Funktionsweise der Web App Firewall

Wenn Sie die Web App Firewall installieren, erstellen Sie eine erste Sicherheitskonfiguration, die aus einer Richtlinie, einem Profil und einem Signaturobjekt besteht. Die Richtlinie ist eine Regel, die den zu filternden Datenverkehr identifiziert, und das Profil identifiziert die Muster und Verhaltenstypen, die erlaubt oder blockiert werden sollen, wenn der Datenverkehr gefiltert wird. Die einfachsten Muster, die als Signaturen bezeichnet werden, werden nicht innerhalb des Profils angegeben, sondern in einem Signaturobjekt, das dem Profil zugeordnet ist.

Eine Signatur ist eine Zeichenfolge oder ein Muster, die einer bekannten Art von Angriff entspricht. Die Web App Firewall enthält über tausend Signaturen in sieben Kategorien, die jeweils auf Angriffe auf bestimmte Arten von Webservern und Webinhalten gerichtet sind. Citrix aktualisiert die Liste mit neuen Signaturen, wenn neue Bedrohungen erkannt werden. Während der Konfiguration geben Sie die Signaturkategorien an, die für die zu schützenden Webserver und Inhalte geeignet sind. Signaturen bieten einen guten Grundschutz bei geringem Verarbeitungsaufwand. Wenn Ihre Anwendungen spezielle Schwachstellen aufweisen oder Sie einen Angriff gegen sie erkennen, für den keine Signatur vorhanden ist, können Sie eigene Signaturen hinzufügen.

Die fortgeschrittenen Schutzmaßnahmen werden als Sicherheitsprüfungen bezeichnet. Eine Sicherheitsprüfung ist eine strengere, algorithmische Überprüfung einer Anfrage nach bestimmten Mustern oder Verhaltenstypen, die auf einen Angriff hinweisen oder eine Bedrohung für Ihre geschützten Websites und Webdienste darstellen könnten. Sie kann beispielsweise eine Anforderung identifizieren, die versucht, eine bestimmte Art von Vorgang auszuführen, die die Sicherheit verletzen könnte, oder eine Antwort, die vertrauliche private Informationen wie eine Sozialversicherungsnummer oder Kreditkartennummer enthält. Während der Konfiguration geben Sie die Sicherheitsprüfungen an, die für die zu schützenden Webserver und Inhalte geeignet sind. Die Sicherheitsprüfungen sind restriktiv. Viele von ihnen können legitime Anfragen und Antworten blockieren, wenn Sie bei der Konfiguration keine entsprechenden Ausnahmen (Relaxationen) hinzufügen. Die Identifizierung der erforderlichen Ausnahmen ist nicht schwierig, wenn Sie die adaptive Lernfunktion verwenden, die die normale Nutzung Ihrer Website beobachtet und empfohlene Ausnahmen erstellt.

Die Web App Firewall kann entweder als Layer 3-Netzwerkgerät oder als Layer 2-Netzwerkbrücke zwischen Ihren Servern und Ihren Benutzern installiert werden, normalerweise hinter dem Router oder der Firewall Ihres Unternehmens. Er muss an einem Ort installiert sein, an dem er den Datenverkehr zwischen den zu schützenden Webservern und dem Hub abfangen kann oder über den Benutzer auf diese Webserver zugreifen kann. Anschließend konfigurieren Sie das Netzwerk so, dass Anforderungen an die Web App Firewall anstatt direkt an Ihre Webserver gesendet werden, und Antworten auf die Web App Firewall statt direkt an Ihre Benutzer. Die Web App Firewall filtert diesen Datenverkehr, bevor er an das endgültige Ziel weiterleitet. Dabei wird sowohl der interne Regelsatz als auch die Ergänzungen und Änderungen verwendet. Es blockiert oder macht harmlos alle Aktivitäten, die es als schädlich erkennt, und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Die folgende Abbildung gibt einen Überblick über den Filterprozess.

Hinweis:

Die Abbildung lässt die Anwendung einer Richtlinie auf eingehenden Datenverkehr auslassen. Es zeigt eine Sicherheitskonfiguration, in der die Richtlinie alle Anforderungen verarbeiten soll. Außerdem wurde in dieser Konfiguration ein Signaturobjekt konfiguriert und dem Profil zugeordnet, und Sicherheitsprüfungen wurden im Profil konfiguriert.

Abbildung 1. Ein Flussdiagramm der Web App Firewall Filterung

Flussdiagramm für Web App Firewall

Wie die Abbildung zeigt, überprüft die Web App Firewall, wenn ein Benutzer eine URL auf einer geschützten Website anfordert, zuerst die Anforderung, um sicherzustellen, dass sie nicht mit einer Signatur übereinstimmt. Wenn die Anforderung mit einer Signatur übereinstimmt, zeigt die Web App Firewall entweder das Fehlerobjekt an (eine Webseite, die sich auf der Web App Firewall-App-Anwendung befindet und die Sie mit der Importfunktion konfigurieren können) oder leitet die Anforderung an die angegebene Fehler-URL (Fehlerseite) weiter. Signaturen benötigen nicht so viele Ressourcen wie Sicherheitsprüfungen. Das Erkennen und Beenden von Angriffen, die von einer Signatur erkannt werden, bevor eine der Sicherheitsprüfungen ausgeführt wird, verringert die Belastung des Servers.

Wenn eine Anforderung die Signaturprüfung bestanden hat, wendet die Web App Firewall die aktivierten Anforderungssicherheitsprüfungen an. Die Anforderungssicherheitsprüfungen stellen sicher, dass die Anforderung für Ihre Website oder Ihren Webdienst geeignet ist und kein Material enthält, das eine Bedrohung darstellen könnte. Beispielsweise untersuchen Sicherheitsprüfungen die Anforderung auf Zeichen, die darauf hindeuten, dass es sich um einen unerwarteten Typ handelt, unerwarteten Inhalt anfordern oder unerwartete und möglicherweise bösartige Webformulardaten, SQL-Befehle oder Skripts enthalten. Wenn die Anforderung eine Sicherheitsprüfung fehlschlägt, bereinigt die Web App Firewall die Anforderung entweder und sendet sie dann an die Citrix ADC Appliance (oder die virtuelle Citrix ADC-Appliance) oder zeigt das Fehlerobjekt an. Wenn die Anforderung die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die jede andere Verarbeitung abschließt und die Anforderung an den geschützten Webserver weiterleitet.

Wenn die Website oder der Webdienst eine Antwort an den Benutzer sendet, wendet die Web App Firewall die aktivierten Antwortsicherheitsprüfungen an. Bei den Überprüfungen der Antwortsicherheit wird die Reaktion auf Lecks vertraulicher Daten, Anzeichen einer Verflechtung von Websites oder andere Inhalte untersucht, die nicht vorhanden sein sollten. Wenn die Antwort eine Sicherheitsprüfung fehlschlägt, entfernt die Web App Firewall entweder den Inhalt, der nicht vorhanden sein sollte, oder blockiert die Antwort. Wenn die Antwort die Sicherheitsprüfungen bestanden hat, wird sie an die Citrix ADC Appliance zurückgesendet, die sie an den Benutzer weiterleitet.

Funktionen der Web App Firewall

Die grundlegenden Funktionen der Web App Firewall sind Richtlinien, Profile und Signaturen, die ein hybrides Sicherheitsmodell bereitstellenBekannte Web-Angriffe/de-de/citrix-adc/13/application-firewall/introduction/web-application-security.html[()],Unbekannte Webangriffe[]wie unter, /de-de/citrix-adc/13/application-firewall/introduction/web-application-security.html()undFunktionsweise der Web App Firewall/de-de/citrix-adc/13/application-firewall/introduction/how-application-firewall-works.html[()]. Besonders hervorzuheben ist die Lernfunktion, die den Datenverkehr zu Ihren geschützten Anwendungen beobachtet und geeignete Konfigurationseinstellungen für bestimmte Sicherheitsprüfungen empfiehlt.

Die Importfunktion verwaltet Dateien, die Sie in die Web App Firewall hochladen. Diese Dateien werden dann von der Web App Firewall bei verschiedenen Sicherheitsprüfungen oder bei der Reaktion auf eine Verbindung verwendet, die einer Sicherheitsprüfung entspricht.

Sie können die Protokolle, Statistiken und Berichte verwenden, um die Leistung der Web App Firewall auszuwerten und mögliche Anforderungen für zusätzlichen Schutz zu ermitteln.

Funktionsweise der Web App Firewall