Citrix ADC

Übersicht über Sicherheitsprüfungen

Der erweiterte Schutz der Web App Firewall (Sicherheitsprüfungen) ist eine Reihe von Filtern, die entwickelt wurden, um komplexe oder unbekannte Angriffe auf Ihre geschützten Websites und Webdienste zu erfassen. Die Sicherheitsprüfungen verwenden Heuristik, positive Sicherheit und andere Techniken, um Angriffe zu erkennen, die möglicherweise nicht allein von Signaturen erkannt werden. Sie konfigurieren die Sicherheitsprüfungen, indem Sie ein Web App Firewall Profil erstellen und konfigurieren. Dabei handelt es sich um eine Sammlung von benutzerdefinierten Einstellungen, die der Web App Firewall mitteilen, welche Sicherheitsprüfungen verwendet werden sollen und wie eine Anforderung oder Antwort verarbeitet werden soll, bei der eine Sicherheitsprüfung fehlgeschlagen ist. Ein Profil ist einem Signaturobjekt und einer Richtlinie zum Erstellen einer Sicherheitskonfiguration zugeordnet.

Die Web App Firewall bietet zwanzig Sicherheitsprüfungen, die sich in den angestrebten Angriffstypen und der Komplexität ihrer Konfiguration stark unterscheiden. Die Sicherheitsprüfungen sind in folgende Kategorien unterteilt:

  • Gemeinsame Sicherheitsprüfungen. Überprüfungen, die für alle Aspekte der Websicherheit gelten, die entweder keinen Inhalt beinhalten oder für alle Arten von Inhalten gleichermaßen gelten.
  • HTML-Sicherheitsprüfungen. Überprüfungen, die HTML-Anforderungen und Antworten untersuchen. Diese Prüfungen gelten für HTML-basierte Websites und für HTML-Teile von Web 2.0-Websites, die gemischte HTML- und XML-Inhalte enthalten.
  • XML-Sicherheitsprüfungen. Überprüfungen, die XML-Anforderungen und Antworten untersuchen. Diese Prüfungen gelten für XML-basierte Webdienste und für die XML-Teile von Web 2.0-Websites.

Die Sicherheitsprüfungen schützen vor einer Vielzahl von Angriffstypen, darunter Angriffe auf Betriebssystem- und Webserver-Software-Schwachstellen, SQL-Datenbankschwachstellen, Fehler bei der Gestaltung und Codierung von Websites und Webdiensten sowie Fehler beim Sichern von Websites, die Host oder Zugriff auf empfindliche Websites haben Informationen.

Alle Sicherheitsprüfungen verfügen über eine Reihe von Konfigurationsoptionen, die Prüfaktionen, mit denen gesteuert wird, wie die Web App Firewall eine Verbindung verarbeitet, die einer Prüfung entspricht. Für alle Sicherheitsprüfungen stehen drei Prüfaktionen zur Verfügung. Sie sind:

  • Blockieren. Verbindungen blockieren, die mit der Signatur übereinstimmen. Diese Funktion ist standardmäßig deaktiviert.
  • Loggen. Protokollieren Sie Verbindungen, die mit der Signatur übereinstimmen, für eine spätere Analyse. Standardmäßig aktiviert.
  • Statistiken. Verwalten Sie Statistiken für jede Signatur, die zeigen, wie viele Verbindungen sie übereinstimmten, und geben Sie bestimmte andere Informationen über die Typen von Verbindungen, die blockiert wurden. Diese Funktion ist standardmäßig deaktiviert.

Für mehr als die Hälfte der Überprüfungsaktionen ist eine vierte Prüfaktion Lernen verfügbar. Es beobachtet den Datenverkehr zu einer geschützten Website oder einem geschützten Webdienst und verwendet Verbindungen, die wiederholt gegen die Sicherheitsprüfung verstoßen, um empfohlene Ausnahmen (Relaxationen) für die Prüfung oder neue Regeln für die Prüfung zu generieren. Zusätzlich zu den Überprüfungsaktionen verfügen bestimmte Sicherheitsüberprüfungen über Parameter, die die Regeln steuern, mit denen die Prüfung ermittelt wird, welche Verbindungen gegen diese Prüfung verstoßen, oder die die Antwort der Web App Firewall auf Verbindungen konfigurieren, die gegen die Prüfung verstoßen. Diese Parameter unterscheiden sich für jede Prüfung und werden in der Dokumentation für jede Prüfung beschrieben.

[Zum Konfigurieren von Sicherheitsprüfungen können Sie den Web App Firewall Assistenten verwenden, wie unter beschriebenDer Web App Firewall Assistent[], oder Sie können die Sicherheitsprüfungen manuell konfigurieren, wie unter Manuelle Konfiguration mit der GUI().] Einige Aufgaben, wie das manuelle Eingeben von Entspannungen oder Regeln oder das Überprüfen von erlernten Daten, können nur über die GUI und nicht über die Befehlszeile ausgeführt werden. Die Verwendung des Assistenten ist in der Regel die beste Konfigurationsmethode, aber in einigen Fällen kann die manuelle Konfiguration einfacher sein, wenn Sie mit ihm vertraut sind und einfach die Konfiguration für eine einzelne Sicherheitsprüfung anpassen möchten.

Unabhängig davon, welche Methode Sie zum Konfigurieren der Sicherheitsprüfungen verwenden, erfordert jede Sicherheitsprüfung, dass bestimmte Aufgaben ausgeführt werden. Viele Überprüfungen erfordern, dass Sie Ausnahmen (Relaxationen) angeben, um das Blockieren von legitimen Datenverkehr zu verhindern, bevor Sie die Sperre für diese Sicherheitsprüfung aktivieren. Sie können dies manuell tun, indem Sie die Protokolleinträge beobachten, nachdem ein bestimmter Datenverkehr gefiltert wurde und dann die erforderlichen Ausnahmen erstellen. In der Regel ist es jedoch viel einfacher, die Lernfunktion zu aktivieren und den Verkehr zu beobachten und die notwendigen Ausnahmen zu empfehlen.

Web App Firewall verwendet während der Verarbeitung der Transaktionen Packet Engines (PE). Jede Paketengine hat ein Limit von 100.000 Sitzungen, was für die meisten Bereitstellungsszenarien ausreichend ist. Wenn die Web App Firewall jedoch hohen Datenverkehr verarbeitet und das Sitzungstimeout mit einem höheren Wert konfiguriert ist, können die Sitzungen angesammelt werden. Wenn die Anzahl der Live Web App Firewall -Sitzungen die Grenze von 100.000 pro PE überschreitet, werden die Verletzungen der Web App Firewall Sicherheitsprüfung möglicherweise nicht an die Security Insight-Appliance gesendet. Das Senkung des Sitzungstimeouts auf einen kleineren Wert oder die Verwendung des Sitzungslos-Modus für die Sicherheitsprüfungen mit sitzungslosem URL-Schließen oder Sitzungslos-Feldkonsistenz kann dazu beitragen, dass die Sitzungen akkumuliert werden. Wenn dies in Szenarien, in denen Transaktionen möglicherweise längere Sitzungen erfordern, keine praktikable Option ist, wird ein Upgrade auf eine übergeordnete Plattform mit mehr Paketmodul empfohlen.

Unterstützung für zwischengespeicherte AppFirewall wird hinzugefügt, und die maximale Sitzungseinstellung über die CLI pro Kern wird auf 50.000 Sitzungen festgelegt.

Übersicht über Sicherheitsprüfungen