Engine-Einstellungen

Die Engine-Einstellungen wirken sich auf alle Anforderungen und Antworten aus, die die Web App Firewall verarbeitet. Dazu gehören die folgenden Elemente:

  • Cookie-Name— Der Name des Cookies, in dem die Citrix ADC -Sitzungs-ID gespeichert ist.
  • Sitzungszeitüberschreitung— Der maximal zulässige inaktive Zeitraum. Wenn eine Benutzersitzung für diese Dauer keine Aktivität anzeigt, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen.
  • Cookie-Präfix nach Verschlüsselung— Die Zeichenfolge, die dem verschlüsselten Teil verschlüsselter Cookies vorausgeht.
  • Maximale Sitzungslebensdauer: Die maximale Zeitdauer (in Sekunden), in der eine Sitzung live bleiben darf. Nachdem dieser Zeitraum erreicht ist, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen. Diese Einstellung darf nicht kleiner sein als das Sitzungszeitlimit. Um diese Einstellung zu deaktivieren, so dass keine maximale Sitzungslebensdauer vorhanden ist, setzen Sie den Wert auf Null (0).
  • Logging Headername— Der Name des HTTP-Headers, der die Client-IP enthält, für die Protokollierung.
  • Undefiniertes Profil— Das Profil, das angewendet wird, wenn die entsprechende Richtlinienaktion als nicht definiert ausgewertet wird.
  • Standardprofil— Das Profil, das auf Verbindungen angewendet wird, die nicht mit einer Richtlinie übereinstimmen.
  • Importgrößenbeschränkung— Die maximale kumulative Gesamtbyteanzahl aller in die Appliance importierten Dateien, einschließlich Signaturen, WSDLs, Schemas, HTML- und XML-Fehlerseiten. Wenn während eines Imports die Größe des importierten Objekts dazu führen würde, dass die kumulativen Gesamtgrößen aller importierten Dateien den konfigurierten Grenzwert überschreitet, schlägt der Importvorgang fehl, und die Appliance zeigt die folgende Fehlermeldung an: FEHLER: Import fehlgeschlagen - Überschreiten der konfigurierten Gesamtgrößengrenze für die importierte Objekte.
  • Grenzwert für Lernnachrichten: Die maximale Anzahl von Anfragen und Antworten pro Sekunde, die die Lern-Engine verarbeiten soll. Zusätzliche Anfragen oder Antworten über dieses Limit werden nicht an die Lern-Engine gesendet.
  • Entitätsdekodierung— Dekodieren von HTML-Entitäten bei der Ausführung von Web App Firewall Prüfungen.
  • Fehlerhafte Anforderung protokollieren— Aktivieren Sie die Protokollierung von fehlerhaften HTTP-Anforderungen.
  • Konfigurierbarer geheimer Schlüsselverwenden — Verwenden Sie einen konfigurierbaren geheimen Schlüssel für Web App Firewall Vorgänge.
  • Gelernte Daten zurücksetzen— Entfernen Sie alle gelernten Daten aus der Web App Firewall. Startet den Lernprozess neu, indem neue Daten gesammelt werden.

Zwei Einstellungen, Gelernte Daten zurücksetzen und Signaturen Auto-Update, werden an verschiedenen Stellen gefunden, je nachdem, ob Sie die Befehlszeile oder die GUI verwenden, um Ihre Web App Firewall zu konfigurieren. Wenn Sie die Befehlszeile verwenden, konfigurieren Sie Zurücksetzen Gelernte Daten mithilfe des Befehls reset appfw learningdata, der keine Parameter akzeptiert und keine anderen Funktionen hat. Sie konfigurieren Signaturen Auto-Update im Befehl set appfw settings: Der Parameter -signatureAutoUpdate aktiviert oder deaktiviert die automatische Aktualisierung der Signaturen, und -signatureURL konfiguriert die URL, die die aktualisierte Signaturdatei hostet.

Wenn Sie die GUI verwenden, konfigurieren Sie Gelernte Daten zurücksetzen unter Sicherheit > Web App Firewall > Moduleinstellungen. Die Schaltfläche Gelernte Daten zurücksetzen ist unten im Dialogfeld. Sie konfigurieren Signaturen Auto-Update für jeden Satz von Signaturen unter Sicherheit > Web App Firewall > Signaturen, indem Sie die Signaturdatei auswählen, mit der rechten Maustaste klicken und Einstellungen für automatische Updates auswählen.

Normalerweise sind die Standardwerte für die Web App Firewall Einstellungen korrekt. Wenn die Standardeinstellungen einen Konflikt mit anderen Servern verursachen oder eine vorzeitige Trennung der Benutzer verursachen, müssen Sie diese jedoch möglicherweise ändern.

Das Sitzungslimit der Web App Firewall kann mit dem folgenden Befehl konfiguriert werden:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

So konfigurieren Sie Engine-Einstellungen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

Beispiel

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

So konfigurieren Sie Engine-Einstellungen mit der GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall
  2. Klicken Sie im Detailbereich auf Moduleinstellungen ändern.
  3. Legen Sie im Dialogfeld Einstellungen für Web App Firewall die folgenden Parameter fest:
    • Cookie-Name

    • Sitzungszeitüberschreitung

    • Präfix für Cookie-Post verschlüsseln

    • Maximale Sitzungslebensdauer

    • Protokollierungskopfname

    • Nicht definiertes Profil

    • Standardprofil

    • Import-Größenbeschränkung

    • Learn Messages Rate Limit

    • Entitätsdekodierung

    • Fehlformatierte Anforderung protokollieren

    • Geheimer Schlüssel verwenden

    • Learn Message Rate Limit

    • Signaturen automatisch aktualisieren

  4. Klicken Sie auf OK.