ADC

Erstellen von Web App Firewall-Profilen

Sie können ein Web App Firewall-Profil auf zwei Arten erstellen: über die Befehlszeile und über die GUI. Das Erstellen eines Profils mit der Befehlszeile erfordert, dass Sie Optionen in der Befehlszeile angeben. Der Prozess ähnelt dem Konfigurieren eines Profils, und mit wenigen Ausnahmen nehmen die beiden Befehle dieselben Parameter an.

Das Erstellen eines Profils mit der GUI erfordert, dass Sie nur zwei Optionen angeben. Sie geben grundlegende oder erweiterte Standardeinstellungenan, die Standardkonfiguration für die verschiedenen Sicherheitsprüfungen und Einstellungen, die Teil eines Profils sind, und wählen den Profiltyp aus, der dem Inhaltstyp entspricht, den das Profil schützen soll. Sie können optional auch einen Kommentar hinzufügen. Nachdem Sie das Profil erstellt haben, müssen Sie es dann konfigurieren, indem Sie es im Datenbereich auswählen und dann auf Bearbeitenklicken.

Wenn Sie vorhaben, die Lernfunktion zu verwenden oder viele erweiterte Schutzmaßnahmen zu aktivieren und zu konfigurieren, müssen Sie erweiterte Standardeinstellungen wählen. Insbesondere wenn Sie planen, eine der SQL-Einschleusungstests, eine der Cross-Site-Scriptingprüfungen, jede Überprüfung, die Schutz vor Webformular-Angriffen bietet, oder die Cookie-Konsistenzprüfung zu konfigurieren, müssen Sie planen, die Lernfunktion zu verwenden. Sofern Sie bei der Konfiguration dieser Prüfungen nicht die richtigen Ausnahmen für Ihre geschützten Websites angeben, können diese den legitimen Datenverkehr blockieren. Es ist schwierig, alle Ausnahmen zu antizipieren, ohne zu breit gefächerte Ausnahmen zu schaffen. Die Lernfunktion erleichtert diese Aufgabe erheblich. Andernfalls sind die grundlegenden Standardeinstellungen schnell und müssen den Schutz bieten, den Ihre Webanwendungen benötigen.

Es gibt drei Profiltypen:

  • HTML. Schützt Standard-HTML-basierte Websites.
  • XML. Schützt XML-basierte Webdienste und Websites.
  • Web 2.0 (HTML-XML). Schützt Websites, die sowohl HTML- als auch XML-Elemente enthalten, wie ATOM-Feeds, Blogs und RSS-Feeds.

Es gibt auch ein paar Einschränkungen für den Namen, den Sie einem Profil geben können. Ein Profilname darf nicht mit dem Namen übereinstimmen, der einem anderen Profil oder einer anderen Aktion in einer Funktion der NetScaler Appliance zugewiesen wurde. Bestimmte Aktions- oder Profilnamen werden integrierten Aktionen oder Profilen zugewiesen und können niemals für Benutzerprofile verwendet werden. Eine vollständige Liste der nicht zulässigen Namen finden Sie in den zusätzlichen Informationen zumWeb App Firewall-Profil. Wenn Sie versuchen, ein Profil mit einem Namen zu erstellen, der bereits für eine Aktion oder ein Profil verwendet wurde, wird eine Fehlermeldung angezeigt, und das Profil wird nicht erstellt.

So erstellen Sie ein Web App Firewall-Profil mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add appfw profile <name> [-defaults ( **basic** | **advanced** )]
  • set appfw profile <name> -type ( **HTML** | **XML** | **HTML XML** )
  • set appfw profile <name> -comment "<comment>"
  • save ns config

Beispiel

Im folgenden Beispiel wird ein Profil mit dem Namen pr-basic mit grundlegenden Standardeinstellungen hinzugefügt und einen Profiltyp von HTML zugewiesen. Dies ist die geeignete Erstkonfiguration für ein Profil zum Schutz einer HTML-Website.

add appfw profile pr-basic -defaults basic -comment "Simple profile for websites."
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->

So erstellen Sie ein Web App Firewall-Profil mit der GUI

Führen Sie das folgende Verfahren aus, um ein Web App Firewall-Profil zu erstellen:

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie auf der Seite “Web App Firewall-Profil erstellen “ die folgenden grundlegenden Parameter fest:

    1. Name
    2. Profiltyp
    3. Kommentare
    4. Standardwerte
    5. Beschreibung
  4. Klicken Sie auf OK.
  5. Führen Sie im Abschnitt Erweiterte Einstellungen die folgenden Konfigurationen aus:

    1. Sicherheitschecks
    2. Profil-Einstellungen
    3. Dynamische Profilerstellung
    4. Regeln für Entspannung
    5. Regeln verweigern
    6. Gelernte Regel
    7. Erweiterte Protokollierung
  6. Wählen Sie im Abschnitt Sicherheitsprüfungen einen Sicherheitsschutz aus und klicken Sie auf Aktionseinstellungen.
  7. Legen Sie auf der Seite “Sicherheitsprüfung” die Parameter fest.

    Hinweis: Die Einstellung “ Aktive Regel “ ist nur für die HTML-SQL-Injection-Prüfung verfügbar, um > oder Verweigern Signaturregeln zuzulassen

  8. Klicken Sie auf OK und schließen.

  9. Legen Sie im Abschnitt Profileinstellungen die Profilparameter fest. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen des Web App Firewall-Profils.
  10. Wählen Sie im Abschnitt Dynamische Profilerstellung eine Sicherheitsprüfung aus, um dynamische Profileinstellungen hinzuzufügen. Weitere Informationen finden Sie unter Thema Dynamisches Profil.
  11. Klicken Sie im Abschnitt Entspannungsregeln auf Bearbeiten, um eine Entspannungsregel für eine Sicherheitsprüfung hinzuzufügen. Weitere Informationen finden Sie unter Entspannungsregel für Einzelheiten.
  12. Fügen Sie im Abschnitt Regeln ablehnen eine Ablehnungsregel für die HTML-SQL-Injection-Prüfung hinzu. Weitere Informationen finden Sie unter Regeln für HTML-Ablehnung.
  13. Legen Sie im Abschnitt Gelernte Regel die Lerneinstellungen fest. Weitere Informationen finden Sie unter Learning von Web App Firewall.
  14. Klicken Sie im Abschnitt Erweiterte Protokollierung auf Hinzufügen, um sensible Daten zu maskieren. Weitere Informationen finden Sie unter Thema Erweiterte Protokollierung.
  15. Klicken Sie auf Fertigund dann auf Schließen.
Erstellen von Web App Firewall-Profilen