Citrix ADC

Dynamische Profilerstellung

Die Lernfunktion ist ein Musterfilter, der Aktivitäten auf dem Back-End-Server beobachtet und lernt. Basierend auf der Beobachtung generiert die Lern-Engine bis zu 2000 Regeln oder Ausnahmen (Entspannungen) für jede Sicherheitsprüfung. Um den Prozess zu automatisieren und die Relaxationsregeln automatisch bereitzustellen, verwendet die Citrix ADC Appliance eine dynamische Profilerstellung.

Bei der dynamischen Profilerstellung zeichnet die Appliance die erlernten Daten für einen vordefinierten Schwellenwert auf und sendet eine SNMP-Warnung an den Benutzer. Wenn der Benutzer die Daten nicht innerhalb eines Kulanzzeitraums überspringt, stellt die Appliance sie automatisch als Relaxationsregel bereit. Früher musste der Benutzer die Relaxationsregeln manuell bereitstellen. Derzeit ist die dynamische Profilerstellung nur für die folgenden Sicherheitsprüfungen verfügbar:

  1. HTML-SQL-Injektion
  2. HTML Cross-Site-Skripterstellung
  3. Feld-Format
  4. Start-URL
  5. Inhaltstyp
  6. Feld-Formate
  7. CSRF-Formular-Tagging
  8. Cookie-Konsistenz

Betrachten Sie beispielsweise die Sicherheitsprüfung für HTML SQL Injection, die mit dynamischer Profilerstellung aktiviert ist. Sie können das Lernen für eine Liste von IPs (die sogenannte Liste der vertrauenswürdigen Lernclients) verwenden, aus der die Lernfunktion Empfehlungen generieren soll. Informationen zum Konfigurieren einer Liste vertrauenswürdiger Clients finden Sie unter Learning Trusted Clients. Wenn der eingehende Datenverkehr Verletzungen hat, wird er als erlernte Daten aufgezeichnet. Wenn die erlernten Daten in der Lern-Engine aufgezeichnet werden, sendet die Appliance eine SNMP-Warnung an den Benutzer. Wenn der Benutzer ein falsches Positiv nicht erkennt und die erlernten Daten nicht innerhalb eines Kulanzzeitraums überspringt, stellt die Appliance diese automatisch als Relaxationsregel bereit.

Hinweis: Nachdem Sie ein dynamisches Profil konfiguriert haben, müssen Sie die Appliance-Konfiguration regelmäßig auf die automatische Bereitstellung von Relaxierungsregeln überprüfen und auf der Appliance speichern.

Konfigurieren der dynamischen Profilerstellung mit der Citrix ADC Befehlsschnittstelle

Dynamische Profilerstellung ist für die Sicherheitsprüfung Start URL, HTML Cross-Site Scripting, Field Format oder HTML SQL Injection verfügbar. Um die dynamische Profilerstellung zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

  1. Dynamisches Lernen konfigurieren
  2. Konfigurieren des Kulanzzeitraums für die automatische Bereitstellung

Dynamisches Lernen konfigurieren

Als ersten Schritt müssen Sie dynamisches Lernen auf Ihrer Appliance konfigurieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

set appfw profile <profile_name> dynamicLearning <security_checks>

Beispiel

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

Konfigurieren des Kulanzzeitraums für die automatische Bereitstellung

Sobald Sie das Feature für bestimmte Sicherheitsprüfungen aktiviert haben, müssen Sie den Kulanzzeitraum für die automatische Bereitstellung konfigurieren.

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>

set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

Beispiel

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30

set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7

set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10

set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

Hinweis:

Hier liegt der Kulanzzeitraum für die automatische Bereitstellung in Minuten.

Konfigurieren der dynamischen Profilerstellung mit der Citrix ADC GUI

  1. Navigieren Sie zu Sicherheit > Anwendungsfirewall > Profil .
  2. Wählen Sie im Detailbereich ein Profil aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite Citrix Web App-Profil unter Erweiterte Einstellungen auf Dynamische Profilerstellung .

    Dynamische Profileinstellung

  4. Wählen Sie im Abschnitt Dynamische Profilerstellung eine Sicherheitsprüfung aus, und klicken Sie auf Bearbeiten .

    Dynamischer Profilerstellungsabschnitt

  5. Legen Sie auf der Seite Dynamische Profilerstellungs- und Lerneinstellungen den Kulanzzeitraum für die Sicherheitsprüfung fest.

    Dynamischer Profilerstellungsabschnitt

  6. Klicken Sie auf OK und Fertig.

Export und Import von Entspannungsregeln

Wenn Sie die dynamische Profilerstellung aktivieren, werden die erlernten Daten automatisch als Relaxationsregeln bereitgestellt. Darüber hinaus können Sie mit der Appliance auch die dynamischen Profilerstellungsregeln und regulären Entspannungsregeln exportieren. Sie können die Regeln aus der Stagingumgebung exportieren und in die Produktionsumgebung importieren.

Hinweis:

Wenn Sie Regeln in die Produktionsumgebung importieren, müssen Sie sicherstellen, dass der Prozess additiv ist und die vorhandene Konfiguration nicht außer Kraft setzt.

Wie man Relaxationsregeln exportiert und importiert

Um die Relaxationsregeln zu exportieren und zu importieren, müssen Sie die folgenden Schritte ausführen:

  1. Sie müssen zuerst die dynamischen profilbasierten Daten exportieren. Dazu steht für die Relaxationsregeln im WAF-Profil die Exportoption zur Verfügung. Wenn Sie diese Option auswählen, exportieren Sie die Relaxationsregeln für dynamische Profilerstellung und reguläre Relaxationsregeln. Sie können die Exportoption verwenden, um die Konfiguration als komprimiertes Paket auf der Appliance herunterzuladen.
  2. Nachdem Sie die Daten aus der Stagingumgebung exportiert haben, müssen Sie sie in eine andere Citrix ADC Appliance importieren. Dazu müssen Sie die Importoption verwenden, die in den Relaxationsregeln des WAF-Profils verfügbar ist. Wenn Sie diese Option auswählen, importiert die Appliance die angegebenen Relaxationsregeln im Paket und stellt sie im WAF-Profil der ausgewählten Appliance wieder her.

Hinweis:

Wenn Sie Relaxationsregeln in ein WAF-Profil importieren möchten, gibt es zwei Arten von Aktionen: Erweitern — Diese Aktion stellt sicher, dass der Import additiv ist, sodass keine vorhandene Konfiguration außer Kraft gesetzt wird. Überschreiben — Diese Aktion überschreibt die vorhandene Konfiguration mit der Konfiguration, die im komprimierten Exportpaket vorhanden ist.”

Importieren Sie archivierte Relaxationsregeldatei mithilfe von CLI

Zum Importieren von Relaxationsregeln müssen Sie das Archiv in die Citrix ADC Appliance importieren und dann den Befehl restore ausführen, um die Konfiguration zu extrahieren. Der folgende Satz von CLI-Befehlen kann zum Exportieren, Importieren und Verwalten der Konfigurationen verwendet werden.

Um die archivierte Datei von einem bestimmten Speicherort zu importieren und wiederherzustellen, geben Sie an der Eingabeaufforderung Folgendes ein:

import appfw archive <src> <name> [-comment <string>]

Wo, “src”: Gibt die Quelle der tar-Archivdatei im Formular an, <protocol>://<host>[:<port>][/<path>] “name”: Gibt den Namen des Archivs an. “ comment”: Kommentare, die mit diesem Archiv verknüpft sind.

restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]

wo, “archivename”: Gibt die Quelle für das tar-Archiv an. Dies ist ein obligatorisches Argument. “ RelaxationRules”: Option zum Importieren aller appfw Relaxationsregeln “ImportProfileName”: Gibt den Profilnamen an, der erstellt oder aktualisiert wurde, um die Relaxationsregeln während des Wiederherstellungsvorgangs zuzuordnen. “ MatchUrlString”: Gibt die Action-URL-Zeichenfolge an, die in archivierten Relaxationsregeln übereinstimmt. “ ReplaceURLString”: Gibt eine Zeichenfolge an, die beim Wiederherstellen von Relaxationsregeln in Aktions-URL ersetzt werden soll. “ überschreiben”: Vorhandene Regelaktion zum Löschen vorhandener Relaxationsregeln und Ersetzen beim Import “Erweiterung”: Vorhandene Regelaktion zur Erweiterung der Relaxationsregeln während des Imports

Beispiel: import appfw archive local: dutA_test_pr.tgz demo restore appfw profile dutA_test_pr

Exportieren Sie die archivierte Datei über die Befehlszeile in die ausgewählte Appliance

Wenn Sie Appfw-Relaxationsregeln mit CLI exportieren, müssen Sie die Konfiguration archivieren und anschließend exportieren. Um die archivierte Datei zu archivieren und zu exportieren, geben Sie an der Eingabeaufforderung Folgendes ein:

archive appfw profile <name> <archivename> [-comment <string>]

Wo, “archivename”: Gibt die Quelle für das tar-Archiv an. Dies ist ein obligatorisches Argument. “ name”: Gibt den Appfw-Profilnamen an, der die zu exportierenden Relaxationsregeln enthält.

export appfw archive <name> <target>

Wo, Name. Name des tar-Archivs. Dies ist ein obligatorisches Argument. Maximale Länge: 31 Ziel. Pfad zu der Datei, die exportiert werden soll. Dies ist ein obligatorisches Argument. Maximale Länge: 2047

Beispiel:

archive appfw profile test_pr archived_test_pr export appfw archive archived_test_pr local:dutA_test_pr

So exportieren Sie Relaxationsregeln über die Citrix ADC GUI

Befolgen Sie die unten angegebenen Schritte, um Relax-Regeln zu exportieren:

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall .
  2. Klicken Sie auf der Detailseite unter Konfigurationsübersicht auf den Link Citrix Web App Firewall Profile.
  3. Klicken Sie auf der Seite Citrix Web App Firewall Profil im Abschnitt Erweiterte Einstellungen auf den Link Relax-Regeln.
  4. Klicken Sie im Abschnitt Entspannungsregeln auf Alle Entspannungsregeln exportieren. Die Aktion gilt für alle Sicherheitsprüfungen und für diejenigen, die dynamisches Lernen in diesem Profil aktiviert ist.

    Regeln für die Exportentspannung

So importieren Sie Relaxationsregeln über die Citrix ADC GUI

Befolgen Sie die unten angegebenen Schritte, um Relax-Regeln zu importieren:

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall .
  2. Klicken Sie auf der Detailseite unter Konfigurationsübersicht auf den Link Citrix Web App Firewall Profile.
  3. Klicken Sie auf der Seite Citrix Web App Firewall Profil im Abschnitt Erweiterte Einstellungen auf den Link Relax-Regeln.
  4. Klicken Sie im Abschnitt Entspannungsregeln auf Alle Entspannungsregeln importieren.
  5. Legen Sie auf der Seite Citrix Web App Firewall profil konfigurieren die folgenden Parameter fest:
    1. Lokale Datei. Name der komprimierten archivierten Datei, die Relaxationsregeln enthält.
    2. Profilname. Name des Profils, an das die Entspannungsregeln gebunden sind.
    3. Passende URL-Zeichenfolge. Teil der URL, der übereinstimmt.
    4. URL-Zeichenfolge ersetzen. Teil der URL, der die URL-Zeichenfolge ersetzt.
    5. Vorhandene Regelaktion. Wählen Sie diese Option aus, ob die Regel vorhandene Regeln überschreiben oder die vorhandenen Regeln erweitern muss.
  6. Klicken Sie auf OK.

    Relaxationsregeln importieren

Dynamische Profilerstellung