Erstellen und Konfigurieren von Web App Firewall Richtlinien

Eine Firewallrichtlinie besteht aus zwei Elementen: einer Regelund einem zugeordneten Profil. Die Regel wählt den HTTP-Datenverkehr aus, der den festgelegten Kriterien entspricht, und sendet diesen Datenverkehr zur Filterung an die Web App Firewall. Das Profil enthält die Filterkriterien, die die Web App Firewall verwendet.

Die Richtlinienregel besteht aus einem oder mehreren Ausdrücken in der Citrix ADC Ausdruckssprache. Die Syntax von Citrix ADC Ausdrücken ist eine leistungsstarke, objektorientierte Programmiersprache, mit der Sie den Datenverkehr, den Sie mit einem bestimmten Profil verarbeiten möchten, genau bestimmen können. Für Benutzer, die mit der Sprachsyntax von Citrix ADC Ausdrücken nicht vollständig vertraut sind oder ihre Citrix ADC-Appliance mithilfe einer webbasierten Schnittstelle konfigurieren möchten, stellt die grafische Benutzeroberfläche zwei Tools bereit: das Menü Präfix und das Dialogfeld Ausdruck hinzufügen. Beide helfen Ihnen beim Schreiben von Ausdrücken, die genau den Datenverkehr auswählen, den Sie verarbeiten möchten. Erfahrene Benutzer, die mit der Syntax vertraut sind, bevorzugen möglicherweise die Citrix ADC Befehlszeile, um ihre Citrix ADC-Appliances zu konfigurieren.

Hinweis: Zusätzlich zur Syntax von Standardausdrücken unterstützt das Citrix ADC Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax für klassische Citrix ADC-Ausdrücke auf Citrix ADC Classic- und nCore Appliances und virtuellen Appliances. Klassische Ausdrücke werden von Citrix ADC Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Citrix ADC Benutzer, die vorhandene Konfigurationen in den Citrix ADC Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.

Ausführliche Informationen zu den Sprachen für Citrix ADC Ausdrücke finden Sie unterRichtlinien und Ausdrücke.

Sie können eine Firewallrichtlinie mit der GUI oder der Citrix ADC Befehlszeile erstellen.

So erstellen und konfigurieren Sie eine Richtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add appfw policy <name><rule> <profileName>
  • save ns config

Beispiel

Im folgenden Beispiel wird eine Richtlinie mit dem Namen pl-blog mit einer Regel hinzugefügt, die den gesamten Datenverkehr zum oder vom Host blog.example.com abfängt und diese Richtlinie dem Profil pr-Blog zuordnet. Dies ist eine geeignete Richtlinie zum Schutz eines Blogs, der auf einem bestimmten Hostnamen gehostet wird.

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog

So erstellen und konfigurieren Sie eine Richtlinie mit der GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Richtlinien .

  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Klicken Sie auf Hinzufügen, um eine neue Firewall-Richtlinie zu erstellen. Die Richtlinie Web App Firewall erstellen wird angezeigt.
    • Um eine vorhandene Firewallrichtlinie zu bearbeiten, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.

    Die Richtlinie Web App Firewall erstellen oder Web App Firewall konfigurieren wird angezeigt.

  3. Wenn Sie eine neue Firewallrichtlinie erstellen, geben Sie im Dialogfeld Web App Firewall Richtlinie erstellen im Textfeld Richtlinienname einen Namen für die neue Richtlinie ein.

    Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstreichungssymbol beginnen und kann aus einem bis 128 Buchstaben, Zahlen und dem Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), Gleich (=), Doppelpunkt (:) und Unterstrich (_) bestehen.

    Wenn Sie eine vorhandene Firewallrichtlinie konfigurieren, ist dieses Feld schreibgeschützt. Sie können es nicht ändern.

  4. Wählen Sie in der Dropdownliste Profil das Profil aus, das Sie dieser Richtlinie zuordnen möchten. Sie können ein neues Profil erstellen, das Ihrer Richtlinie zugeordnet werden soll, indem Sie auf Neu klicken. Sie können ein vorhandenes Profil ändern, indem Sie auf Ändern klicken.

  5. Erstellen Sie im Textbereich Ausdruck eine Regel für Ihre Richtlinie.

    • Sie können eine Regel direkt in den Textbereich eingeben.
    • Sie können auf Präfix klicken, um den ersten Begriff für Ihre Regel auszuwählen, und folgen Sie den Anweisungen. Eine vollständige Beschreibung dieses Prozesses finden Sie unter[To Create an Web App Firewall Rule (Expression)](/en-us/netscaler/ns-gen-citrix ADC11-wrapper-con/ns-gen-appsec-wrapper-10-con/appfw-wrapper-con-10/appfw-policies-con/appfw-policies-firewall-configuring-tsk.html) \.
    • Sie können auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und es zum Erstellen der Regel verwenden. Eine[The Add Expression Dialog Box](/en-us/netscaler/ns-gen-Citrix ADC11-wrapper-con/ns-gen-appsec-wrapper-10-con/appfw-wrapper-con-10/appfw-policies-con/appfw-policies-firewall-tsk/appfw-policies-firewall-configuring-tsk.html vollständige Beschreibung dieses Prozesses finden Sie unter.
  6. Klicken Sie auf Erstellen oder OK, und klicken Sie dann auf Schließen .

So erstellen oder konfigurieren Sie eine Web App Firewall Regel (Ausdruck)

Die Richtlinienregel, auch Ausdruckgenannt, definiert den Webverkehr, den die Web App Firewall mithilfe des Profils filtert, das der Richtlinie zugeordnet ist. Wie andere Citrix ADC Richtlinienregeln (oder Ausdrücke) verwenden Web App Firewall Regeln die Syntax von Citrix ADC Ausdrücken. Diese Syntax ist leistungsstark, flexibel und erweiterbar. Es ist zu komplex, um in diesem Satz von Anweisungen vollständig zu beschreiben. Sie können das folgende Verfahren verwenden, um eine einfache Firewall-Richtlinienregel zu erstellen, oder Sie können sie als Überblick über den Richtlinienerstellungsprozess lesen.

  1. Wenn Sie dies noch nicht getan haben, navigieren Sie zum entsprechenden Speicherort im Web App Firewall Assistenten oder zur Citrix ADC GUI, um Ihre Richtlinienregel zu erstellen:

    • Wenn Sie eine Richtlinie im Web App Firewall Assistenten konfigurieren, klicken Sie im Navigationsbereich auf Web App-Firewall, klicken Sie dann im Detailbereich auf Web App-Firewall-Assistent, und navigieren Sie dann zum Fenster Regel angeben .
    • Wenn Sie eine Richtlinie manuell konfigurieren, erweitern Sie im Navigationsbereich Web App Firewall, Richtlinienund Firewall. Klicken Sie im Detailbereich auf Hinzufügen, um eine neue Richtlinie zu erstellen. Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Öffnen.
  2. Klicken Sie auf dem Bildschirm Regel angeben, im Dialogfeld Web App Firewall profil erstellen oder im Dialogfeld Web App Firewallprofil konfigurieren auf Präfix, und wählen Sie dann das Präfix für Ihren Ausdruck aus der Dropdownliste aus. Ihre Auswahlmöglichkeiten:

    • HTTP. Das HTTP-Protokoll. Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, die sich auf das HTTP-Protokoll bezieht.
    • SYS. Die geschützte Website (en). Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf den Empfänger der Anforderung bezieht.
    • CLIENT. Der Computer, der die Anforderung gesendet hat. Wählen Sie diese Option, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
    • SERVER. Der Computer, an den die Anforderung gesendet wurde. Wählen Sie diese Option, wenn Sie einen Aspekt des Empfängers der Anfrage untersuchen möchten.

    Nachdem Sie ein Präfix ausgewählt haben, zeigt die Web App Firewall ein zweiteiliges Eingabeaufforderungsfenster an, in dem die möglichen nächsten Optionen oben angezeigt werden, und eine kurze Erläuterung darüber, was die ausgewählte Auswahl am unteren Rand bedeutet.

  3. Wählen Sie Ihre nächste Amtszeit.

    Wenn Sie HTTP als Präfix gewählt haben, ist REQ die einzige Wahl, die das Request/Response-Paar angibt. (Die Web App Firewall arbeitet für die Anforderung und Antwort als Einheit statt für jede einzelne Einheit.) Wenn Sie ein anderes Präfix gewählt haben, sind Ihre Auswahlmöglichkeiten vielfältiger. Um Hilfe zu einer bestimmten Auswahl zu erhalten, klicken Sie einmal auf diese Auswahl, um Informationen darüber im unteren Eingabeaufforderungsfenster anzuzeigen.

    Wenn Sie sich entschieden haben, welchen Begriff Sie möchten, doppelklicken Sie darauf, um ihn in das Fenster Ausdruck einzufügen.

  4. Geben Sie einen Zeitraum nach dem gerade ausgewählten Begriff ein. Sie werden dann aufgefordert, den nächsten Begriff auszuwählen, wie im vorherigen Schritt beschrieben. Wenn ein Begriff erfordert, dass Sie einen Wert eingeben, geben Sie den entsprechenden Wert ein. Wenn Sie beispielsweise HTTP.REQ.HEADER () wählen, geben Sie den Headernamen zwischen den Anführungszeichen ein.

  5. Fahren Sie mit der Auswahl von Begriffen aus den Eingabeaufforderungen fort und füllen Sie alle erforderlichen Werte aus, bis der Ausdruck beendet ist.

    Im Folgenden finden Sie einige Beispiele für Ausdrücke für bestimmte Zwecke.

    • Bestimmter Webhost. So passen Sie den Datenverkehr von einem bestimmten Webhost an:

       HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
      

      Ersetzen Sie für shopping.example.com den Namen des Webhosts, dem Sie entsprechen möchten.

    • Bestimmter Webordner oder -verzeichnis. So ordnen Sie den Datenverkehr aus einem bestimmten Ordner oder Verzeichnis auf einem Webhost zu:

       HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")
      

      Ersetzen Sie unter www.example.com den Namen des Webhosts. Ersetzen Sie für Ordner den Ordner oder Pfad zu dem Inhalt, den Sie abgleichen möchten. Wenn sich Ihr Warenkorb beispielsweise in einem Ordner namens /solutions/orders befindet, ersetzen Sie diese Zeichenfolge durch Ordner.

    • Bestimmte Art von Inhalt: GIF-Bilder. So passen Sie Bilder im GIF-Format an:

       HTTP.REQ.URL.ENDSWITH(".gif")
      

      Wenn Sie andere Formatbilder abgleichen möchten, ersetzen Sie anstelle von GIF eine andere Zeichenfolge.

    • Spezifischer Inhaltstyp: Skripte. So passen Sie alle CGI-Skripte an, die sich im CGI-BIN-Verzeichnis befinden:

       HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")
      

      So passen Sie alle JavaScripts mit .js-Erweiterungen an:

       HTTP.REQ.URL.ENDSWITH(".js")
      

      Weitere Hinweise zum Erstellen von Richtlinienausdrücken finden Sie unterRichtlinien und Ausdrücke.

    Hinweis: Wenn Sie die Befehlszeile verwenden, um eine Richtlinie zu konfigurieren, denken Sie daran, doppelte Anführungszeichen in Citrix ADC Ausdrücken zu entkommen. Beispielsweise ist der folgende Ausdruck korrekt, wenn er in der GUI eingegeben wird:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
    

    Wenn Sie jedoch in der Befehlszeile eingegeben werden, müssen Sie dies stattdessen eingeben:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
    

So fügen Sie eine Firewallregel (Ausdruck) mithilfe des Dialogfelds Ausdruck hinzufügen hinzu

Das Dialogfeld Ausdruck hinzufügen (auch als Ausdruckseditor bezeichnet) hilft Benutzern, die mit der Citrix ADC Ausdruckssprache nicht vertraut sind, eine Richtlinie zu erstellen, die dem Datenverkehr entspricht, den sie filtern möchten.

  1. Wenn Sie dies noch nicht getan haben, navigieren Sie zum entsprechenden Speicherort im Web App Firewall Assistenten oder in der Citrix ADC GUI:
    • Wenn Sie eine Richtlinie im Web App Firewall Assistenten konfigurieren, klicken Sie im Navigationsbereich auf Web App-Firewall, klicken Sie dann im Detailbereich auf Web App-Firewall-Assistent, und navigieren Sie dann zum Fenster Regel angeben .
    • Wenn Sie eine Richtlinie manuell konfigurieren, erweitern Sie im Navigationsbereich Web App Firewall, Richtlinienund Firewall. Klicken Sie im Detailbereich auf Hinzufügen, um eine neue Richtlinie zu erstellen. Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Öffnen.
  2. Klicken Sie auf dem Bildschirm Regel angeben im Dialogfeld Web App Firewall profil erstellen oder im Dialogfeld Web App Firewallprofil konfigurieren auf Hinzufügen .
  3. Wählen Sie im Dialogfeld Ausdruck hinzufügen im Bereich Ausdruck erstellen im ersten Listenfeld eines der folgenden Präfixe aus:
    • HTTP. Das HTTP-Protokoll. Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, die sich auf das HTTP-Protokoll bezieht. Die Standardauswahl.
    • SYS. Die geschützte Website(s). Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf den Empfänger der Anforderung bezieht.
    • CLIENT. Der Computer, der die Anforderung gesendet hat. Wählen Sie diese Option, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
    • SERVER. Der Computer, an den die Anforderung gesendet wurde. Wählen Sie diese Option, wenn Sie einen Aspekt des Empfängers der Anfrage untersuchen möchten.
  4. Wählen Sie im zweiten Listenfeld den nächsten Begriff aus. Die verfügbaren Begriffe unterscheiden sich je nach Auswahl, die Sie im vorherigen Schritt getroffen haben, da das Dialogfeld die Liste automatisch so anpasst, dass sie nur die für den Kontext gültigen Begriffe enthält. Wenn Sie beispielsweise HTTP im vorherigen Listenfeld ausgewählt haben, ist die einzige Option REQ für Anforderungen. Da die Web App Firewall Anforderungen und zugeordnete Antworten als eine Einheit behandelt und beide filtert, müssen Sie keine spezifischen Antworten separat durchführen. Nachdem Sie Ihren zweiten Begriff ausgewählt haben, wird rechts neben dem zweiten Begriff ein drittes Listenfeld angezeigt. Im Hilfefenster wird eine Beschreibung des zweiten Begriffs angezeigt, und im Fenster Vorschau Ausdruck wird der Ausdruck angezeigt.
  5. Wählen Sie im dritten Listenfeld den nächsten Begriff aus. Rechts wird ein neues Listenfeld angezeigt, und das Hilfefenster ändert sich, um eine Beschreibung des neuen Begriffs anzuzeigen. Das Fenster Vorschauausdruck wird aktualisiert, um den Ausdruck so anzuzeigen, wie er bis zu diesem Punkt angegeben wurde.
  6. Fahren Sie mit der Auswahl von Begriffen fort, und wenn Sie dazu aufgefordert werden, Argumente auszufüllen, bis der Ausdruck abgeschlossen ist. Wenn Sie einen Fehler machen oder Ihren Ausdruck ändern möchten, nachdem Sie bereits einen Begriff ausgewählt haben, können Sie einfach einen anderen Begriff auswählen. Der Ausdruck wird geändert, und alle Argumente oder zusätzlichen Begriffe, die Sie nach dem von Ihnen geänderten Begriff hinzugefügt haben, werden gelöscht.
  7. Wenn Sie den Ausdruck erstellt haben, klicken Sie auf OK, um das Dialogfeld Ausdruck hinzufügen zu schließen. Ihr Ausdruck wird in den Textbereich Ausdruck eingefügt.