Citrix ADC

Der Web App Firewall Assistent

Im Gegensatz zu den meisten Assistenten ist der Citrix Web App Firewall Assistent nicht nur darauf ausgelegt, den Erstkonfigurationsprozess zu vereinfachen, sondern auch zuvor erstellte Konfigurationen zu ändern und das Setup der Web App Firewall aufrechtzuerhalten. Ein typischer Benutzer führt den Assistenten mehrmals aus und überspringt jedes Mal einige der Bildschirme.

Der Web App Firewall Assistent erstellt automatisch Profile, Richtlinien und Signaturen.

Öffnen des Assistenten

Um den Web App Firewall Assistenten auszuführen, öffnen Sie die GUI und gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.

Weitere Informationen zur GUI finden Sie unter “Die Web App Firewall Konfigurationsschnittstellen.

Die Bildschirme des Assistenten

Der Web App Firewall Assistent zeigt die folgenden Bildschirme auf einer tabellarischen Seite an:

1. Name angeben: Geben Sie auf diesem Bildschirm beim Erstellen einer neuen Sicherheitskonfiguration einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil an. Die Standardrichtlinie und die Signaturen werden automatisch unter Verwendung des gleichen Namens generiert.

Profilname

Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstreichungssymbol beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), Gleich (=), Doppelpunkt (:) und Unterstrich (_) bestehen. Wählen Sie einen Namen, der es anderen leicht macht, zu wissen, welche Inhalte Ihre neue Sicherheitskonfiguration schützt.

Hinweis:

Da der Assistent diesen Namen sowohl für die Richtlinie als auch für das Profil verwendet, ist er auf 31 Zeichen beschränkt. Manuell erstellte Richtlinien können bis zu 127 Zeichen lang sein.

Wenn Sie eine vorhandene Konfiguration ändern, wählen Sie Vorhandene Konfiguration ändern aus, und wählen Sie dann in der Dropdownliste Name den Namen der vorhandenen Konfiguration aus, die Sie ändern möchten.

Hinweis:

Nur Richtlinien, die an globale oder an einen Bindepunkt gebunden sind, werden in dieser Liste angezeigt. Sie können eine nicht gebundene Richtlinie nicht mithilfe des Assistenten für die Anwendungsfirewall ändern. Sie müssen es entweder manuell an Global oder an einen Bindepunkt binden oder manuell ändern. (Zur manuellen Änderung in der GUI) Anwendungsfirewall >Richtlinien > Firewallbereich, wählen Sie die Richtlinie aus, und klicken Sie auf Öffnen.

Profiltyp

Auf diesem Bildschirm wählen Sie auch einen Profiltyp aus. Der Profiltyp bestimmt die Typen des erweiterten Schutzes (Sicherheitsprüfungen), die konfiguriert werden können. Da bestimmte Arten von Inhalten nicht anfällig für bestimmte Arten von Sicherheitsbedrohungen sind, spart die Einschränkung der Liste der verfügbaren Prüfungen während der Konfiguration Zeit. Die Typen von Web App Firewall Profilen sind:

  • Webanwendung (HTML). Jede HTML-basierte Website, die keine XML- oder Web 2.0-Technologien verwendet.
  • XML-Anwendung (XML, SOAP). Jeder XML-basierte Webdienst.
  • Web 2.0-Anwendung (HTML, XML, REST). Jede Web 2.0-Website, die HTML- und XML-basierte Inhalte kombiniert, z. B. eine Atom-basierte Website, ein Blog, ein RSS-Feed oder ein Wiki.

Hinweis: Wenn Sie sich nicht sicher sind, welche Art von Inhalt auf Ihrer Website verwendet wird, können Sie Web 2.0-Anwendung wählen, um sicherzustellen, dass Sie alle Arten von Webanwendungsinhalten schützen.

2. Regel angeben: In diesem Fenster geben Sie die Richtlinienregel (Ausdruck) an, die den Datenverkehr definiert, den die aktuelle Konfiguration untersucht. Wenn Sie eine Erstkonfiguration zum Schutz Ihrer Websites und Webdienste erstellen, können Sie den Standardwert trueakzeptieren, der den gesamten Webverkehr auswählt.

Wenn diese Sicherheitskonfiguration nicht den gesamten HTTP-Datenverkehr, der über die Appliance geleitet wird, sondern den spezifischen Datenverkehr untersuchen soll, können Sie eine Richtlinienregel schreiben, die den Datenverkehr angibt, den er untersuchen soll. Regeln werden in Citrix ADC Ausdrücke geschrieben, die eine voll funktionsfähige objektorientierte Programmiersprache ist.

Hinweis: Zusätzlich zur Standardausdruckssyntax unterstützt das Citrix ADC Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax klassischer Citrix ADC-Ausdrücke auf Citrix ADC Classic- und nCore Appliances und virtuellen Appliances. Klassische Ausdrücke werden von Citrix ADC Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Benutzer, die ihre vorhandenen Konfigurationen in den Citrix ADC Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.

  • Eine einfache Beschreibung der Verwendung der Syntax von Citrix ADC Ausdrücken zum Erstellen von Web App Firewall Regeln sowie eine Liste nützlicher Regeln finden Sie unter Firewall-Richtlinien.
  • Eine ausführliche Erläuterung zum Erstellen von Richtlinienregeln in der Syntax von Citrix ADC Ausdrücken finden Sie unterRichtlinien und Ausdrücke.

4. Signaturen auswählen: In diesem Fenster wählen Sie die Kategorien von Signaturen aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten.

Dies ist kein obligatorischer Schritt, und Sie können ihn überspringen, wenn Sie möchten, und gehen Sie zum Bildschirm Deep Protections angeben. Wenn der Bildschirm Signaturen auswählen übersprungen wird, werden nur ein Profil und zugehörige Richtlinien erstellt, und die Signaturen werden nicht erstellt.

Sie können die Option Neue Signatur erstellen oder Vorhandene Signatur auswählen auswählen.

Wenn Sie eine neue Sicherheitskonfiguration erstellen, werden die ausgewählten Signaturkategorien aktiviert und standardmäßig in einem neuen Signaturobjekt aufgezeichnet. Dem neuen Signaturobjekt wird der gleiche Name zugewiesen, den Sie auf dem Bildschirm Name angeben eingegeben haben wie der Name der Sicherheitskonfiguration.

Wenn Sie zuvor Signaturobjekte konfiguriert haben und eines davon als Signaturobjekt verwenden möchten, das der zu erstellenden Sicherheitskonfiguration zugeordnet ist, klicken Sie auf Vorhandene Signatur auswählen, und wählen Sie ein Signaturobjekt aus der Liste Signaturen aus.

Wenn Sie eine vorhandene Sicherheitskonfiguration ändern, können Sie auf Vorhandene Signatur auswählen klicken und der Sicherheitskonfiguration ein anderes Signaturobjekt zuweisen.

Wenn Sie auf Neue Signatur erstellen klicken, können Sie den Bearbeitungsmodus als Einfach oder Erweitert wählen.

  1. Signaturschutz angeben (Einfacher Modus)

Der einfache Modus ermöglicht eine einfache Konfiguration der Signatur mit einer voreingestellten Liste von Schutzdefinitionen für gängige Anwendungen wie IIS (Internet Information Server), PHP und ActiveX. Die Standardkategorien im einfachen Modus sind:

  • CGI. Schutz vor Angriffen auf Websites, die CGI-Skripte in jeder Sprache verwenden, einschließlich PERL-Skripten, Unix-Shell-Skripten und Python-Skripten.

  • Cold Fusion. Schutz vor Angriffen auf Websites, die die Adobe Systems® ColdFusion® Web-Entwicklungsplattform verwenden.

  • FrontPage. Schutz vor Angriffen auf Websites, die die Microsoft® FrontPage® Webentwicklungsplattform verwenden.

  • PHP. Schutz vor Angriffen auf Websites, die die PHP Open-Source-Webentwicklungs-Skriptsprache verwenden.

  • Client side. Schutz vor Angriffen auf clientseitige Tools für den Zugriff auf geschützte Websites wie Microsoft Internet Explorer, Mozilla Firefox, Opera-Browser und Adobe Acrobat Reader.

  • Microsoft IIS. Schutz vor Angriffen auf Websites, auf denen Microsoft Internet Information Server (IIS) ausgeführt wird

  • Sonstiges. Schutz vor Angriffen auf andere serverseitige Tools wie Webserver und Datenbankserver.

Auf diesem Bildschirm wählen Sie die Aktionen aus, die den Signaturkategorien zugeordnet sind, die Sie auf dem Bildschirm Signaturen auswählen ausgewählt haben. Die Aktionen, die Sie konfigurieren können, sind:

  • Blockieren
  • Protokoll
  • Statistiken

Standardmäßig sind die Aktionen Protokoll und Statistik aktiviert, aber nicht die Aktion Blockieren. Klicken Sie zum Konfigurieren von Aktionen auf Einstellungen. Sie können die Aktionseinstellungen aller ausgewählten Kategorien über das Dropdown-Menü Aktion ändern.

  1. Signaturschutz angeben (erweiterter Modus)

Der erweiterte Modus ermöglicht eine genauere Kontrolle über die Signaturdefinitionen und bietet deutlich mehr Informationen. Verwenden Sie den erweiterten Modus, wenn Sie vollständige Kontrolle über die Signaturdefinition wünschen.

Der Inhalt dieses Bildschirms entspricht dem Inhalt des Dialogfelds Signaturobjekt ändern, wie unter beschrieben Konfigurieren oder Ändern eines Signatur-Objekts. In diesem Bildschirm können Sie Aktionen konfigurieren, indem Sie auf das Dropdown-Menü Aktionen oder auf das Aktionsmenü klicken, das als Kreis mit drei Punkten angezeigt wird.

7. Deep Protections angeben: Auf diesem Bildschirm wählen Sie den erweiterten Schutz (auch Sicherheitsprüfungen oder einfach Überprüfungen genannt), mit dem Sie Ihre Websites und Webdienste schützen möchten. Welche Prüfungen verfügbar sind, hängt vom Profiltyp ab, den Sie im Fenster Name angeben ausgewählt haben. Alle Prüfungen sind für Web 2.0-Anwendungsprofile verfügbar.

Weitere Informationen finden Sie unter Übersicht über Sicherheitsprüfungen und unter Erweiterte Formularschutzprüfungen.

Sie konfigurieren die Aktionen für den erweiterten Schutz, den Sie aktiviert haben.Die Aktionen, die Sie konfigurieren können, sind:

  • Block: Blockiert Verbindungen, die mit der Signatur übereinstimmen. Diese Funktion ist standardmäßig deaktiviert.
  • Protokoll: Protokolliert Verbindungen, die mit der Signatur übereinstimmen, für eine spätere Analyse. Standardmäßig aktiviert.
  • Statistiken: verwaltet Statistiken für jede Signatur, die zeigen, wie viele Verbindungen sie übereinstimmten, und geben bestimmte andere Informationen über die Arten von Verbindungen, die blockiert wurden. Diese Funktion ist standardmäßig deaktiviert.
  • Lernen. Beobachten Sie den Datenverkehr zu dieser Website oder Webdienst, und verwenden Sie Verbindungen, die wiederholt gegen diese Prüfung verstoßen, um empfohlene Ausnahmen für die Prüfung oder neue Regeln für die Prüfung zu generieren. Nur für einige Schecks verfügbar. Weitere Informationen zur Lernfunktion finden Sie unterKonfigurieren und Verwenden der Lernfunktion, wie das Lernen funktioniert und wie Sie Ausnahmen (Relaxationen) konfigurieren oder erlernte Regeln für eine Prüfung bereitstellen, finden Sie unter .

Um Aktionen zu konfigurieren, aktivieren Sie den Schutz, indem Sie auf das Kontrollkästchen klicken, und klicken Sie dann auf Aktionseinstellungen, um die erforderlichen Aktionen auszuwählen. Wählen Sie ggf. andere Parameter aus, und klicken Sie dann auf OK, um das Fenster Aktionseinstellungen zu schließen.

Um alle Protokolle für eine bestimmte Prüfung anzuzeigen, wählen Sie diese Prüfung aus, und klicken Sie dann auf Protokolle, um den Syslog-Viewer anzuzeigen, wie unter beschrieben Web App Firewall Protokolle. Wenn eine Sicherheitsprüfung den legitimen Zugriff auf Ihre geschützte Website oder Ihren Webdienst blockiert, können Sie eine Entspannung für diese Sicherheitsprüfung erstellen und implementieren, indem Sie ein Protokoll auswählen, das die unerwünschte Blockierung anzeigt, und klicken Sie dann auf Bereitstellen.

Nachdem Sie die Aktionseinstellungen festgelegt haben, klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

Im Folgenden finden Sie vier Verfahren, die zeigen, wie bestimmte Konfigurationstypen mithilfe des Web App Firewall Assistenten ausgeführt werden.

Erstellen einer neuen Konfiguration

Gehen Sie folgendermaßen vor, um mithilfe des Applicaiton Firewall-Assistenten eine neue Firewall-Konfiguration und Signaturobjekte zu erstellen.

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.

  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungsfirewall. Der Assistent wird geöffnet.

    Assistent

  3. Wählen Sie im Fenster Name angeben die Option Neue Konfiguration erstellen aus.

  4. Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.

  5. Klicken Sie im Fenster Regel angeben erneut auf Weiter.

  6. Wählen Sie im Bildschirm Signaturen auswählen die Option Neue Signatur erstellen und Einfach als Bearbeitungsmodus aus, und klicken Sie dann auf Weiter.

  7. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen. Weitere Informationen dazu, welche Signaturen für die Blockierung berücksichtigt werden sollen und wie Sie feststellen können, wann Sie die Sperrung für eine Signatur sicher aktivieren können, finden Sie unterSignaturen.

  8. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.

  9. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Fertig stellen, um den Assistenten für die Anwendungsfirewall zu schließen.

Ändern einer vorhandenen Konfiguration

Gehen Sie folgendermaßen vor, um eine vorhandene Konfiguration und vorhandene Signaturkategorien zu ändern.

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.
  3. Wählen Sie im Fenster Name angeben die Option Vorhandene Konfiguration ändern aus, und wählen Sie in der Dropdownliste Name die Sicherheitskonfiguration aus, die Sie während der neuen Konfiguration erstellt haben, und klicken Sie dann auf Weiter .
  4. Klicken Sie im Fenster Regel angeben auf “Weiter”, um den Standardwert “true” beizubehalten. Wenn Sie die Regel ändern möchten, führen Sie die unter beschriebenen Schritte ausKonfigurieren einer benutzerdefinierten Richtlinienausgabe.
  5. Klicken Sie im Bildschirm Signaturen auswählen auf Vorhandene Signatur auswählen. Wählen Sie im Dropdown-Menü Vorhandene Signatur die entsprechende Option aus, und klicken Sie dann auf Weiter. Der erweiterte Signaturschutz wird angezeigt. Hinweis: Wenn Sie eine vorhandene Signatur auswählen, wird der Standard-Bearbeitungsmodus für die geschützte Signatur erweitert.
  6. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen, und klicken Sie auf Weiter. Weitere Informationen dazu, welche Signaturen für die Blockierung zu berücksichtigen sind und wie Sie feststellen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unter .Signaturen
  7. Konfigurieren Sie im Fenster Deep Protections angeben die Einstellungen, und klicken Sie auf Weiter .
  8. Klicken Sie nach dem Abschluss auf Fertig stellen, um den Web App Firewall Assistenten zu schließen.

Erstellen einer neuen Konfiguration ohne Signaturen

Gehen Sie folgendermaßen vor, um den Anwendungs-Firewall-Assistenten zu verwenden, um den Bildschirm Signaturen auswählen zu überspringen und eine neue Konfiguration mit nur dem Profil und den zugehörigen Richtlinien ohne Signaturen zu erstellen.

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.
  3. Wählen Sie im Fenster Name angeben die Option Neue Konfiguration erstellen aus.
  4. Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.
  5. Klicken Sie im Fenster Regel angeben noch einmal auf Next.
  6. Klicken Sie im Bildschirm Signaturen auswählen auf Überspringen.
  7. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
  8. Klicken Sie nach Abschluss auf Fertig stellen, um den Assistenten für die Anwendungsfirewall zu schließen.

Konfigurieren eines benutzerdefinierten Richtlinienausdrucks

Gehen Sie folgendermaßen vor, um mithilfe des Anwendungs-Firewall-Assistenten eine spezielle Sicherheitskonfiguration zu erstellen, um nur bestimmte Inhalte zu schützen. In diesem Fall erstellen Sie eine neue Sicherheitskonfiguration, anstatt die Erstkonfiguration zu ändern. Für diese Sicherheitskonfiguration ist eine benutzerdefinierte Regel erforderlich, damit die Richtlinie die Konfiguration nur auf den ausgewählten Webdatenverkehr anwendet.

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent.
  3. Geben Sie im Fenster Name angeben einen Namen für die neue Sicherheitskonfiguration in das Textfeld Name ein, wählen Sie den Typ der Sicherheitskonfiguration aus der Dropdownliste Typ aus, und klicken Sie dann auf Weiter.
  4. Geben Sie im Fenster Regel angeben eine Regel ein, die nur dem Inhalt entspricht, den diese Webanwendung schützen soll. Verwenden Sie die Dropdownliste Häufig verwendete Ausdrücke und den Ausdruckseditor, um einen benutzerdefinierten Ausdruck zu erstellen. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Weiter.
  5. Wählen Sie im Bildschirm Signaturen auswählen den Bearbeitungsmodus aus, und klicken Sie dann auf Weiter .
  6. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen.
  7. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
  8. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Fertig stellen, um den Anwendungs-Firewall-Assistenten zu schließen.

Der Web App Firewall Assistent