Citrix ADC

Einfuhren

Mehrere Funktionen der Web App Firewall verwenden externe Dateien, die Sie bei der Konfiguration in die Web App Firewall hochladen. mit der GUI verwalten Sie diese Dateien im Bereich Importieren, der vier Registerkarten enthält, die den vier zu importierenden Dateitypen entsprechen: HTML-Fehlerobjekte, XML-Fehlerobjekte, XML-Schemas und WSDL-Dateien (Web Services Description Language). Mit der Citrix ADC Befehlszeile können Sie diese Dateitypen importieren, diese jedoch nicht exportieren.

HTML-Fehlerobjekt

Wenn die Verbindung eines Benutzers zu einer HTML- oder Web-2.0-Seite blockiert wird oder ein Benutzer nach einer nicht vorhandenen HTML- oder Web-2.0-Seite fragt, sendet die Web App Firewall eine HTML-basierte Fehlerantwort an den Browser des Benutzers. Wenn Sie konfigurieren, welche Fehlerantwort die Web App Firewall verwenden soll, haben Sie zwei Möglichkeiten:

  • Sie können eine Umleitungs-URL konfigurieren, die auf jedem Webserver gehostet werden kann, auf den Benutzer auch Zugriff haben. Wenn auf Ihrem Webserver beispielsweise eine benutzerdefinierte Fehlerseite 404.html vorhanden ist, können Sie die Web App Firewall so konfigurieren, dass Benutzer zu dieser Seite umgeleitet werden, wenn eine Verbindung blockiert wird.
  • Sie können ein HTML-Fehlerobjekt konfigurieren, bei dem es sich um eine HTML-basierte Webseite handelt, die auf der Web App Firewall selbst gehostet wird. Wenn Sie diese Option auswählen, müssen Sie das HTML-Fehlerobjekt in die Web App Firewall hochladen. Dies tun Sie im Bereich Importe auf der Registerkarte HTML-Fehlerobjekt.

Das Fehlerobjekt muss eine Standard-HTML-Datei sein, die keine Nicht-HTML-Syntax enthält, außer für die Anpassungsvariablen für die Web App Firewall Fehlerobjekte. Es kann keine CGI-Skripte, serveranalysierten Code oder PHP-Code enthalten. Mit den Anpassungsvariablen können Sie Informationen zur Problembehandlung in das Fehlerobjekt einbetten, das der Benutzer erhält, wenn eine Anforderung blockiert wird. Obwohl die meisten Anforderungen, die die Web App Firewall blockiert, unrechtmäßig sind, kann sogar eine ordnungsgemäß konfigurierte Web App Firewall gelegentlich legitime Anforderungen blockieren, insbesondere wenn Sie sie zum ersten Mal bereitstellen oder nachdem Sie wesentliche Änderungen an Ihren geschützten Websites vorgenommen haben. Indem Sie Informationen in die Fehlerseite einbetten, geben Sie dem Benutzer die Informationen an, die er dem technischen Support-Mitarbeiter mitteilen muss, damit etwaige Probleme behoben werden können.

Die Anpassungsvariablen der Web App Firewall auf der Fehlerseite lauten:

  • $ {NS_TRANSACTION_ID}. Die Transaktions-ID, die die Web App Firewall dieser Transaktion zugewiesen hat.
  • $ {NS_APPFW_SESSION_ID}. Die Sitzungs-ID der Web App Firewall.
  • $ {NS_APPFW_VIOLATION_CATEGORY}. Die bestimmte Sicherheitsüberprüfung oder Regel der Web App Firewall, die verletzt wurde.
  • $ {NS_APPFW_VIOLATION_LOG}. Die ausführliche Fehlermeldung im Zusammenhang mit der Verletzung.

  • ${COOKIE Der Inhalt des angegebenen Cookies. Ersetzen Sie für<CookieName>den Namen des spezifischen Cookies, das Sie auf der Fehlerseite anzeigen möchten. Wenn Sie mehrere Cookies haben, deren Inhalt Sie zur Fehlerbehebung anzeigen möchten, können Sie mehrere Instanzen dieser Anpassungsvariablen verwenden, die jeweils mit dem entsprechenden Cookie-Namen versehen sind. Hinweis: Wenn Sie die Blockierung für die Cookie-Konsistenzprüfung aktiviert haben, werden blockierte Cookies nicht auf der Fehlerseite angezeigt, da die Web App Firewall sie blockiert.

Um diese Variablen zu verwenden, betten Sie sie in den HTML oder XML des Fehlerseitenobjekts ein, als wären sie eine gewöhnliche Textzeichenfolge. Wenn dem Benutzer das Fehlerobjekt angezeigt wird, ersetzt die Web App Firewall für jede Anpassungsvariable die Informationen, auf die sich die Variable bezieht. Eine Beispiel-HTML-Fehlerseite, die benutzerdefinierte Variablen verwendet, ist unten dargestellt.

<!doctype html public "-//w3c//dtd html 4.0//en">  <html>  <head>  <title>Page Not Accessible</title>  </head>  <body>  <h1>Page Not Accessible</h1>  <p>The page that you accessed is not available. You can:</p>  <ul>  <li>return to the <b><a href="[homePage]">home page</a></b>, re-establish your session, and try again, or,</li>  <li>report this incident to the help desk via <b><a href="mailto:[helpDeskEmailAddress]">email</a></b> or by calling [helpDeskPhoneNumber].</li>  </ul>  <p>If you contact the help desk, please provide the following information:</p>  <table cellpadding=8 width=80%>  <tr><th align="right" width=30%>Transaction ID:</th><td align="left" valign="top" width=70%>${NS_TRANSACTION_ID}</td></tr>  <tr><th align="right" width=30%>Session ID:</th><td align="left" valign="top" width=70%>${NS_APPFW_SESSION_ID}</td></tr>  <tr><th align="right" width=30%>Violation Category:</th><td align="left" valign="top" width=70%>${NS_APPFW_VIOLATION_CATEGORY}</td></tr>  <tr><th align="right" width=30%>Violation Log:</th><td align="left" valign="top" width=70%>${NS_APPFW_VIOLATION_LOG}</td></tr>  <tr><th align="right" width=30%>Cookie Name:</th><td align="left" valign="top" width=70%>${COOKIE("[cookieName]")}</td></tr>  </table>  <body>  <html>

Um diese Fehlerseite zu verwenden, kopieren Sie sie in einen Text- oder HTML-Editor. Ersetzen Sie die entsprechenden lokalen Informationen für die folgenden Variablen, die in eckigen Klammern eingeschlossen sind, um sie von den Citrix ADC Variablen zu unterscheiden. (Lassen Sie diese unverändert.):

  • [homePage]. Die URL für die Homepage Ihrer Website.
  • [helpDeskEmailAddress]. Die E-Mail-Adresse, die Benutzer verwenden sollen, um blockierende Vorfälle zu melden.
  • [helpDeskPhoneNumber]. Die Telefonnummer, die Benutzer anrufen sollen, um blockierende Vorfälle zu melden.
  • [cookieName]. Der Name des Cookies, dessen Inhalt Sie auf der Fehlerseite anzeigen möchten.

XML-Fehlerobjekt

Wenn die Verbindung eines Benutzers zu einer XML-Seite blockiert wird oder ein Benutzer nach einer nicht vorhandenen XML-Anwendung fragt, sendet die Web App Firewall eine XML-basierte Fehlerantwort an den Browser des Benutzers. Sie konfigurieren die Fehlerantwort, indem Sie eine XML-basierte Fehlerseite in die Web App Firewall im Bereich Importe auf der Registerkarte XML-Fehlerobjekt hochladen. Alle XML-Fehlerantworten werden auf der Web App Firewall gehostet. Sie können keine Umleitungs-URL für XML-Anwendungen konfigurieren.

Hinweis: Sie können dieselben Anpassungsvariablen in einem XML-Fehlerobjekt verwenden wie in einem HTML-Fehlerobjekt.

XML-Schema

Wenn die Web App Firewall eine Validierungsprüfung für die Anforderung eines Benutzers für eine XML- oder Web 2.0-Anwendung durchführt, kann sie die Anforderung anhand des XML-Schemas oder des Entwurfsdokuments (DTD) für diese Anwendung validieren und jede Anforderung ablehnen, die dem Schema oder der DTD nicht entspricht. Sowohl ein XML-Schema als auch eine DTD sind Standard-XML-Konfigurationsdateien, die die Struktur eines bestimmten XML-Dokumenttyps beschreiben.

WSDL

Wenn die Web App Firewall eine Validierungsprüfung für die Anforderung eines Benutzers für einen XML-SOAP-basierten Webdienst durchführt, kann sie die Anforderung anhand der WSDL-Datei (Web Services Type Definition) für diesen Webdienst validieren. Eine WSDL-Datei ist eine standardmäßige XML-SOAP-Konfigurationsdatei, die die Elemente eines bestimmten XML-SOAP-Webdienstes definiert.

Einfuhren