ADC

Citrix Web App Firewall

In den folgenden Themen werden die Installations- und Konfigurationsdetails der Citrix Web App Firewall -Funktion behandelt.

   
Einführung Eine Übersicht über die Websicherheit und die Funktionsweise der Web App Firewall.
Konfiguration So konfigurieren Sie die Web App Firewall zum Schutz einer Website, eines Webdienstes oder einer Web 2.0-Site.
Signaturen Eine detaillierte Beschreibung der Signaturen und wie Sie sie von einem unterstützten Tool zum Scannen von Schwachstellen aus konfigurieren und mit Beispielen eigene Signaturen definieren.
Übersicht über Sicherheitsprüfungen Eine detaillierte Beschreibung der Sicherheitsprüfungen von Web App Firewall mit Konfigurationsinformationen und Beispielen.
Profile Eine Beschreibung der Konfiguration und Verwendung von Profilen in der Web App Firewall.
Richtlinien Eine Beschreibung der Verwendung von Richtlinien bei der Konfiguration der Web App Firewall mit Beispielen nützlicher Richtlinien.
Einfuhren Eine Beschreibung, wie die Web App Firewall verschiedene Arten von importierten Dateien verwendet und wie Dateien importiert und exportiert werden.
Globale Konfiguration Eine Beschreibung der Web App Firewall Features, die für alle Profile gelten, und wie sie konfiguriert werden.
Anwendungsfälle Erweiterte Beispiele, die zeigen, wie Sie die Web App Firewall einrichten, um bestimmte Arten komplexerer Websites und Webdienste am besten zu schützen.
Protokolle, Statistiken und Berichte So greifen Sie auf die Web App Firewall -Protokolle, die Statistiken und die Berichte zu und verwenden sie, um bei der Konfiguration der Web App Firewall zu helfen.

Die Citrix Web App Firewall bietet einfach zu konfigurierende Optionen, um eine Vielzahl von Anwendungssicherheitsanforderungen zu erfüllen. Web App Firewall Profile, die aus Sicherheitsüberprüfungen bestehen, können zum Schutz sowohl der Anforderungen als auch der Antworten verwendet werden, indem umfassende Inspektionen auf Paketebene bereitgestellt werden. Jedes Profil enthält eine Option zur Auswahl grundlegender Schutzmaßnahmen oder erweiterter Schutz. Einige Schutzmaßnahmen erfordern möglicherweise die Verwendung anderer Dateien. Beispielsweise erfordern XML-Validierungsprüfungen WSDL- oder Schemadateien. Die Profile können auch andere Dateien wie Signaturen oder Fehlerobjekte verwenden. Diese Dateien können lokal hinzugefügt oder im Vorfeld importiert und zur späteren Verwendung auf der Appliance gespeichert werden.

Jede Richtlinie identifiziert einen Typ von Datenverkehr, und dieser Datenverkehr wird auf die Sicherheitsüberprüfungsverletzungen überprüft, die in dem Profil angegeben sind, das der Richtlinie zugeordnet ist. Die Richtlinien können unterschiedliche Bindungspunkte haben, die den Umfang der Richtlinie bestimmen. Beispielsweise wird eine Richtlinie, die an einen bestimmten virtuellen Server gebunden ist, nur für den Datenverkehr aufgerufen und ausgewertet, der durch diesen virtuellen Server fließt. Die Richtlinien werden in der Reihenfolge ihrer festgelegten Prioritäten ausgewertet, und die erste, die der Anforderung oder Antwort entspricht, wird angewendet.

  • Schnelle Bereitstellung des Web App Firewall Schutzes

    Sie können das folgende Verfahren für die schnelle Bereitstellung der Web App Firewall -Sicherheit verwenden:

    1. Fügen Sie ein Web App Firewall -Profil hinzu und wählen Sie den entsprechenden Typ (html, xml, JSON) für die Sicherheitsanforderungen der Anwendung aus.
    2. Wählen Sie die erforderliche Sicherheitsstufe (Basic oder Advanced) aus.
    3. Fügen Sie die erforderlichen Dateien hinzu, z. B. Signaturen oder WSDL.
    4. Konfigurieren Sie das Profil so, dass die Dateien verwendet werden, und nehmen Sie alle weiteren erforderlichen Änderungen an den Standardeinstellungen vor.
    5. Fügen Sie eine Web App Firewall Richtlinie für dieses Profil hinzu.
    6. Binden Sie die Richtlinie an den Ziel-Bindungspunkt und geben Sie die Priorität an.
  • Web App Firewall Entitäten

    Profil— Ein Web App Firewall-Profil gibt an, worauf zu achten ist und was zu tun ist. Es prüft sowohl die Anfrage als auch die Antwort, um festzustellen, welche potenziellen Sicherheitsverstöße überprüft werden müssen und welche Maßnahmen bei der Verarbeitung einer Transaktion ergriffen werden müssen. Ein Profil kann eine HTML-, XML- oder HTML- und XML-Payload schützen. Abhängig von den Sicherheitsanforderungen der Anwendung können Sie entweder ein einfaches oder ein erweitertes Profil erstellen. Ein Basisprofil kann vor bekannten Angriffen schützen. Wenn höhere Sicherheit erforderlich ist, können Sie ein erweitertes Profil bereitstellen, um kontrollierten Zugriff auf die Anwendungsressourcen zu ermöglichen und Zero-Day-Angriffe zu blockieren. Ein Basisprofil kann jedoch geändert werden, um erweiterte Schutzmaßnahmen zu bieten. Es stehen mehrere Aktionsoptionen (z. B. Blockieren, Protokollieren, Lernen und Transformieren) zur Verfügung. Erweiterte Sicherheitsprüfungen können Sitzungscookies und versteckte Formular-Tags verwenden, um die Clientverbindungen zu steuern und zu überwachen. Web App Firewall Profile können die ausgelösten Verstöße lernen und die Relaxationsregeln vorschlagen.

    Grundlegender Schutz—Ein Basisprofil enthält einen vorkonfigurierten Satz von Regeln für die Lockerung von Start-URL und URL verweigern. Diese Relaxationsregeln legen fest, welche Anfragen erlaubt und welche abgelehnt werden müssen. Eingehende Anforderungen werden mit diesen Listen abgeglichen, und die konfigurierten Aktionen werden angewendet. Dies ermöglicht es dem Benutzer, Anwendungen mit minimaler Konfiguration für Relaxationsregeln zu sichern. Die Start-URL-Regeln schützen vor erzwungenem Browsen. Bekannte Webserver-Schwachstellen, die von Hackern ausgenutzt werden, können erkannt und blockiert werden, indem eine Reihe von Standard-URL-Regeln verweigern aktiviert wird. Häufig gestartete Angriffe wie Pufferüberlauf, SQL oder siteübergreifende Skripterstellung können ebenfalls leicht erkannt werden.

    Erweiterter Schutz— Wie der Name schon sagt, werden erweiterte Schutzmaßnahmen für Anwendungen verwendet, die höhere Sicherheitsanforderungen haben. Relaxationsregeln sind so konfiguriert, dass nur der Zugriff auf bestimmte Daten ermöglicht und der Rest blockiert wird. Dieses positive Sicherheitsmodell mildert unbekannte Angriffe, die möglicherweise nicht durch grundlegende Sicherheitsüberprüfungen erkannt werden. Zusätzlich zu allen grundlegenden Schutzmaßnahmen verfolgt ein erweitertes Profil eine Benutzersitzung, indem es das Browsen steuert, nach Cookies sucht, Eingabeanforderungen für verschiedene Formularfelder spezifiziert und vor Manipulationen von Formularen oder Cross-Site-Anforderungsfälschungen schützt. Das Lernen, das den Datenverkehr beobachtet und die entsprechenden Relaxationen bereitstellt, ist standardmäßig für viele Sicherheitsprüfungen aktiviert. Obwohl sie einfach zu bedienen sind, erfordern erweiterte Schutzmaßnahmen gebührende Berücksichtigung, da sie eine engere Sicherheit bieten, aber auch mehr Verarbeitung erfordern und keine Verwendung von Caching zulassen, was die Leistung beeinträchtigen kann.

    Importieren— Die Importfunktion ist nützlich, wenn Web App Firewall-Profile externe Dateien verwenden müssen, dh Dateien, die auf einem externen oder internen Webserver gehostet werden, oder die von einem lokalen Computer kopiert werden müssen. Das Importieren einer Datei und das Speichern auf der Appliance ist nützlich, insbesondere in Situationen, in denen Sie den Zugriff auf externe Websites steuern müssen oder in denen die Kompilierung lange dauert, große Dateien über HA-Bereitstellungen synchronisiert werden müssen, oder Sie können eine Datei wiederverwenden, indem Sie sie auf mehrere Geräte kopieren. Beispiel:

    • WSDLs, die auf externen Webservern gehostet werden, können lokal importiert werden, bevor der Zugriff auf externe Websites blockiert wird.
    • Große Signaturdateien, die von einem externen Scan-Tool wie Cenzic generiert werden, können mithilfe eines Schemas auf der Citrix Appliance importiert und vorkompiliert werden.
    • Eine benutzerdefinierte HTML- oder XML-Fehlerseite kann von einem externen Webserver importiert oder aus einer lokalen Datei kopiert werden.

    Signaturen— Signaturen sind mächtig, da sie Musterabgleich verwenden, um bösartige Angriffe zu erkennen und so konfiguriert werden können, dass sie sowohl die Anforderung als auch die Antwort einer Transaktion überprüfen. Sie sind eine bevorzugte Option, wenn eine anpassbare Sicherheitslösung benötigt wird. Mehrere Auswahlmöglichkeiten (z. B. Blockieren, Protokollieren, Lernen und Transformieren) stehen für die Aktion zur Verfügung, die ausgeführt werden soll, wenn eine Signaturübereinstimmung erkannt wird. Die Web App Firewall verfügt über ein integriertes Standardsignaturobjekt, das aus mehr als 1.300 Signaturregeln besteht, mit der Option, die neuesten Regeln mithilfe der automatischen Update-Funktion abzurufen. Regeln, die von anderen Scan-Tools erstellt wurden, können ebenfalls importiert werden. Das Signaturebjekt kann durch Hinzufügen neuer Regeln angepasst werden, die mit den anderen im Web App Firewall -Profil angegebenen Sicherheitsüberprüfungen arbeiten können. Eine Signaturregel kann mehrere Muster aufweisen und eine Verletzung nur dann kennzeichnen, wenn alle Muster übereinstimmen, wodurch falsche Positive vermieden werden. Die sorgfältige Auswahl eines wörtlichen fastmatch Musters für eine Regel kann die Bearbeitungszeit erheblich optimieren.

    Richtlinien— Web App Firewall-Richtlinien werden verwendet, um den Datenverkehr in verschiedene Typen zu filtern und zu trennen. Dies bietet die Flexibilität, verschiedene Sicherheitsebenen für die Anwendungsdaten zu implementieren. Der Zugriff auf hochsensible Daten kann auf erweiterte Sicherheitsprüfungen geleitet werden, während weniger sensible Daten durch grundlegende Sicherheitsprüfungen geschützt werden. Richtlinien können auch so konfiguriert werden, dass die Überprüfung der Sicherheitsprüfung auf harmlosen Datenverkehr umgangen wird. Höhere Sicherheit erfordert mehr Verarbeitung, so dass eine sorgfältige Gestaltung der Richtlinien die gewünschte Sicherheit zusammen mit optimierter Leistung bieten kann. Die Priorität der Richtlinie bestimmt die Reihenfolge, in der sie ausgewertet wird, und ihr Bindepunkt bestimmt den Anwendungsbereich ihrer Anwendung.

Highlights

  1. Möglichkeit, eine Vielzahl von Anwendungen zu sichern, indem verschiedene Datentypen geschützt werden, das richtige Maß an Sicherheit für verschiedene Ressourcen implementiert und immer noch maximale Leistung erreicht wird.
  2. Flexibilität beim Hinzufügen oder Ändern einer Sicherheitskonfiguration. Sie können Sicherheitsprüfungen verschärfen oder entspannen, indem Sie grundlegende und erweiterte Schutzmaßnahmen aktivieren oder deaktivieren.
  3. Option zum Konvertieren eines HTML-Profils in ein XML- oder Web2.0-Profil (HTML+XML) und umgekehrt die Flexibilität zur Erhöhung der Sicherheit für verschiedene Arten von Nutzlast.
  4. Einfach implementierte Aktionen, um Angriffe zu blockieren, sie in Protokollen zu überwachen, Statistiken zu sammeln oder sogar einige Angriffszeichenfolgen zu transformieren, um sie harmlos zu machen.
  5. Fähigkeit, Angriffe durch Inspektion eingehender Anforderungen zu erkennen und das Auslaufen vertraulicher Daten zu verhindern, indem die von den Servern gesendeten Antworten überprüft werden.
  6. Möglichkeit, aus dem Datenverkehrsmuster zu lernen, um Empfehlungen für leicht bearbeitbare Relaxationsregeln zu erhalten, die bereitgestellt werden können, um Ausnahmen zu erlauben.
  7. Hybrides Sicherheitsmodell, das die Leistungsfähigkeit anpassbarer Signaturen anwendet, um Angriffe zu blockieren, die bestimmten Mustern entsprechen, und bietet die Flexibilität, die Positive-Security-Modellüberprüfungen für grundlegende oder erweiterte Sicherheitsvorkehrungen zu verwenden.
  8. Verfügbarkeit umfassender Konfigurationsberichte, einschließlich Informationen zur PCI-DSS-Konformität.
Citrix Web App Firewall