegende oder erweiterte Sicherheitsvorkehrungen zu verwenden.
  8. Verfügbarkeit umfassender Konfigurationsberichte, einschließlich Informationen zur PCI-DSS-Konformität.

Citrix Web App Firewall