Webanwendungs-Firewall-Profileinstellungen
Im Folgenden sind die Profileinstellungen aufgeführt, die Sie auf der Appliance konfigurieren müssen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]
Beispiel:
add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]
Hierbei gilt:
invalidPercentHandling. Konfigurieren Sie die Methode für die Verarbeitung von prozentkodierten Namen und Werten.
Verfügbare Einstellungen funktionieren wie folgt:
asp_mode - Strips and Parses Ungültiger Prozentsatz für das Parsen. Beispiel፦ curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird entfernt und der Rest des Inhalts wird überprüft und die Aktion für die SQLInjection-Überprüfung durchgeführt.
secure_mode - Wir erkennen den codierten Wert ungültig Prozent und ignorieren ihn. Beispiel: - curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) wird erkannt, Leistungsindikatoren werden inkrementiert und Inhalt wird wie an den Server übergeben.
apache_mode - Dieser Modus funktioniert ähnlich wie der sichere Modus.
Mögliche Werte: apache_mode, asp_mode, secure_mode
Standardwert: secure_mode
optimizePartialReqs. Bei OFF/ON (ohne sicheres Objekt) sendet eine Citrix ADC Appliance die Teilanforderung an den Back-End-Server. Diese teilweise Antwort wurde an den Client zurückgesendet. OptimizePartialReqs ist sinnvoll, wenn das Safe-Objekt konfiguriert ist. Die Appliance sendet Anfragen für vollständige Antwort vom Server, wenn AUS, und fordert nur teilweise Antwort an, wenn EIN.
Folgende Einstellungen sind verfügbar:
ON - Teilanforderungen des Clients führen zu Teilanforderungen an den Back-End-Server. OFF - Teilanforderungen durch den Client werden in vollständige Anforderungen an den Back-End-Server geändert Mögliche Werte: ON, OFF Standardwert: ON
URLDecodeRequestCookies. URL-Dekodierung von Anforderungscookies, bevor sie SQL- und siteübergreifenden Skripterstellungsüberprüfungen unterzogen werden.
Mögliche Werte: ON, OFF Standardwert: OFF
Unterschriften-Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die für Signaturen mit dem als ‘HTTP_POST_BODY’ angegebenen Speicherort überprüft wurde.
Standardwert: 8096 Mindestwert: 0 Maximaler Wert: 4294967295
Post-Body-Limit (Bytes). Begrenzt die Anforderungsnutzlast (in Bytes), die von der Web Application Firewall überprüft wird.
Standardwert: 20000000 Minimalwert: 0 Maximalwert: 10 GB
Weitere Informationen zur Sicherheitseinstellung und ihrer GUI-Prozedur finden Sie unter Konfigurieren des Web App Firewall App-Firewall-Profils .
PostBodyLimitAction. PostBodyLimit berücksichtigt Fehlereinstellungen, wenn Sie die maximale Größe des zulässigen HTTP-Body angeben. Um Fehlereinstellungen zu berücksichtigen, müssen Sie eine oder mehrere Post-Body-Limit-Aktionen konfigurieren. Die Konfiguration ist auch für Anforderungen anwendbar, bei denen der Transfercodierungskopf in Chunked ist.
set appfw profile <profile_name> -PostBodyLimitAction block log stats
Wo, Block - Diese Aktion blockiert eine Verbindung, die gegen die Sicherheitsprüfung verstößt und basiert auf der maximalen Größe des konfigurierten HTTP-Body (Post-Body-Limit). Sie müssen die Option immer aktivieren.
Log - Protokollieren Sie Verstöße gegen diese Sicherheitsprüfung.
Stats- Generieren Sie Statistiken für diese Sicherheitsprüfung.
Hinweis:
Das Protokollformat für die Post-Body-Limit-Aktion wird jetzt so geändert, dass es dem Standardformat für die Audit-Protokollierung entspricht, z.
ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.
InspectQueryContentTypes Prüfen Sie Anforderungs- und Webformulare für injizierte SQL- und Cross-Site-Skripts für die folgenden Inhaltstypen.
set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER
Mögliche Werte: HTML, XML, JSON, OTHER
Standardmäßig ist dieser Parameter sowohl für grundlegende als auch für erweiterte appfw-Profile als “inspectQueryContentTypes: HTML JSON OTHER” festgelegt.
Beispiel für Inspect-Abfrage-Inhaltstyp als XML:
> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.
<!--NeedCopy-->
Beispiel für Inspect-Abfrage-Inhaltstyp als HTML:
> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done
<!--NeedCopy-->
Beispiel für den Inhaltstyp “Abfrage prüfen” als JSON:
> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done
<!--NeedCopy-->
errorURL expression. Die URL, die die Citrix Web App Firewall als Fehler-URL verwendet. Maximale Länge: 2047.
Hinweis:
Wenn die Fehler-URL mit der Signatur-URL vergleichbar ist, setzt die Appliance die Verbindung zurück, um Verletzungen in einer angeforderten URL zu blockieren.