Citrix ADC

Verwalten von Inhaltstypen

Webserver fügen für jeden Inhaltstyp einen Content-Type-Header mit einer MIME/Typ-Definition hinzu. Webserver bedienen viele verschiedene Arten von Inhalten. Zum Beispiel wird Standard-HTML der MIME-Typ text/html zugewiesen. JPG-Bildern werden dem Inhaltstyp image/jpeg oder image/jpg zugewiesen. Ein normaler Webserver kann verschiedene Inhaltstypen bereitstellen, die alle im Content Type Header durch den zugewiesenen MIME/Type definiert sind.

Viele Web App Firewall Filterregeln dienen dem Filtern eines bestimmten Inhaltstyps. Die Filterregeln gelten für einen Inhaltstyp wie HTML und sind oft ungeeignet, wenn ein anderer Inhaltstyp (z. B. Bilder) gefiltert wird. Daher versucht die Web App Firewall, den Inhaltstyp von Anforderungen und Antworten zu bestimmen, bevor sie gefiltert werden. Wenn ein Webserver oder Browser einer Anforderung oder Antwort keinen Content-Type-Header hinzufügt, wendet die Web App Firewall einen Standard-Inhaltstyp an und filtert den Inhalt entsprechend.

Der Standard-Inhaltstyp ist normalerweise “application/octet-stream” mit der generischsten MIME/Typ-Definition. Der MIME/Typ ist für jeden Inhaltstyp geeignet, den ein Webserver wahrscheinlich bereitstellen wird. Der Web App Firewall stellt jedoch nicht viele Informationen zur Verfügung, damit die entsprechende Filterung ausgewählt werden kann. Wenn ein geschützter Webserver so konfiguriert ist, dass genaue Inhaltstypheader hinzugefügt werden, können Sie dann ein Profil für den Webserver erstellen und ihm einen Standard-Inhaltstyp zuweisen. Dies geschieht, um sowohl die Geschwindigkeit als auch die Genauigkeit der Filterung zu verbessern.

Sie können auch eine Liste der zulässigen Anforderungsinhaltstypen für ein bestimmtes Profil konfigurieren. Wenn diese Funktion konfiguriert ist und die Web App Firewall eine Anforderung filtert, die nicht mit einem der zulässigen Inhaltstypen übereinstimmt, blockiert sie die Anforderung. Nach dem Upgrade von Version 10.5 auf 11.0 werden unbekannte Inhaltstypen, die nicht in der Standardliste für zulässige Inhaltstypen enthalten sind, nicht gebunden. Sie können andere Inhaltstypen hinzufügen, die Sie den entspannten Regeln erlauben möchten.

Anfragen müssen immer entweder vom Typ “application/x-www-form-urlencoded”, “multipart/form-data” oder “text/x-gwt-rpc” sein. Die Web App Firewall blockiert alle Anforderungen, die einen anderen Inhaltstyp festgelegt haben.

Hinweis:

Sie können die Inhaltstypen application/x-www-form-urlencoded oder multipart/form-data nicht in die Liste der zulässigen Antwort-Inhaltstypen aufnehmen.

So legen Sie den Standardanforderungsinhaltstyp mit der Befehlszeilenschnittstelle fest

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw profile <name> -requestContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp text/html als Standard für das angegebene Profil festgelegt:

set appfw profile profile1 -requestContentType "text/html"
save ns config

So entfernen Sie den benutzerdefinierten Standardanforderungstyp mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unset appfw profile <name> -requestContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Standardinhaltstyp text/html für das angegebene Profil aufgehoben, wodurch der Typ auf application/octet-stream zurückgesetzt wird:

unset appfw profile profile1 -requestContentType "text/html"
save ns config

Hinweis:

Verwenden Sie immer den letzten Content-Type-Header für die Verarbeitung und entfernen Sie verbleibende Content-Type-Header, falls vorhanden, die sicherstellt, dass der Back-End-Server eine Anforderung mit nur einem Inhaltstyp empfängt.

Um Anforderungen zu blockieren, die umgangen werden können, fügen Sie eine Web App Firewall Richtlinie mit der Regel HTTP.REQ.HEADER (“content-type”) .COUNT.GT (1) ‘und Profil als appfw_blockhinzu.

Wenn eine Anforderung ohne Content-Type-Header empfangen wird oder wenn die Anforderung Content-Type-Header ohne Wert hat, wendet Web App Firewall den konfigurierten RequestContentType-Wert an und verarbeitet die Anforderung entsprechend.

So legen Sie den Standard-Antwort-Inhaltstyp mit der Befehlszeilenschnittstelle fest

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw profile <name> -responseContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp text/html als Standard für das angegebene Profil festgelegt:

set appfw profile profile1 -responseContentType "text/html"
save ns config

So entfernen Sie den benutzerdefinierten Standardantwortinhaltstyp mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unset appfw profile <name> -responseContentType <type>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Standardinhaltstyp text/html für das angegebene Profil aufgehoben, wodurch der Typ auf application/octet-stream zurückgesetzt wird:

unset appfw profile profile1 -responseContentType "text/html"
save ns config

So fügen Sie mit der Befehlszeilenschnittstelle einen Inhaltstyp zur Liste zulässiger Inhaltstypen hinzu

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • bind appfw profile <name> -ContentType <contentTypeName>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp text/shtml zur Liste zulässiger Inhaltstypen für das angegebene Profil hinzugefügt:

bind appfw profile profile1 -contentType "text/shtml"
save ns config

So entfernen Sie einen Inhaltstyp aus der Liste zulässiger Inhaltstypen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • unbind appfw profile <name> -ContentType <contentTypeName>
  • save ns config

Beispiel

Im folgenden Beispiel wird der Inhaltstyp text/shtml aus der Liste zulässiger Inhaltstypen für das angegebene Profil entfernt:

unbind appfw profile profile1 -contentType "text/shtml"
save ns config

Verwalten von URL-kodierten und mehrteiligen Inhaltstypen

Mit der Citrix ADC Web App Firewall können Sie nun URLencoded und Multipart-Formular-Inhaltstypen für Formulare konfigurieren. Die Inhaltstypkonfiguration ähnelt XML- und JSON-Liste. Basierend auf der Konfiguration klassifiziert Web App Firewall die Anforderungen und prüft auf Inhaltstyp urlencoded oder multipart-form.

So konfigurieren Sie Web App Firewall-Profil mit Inhaltstypen urlencoded oder multipart-form Geben Sie an der Eingabeaufforderung Folgendes ein:

bind appfw profile p2 -contentType <string>

Beispiel:

bind appfw profile p2 -contentType UrlencodedFormContentType

bind appfw profile p2 -ContentType appfwmultipartform

So verwalten Sie die standardmäßigen und zulässigen Inhaltstypen mit der GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Profile .
  2. Wählen Sie im Detailbereich das Profil aus, das Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten. Das Dialogfeld Web App Firewall Profil konfigurieren wird angezeigt.
  3. Klicken Sie im Dialogfeld Web App Firewall Profil konfigurieren auf die Registerkarte Einstellungen.
  4. Führen Sie auf der Registerkarte Einstellungen einen Bildlauf nach unten in den Bereich Inhaltstyp durch.
  5. Konfigurieren Sie im Bereich Inhaltstyp den Standardinhaltstyp für Anforderung oder Antwort:
    • Um den Standardanforderungsinhaltstyp zu konfigurieren, geben Sie die MIME/Typ-Definition des Inhaltstyps, den Sie verwenden möchten, in das Textfeld Standardanforderung ein.
    • Um den Standardantwortinhaltstyp zu konfigurieren, geben Sie die MIME/Typ-Definition des Inhaltstyps, den Sie verwenden möchten, in das Textfeld Standardantwort ein.
    • Klicken Sie auf Hinzufügen, um einen neuen zulässigen Inhaltstyp zu erstellen. Das Dialogfeld Zulässigen Inhaltstyp hinzufügen wird angezeigt.
    • Um einen vorhandenen zulässigen Inhaltstyp zu bearbeiten, wählen Sie diesen Inhaltstyp aus, und klicken Sie dann auf Öffnen. Das Dialogfeld Zulässiger Inhaltstyp ändern wird angezeigt.
  6. Um die zulässigen Inhaltstypen zu verwalten, klicken Sie auf Zulässige Inhaltstypen verwalten.
  7. Um einen neuen Inhaltstyp hinzuzufügen oder einen vorhandenen Inhaltstyp zu ändern, klicken Sie auf Hinzufügen oder Öffnen, und führen Sie im Dialogfeld Zulässigen Inhaltstyp hinzufügen oder Zulässigen Inhaltstyp ändern die folgenden Schritte aus.
    1. Aktivieren bzw. deaktivieren Sie das Kontrollkästchen Aktiviert, um den Inhaltstyp in die Liste der zulässigen Inhaltstypen aufzunehmen oder ihn auszuschließen.

    2. Geben Sie im Textfeld Inhaltstyp einen regulären Ausdruck ein, der den Inhaltstyp beschreibt, den Sie hinzufügen möchten, oder ändern Sie den vorhandenen regulären Ausdruck des Inhaltstyps.

      Inhaltstypen werden genau wie MIME-Typbeschreibungen formatiert.

      Hinweis:

      Sie können jeden gültigen MIME-Typ in die Liste zulässiger Inhaltstypen aufnehmen. Da viele Dokumenttypen aktiven Inhalt enthalten können und daher potenziell bösartige Inhalte enthalten können, sollten Sie bei dem Hinzufügen von MIME-Typen zu dieser Liste Vorsicht walten lassen.

    3. Geben Sie eine kurze Beschreibung an, in der der Grund für das Hinzufügen dieses bestimmten MIME-Typs zur Liste zulässiger Inhaltstypen erläutert wird.

    4. Klicken Sie auf Erstellen oder OK, um die Änderungen zu speichern.

  8. Klicken Sie auf Schließen, um das Dialogfeld Zulässige Inhaltstypen verwalten zu schließen und zur Registerkarte Einstellungen zurückzukehren.
  9. Klicken Sie auf OK, um die Änderungen zu speichern.

So verwalten Sie URLencoded und Multipart-Formular-Inhaltstypen mit der Citrix ADC GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Profile .
  2. Wählen Sie im Detailbereich das Profil aus, das Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.
  3. Wählen Sie auf der Seite Web App Firewall Profil konfigurieren die Profileinstellungen im Abschnitt Erweiterte Einstellungen aus.
  4. Legen Sie im Abschnitt Geprüfte Inhaltstyp die folgenden Parameter fest:

    1. application/x-www-form-urlencoded. Aktivieren Sie das Kontrollkästchen, um den Inhaltstyp Urlencoded zu überprüfen.
    2. multipart/form-data. Aktivieren Sie die Prüfung, um den Inhaltstyp Multipart-Form zu überprüfen.
  5. Klicken Sie auf OK.

Verwalten von Inhalten