-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Tutorialbeispiele für klassische Richtlinien
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Tutorialbeispiele für klassische Richtlinien
In den folgenden Beispielen werden nützliche Beispiele für die klassische Richtlinienkonfiguration für bestimmte Citrix ADC Features wie Citrix Gateway, Anwendungsfirewall und SSL beschrieben.
Dieses Dokument enthält die folgenden Details:
- Citrix Gateway Richtlinie zur Überprüfung auf ein gültiges Clientzertifikat
- Anwendungs-Firewall-Richtlinie zum Schutz einer Warenkorb-Anwendung
- Anwendungs-Firewall-Richtlinie zum Schutz von skriptbasierten Webseiten
- DNS-Richtlinie zum Löschen von Paketen von bestimmten IPs
- SSL-Richtlinie zum Anfordern gültiger Clientzertifikate
Citrix Gateway Richtlinie zum Überprüfen eines gültigen Clientzertifikats
Mit den folgenden Richtlinien kann Citrix ADC sicherstellen, dass ein Client vor dem Herstellen einer Verbindung mit dem SSL-VPN eines Unternehmens ein gültiges Zertifikat vorlegt.
So prüfen Sie mit der Befehlszeilenschnittstelle nach einem gültigen Clientzertifikat
-
Fügen Sie eine Aktion zum Ausführen der Clientzertifikatauthentifizierung hinzu.
add ssl action act1 -clientAuth DOCLIENTAUTH
-
Erstellen Sie eine SSL-Richtlinie, um die Clientanforderungen auszuwerten.
add ssl policy pol1 -rule "REQ.HTTP.METHOD == GET" -action act1
-
Fügen Sie eine Rewrite-Aktion hinzu, um die Details des Zertifikatausstellers in den HTTP-Header der Anforderungen einzufügen, die an den Webserver gesendet werden.
add rewrite action act2 insert_http_header "CertDN" CLIENT.SSL.CLIENT_CERT.SUBJECT
-
Erstellen Sie eine Rewrite-Richtlinie, um die Details des Zertifikatausstellers einzufügen, falls das Clientzertifikat vorhanden ist.
add rewrite policy pol2 "CLIENT.SSL.CLIENT_CERT.EXISTS" act2
Binden Sie diese neuen Richtlinien an den Citrix ADC VIP, um sie in Kraft zu setzen.
Anwendungs-Firewall-Richtlinie zum Schutz einer Warenkorb-Anwendung
Einkaufswagen-Anwendungen verarbeiten vertrauliche Kundeninformationen, z. B. Kreditkartennummern und Ablaufdaten, und sie greifen auf Back-End-Datenbankserver zu. Viele Warenkorb-Anwendungen verwenden auch ältere CGI-Skripte, die Sicherheitslücken enthalten können, die zu der Zeit, als sie geschrieben wurden, aber jetzt Hackern und Identitätsdieben bekannt sind.
Eine Warenkorb-Anwendung ist besonders anfällig für folgende Angriffe:
- Cookie Manipulation. Wenn eine Einkaufswagen-Anwendung Cookies verwendet und nicht die entsprechenden Kontrollen der Cookies durchführt, die Benutzer an die Anwendung zurückkehren, kann ein Angreifer ein Cookie ändern und unter den Anmeldeinformationen eines anderen Benutzers Zugriff auf die Warenkorb-Anwendung erhalten. Sobald er sich als dieser Benutzer angemeldet hat, kann der Angreifer vertrauliche private Informationen über den legitimen Benutzer abrufen oder Bestellungen über das Konto des legitimen Benutzers aufgeben.
- SQL-Injection. Eine Einkaufswagenanwendung greift normalerweise auf einen Back-End-Datenbankserver zu. Wenn die Anwendung die entsprechenden Sicherheitsprüfungen für die Daten durchführt, die Benutzer in den Formularfeldern ihrer Webformulare zurückgeben, bevor sie diese Informationen an die SQL-Datenbank weitergibt, kann ein Angreifer ein Webformular verwenden, um nicht autorisierte SQL-Befehle in den Datenbankserver einzuleiten. Angreifer verwenden diese Art von Angriff normalerweise, um vertrauliche private Informationen aus der Datenbank zu erhalten oder Informationen in der Datenbank zu ändern.
Die folgende Konfiguration schützt eine Warenkorb-Anwendung vor diesen und anderen Angriffen.
So schützen Sie eine Warenkorb-Anwendung mit dem Konfigurationsdienstprogramm
-
Navigieren Sie zu Sicherheit > Anwendungsfirewall > Profile, und klicken Sie dann auf Hinzufügen.
-
Geben Sie im Dialogfeld Anwendungs-Firewall-Profil erstellen im Feld Profilname den Wert shopping_cart ein.
-
Wählen Sie in der Dropdownliste Profiltyp die Option Webanwendung aus.
-
In den Standardeinstellungen Erweiterte Auswahl konfigurieren.
-
Klicken Sie auf Erstellen und dann auf Schließen.
-
Doppelklicken Sie in der Detailansicht auf das neue Profil.
-
Konfigurieren Sie im Dialogfeld Webanwendungsprofil konfigurieren Ihr neues Profil wie unten beschrieben:
-
Klicken Sie auf die Registerkarte Überprüfungen, doppelklicken Sie auf die Überprüfung URL starten, und klicken Sie im Dialogfeld Start URL Check ändern auf die Registerkarte Allgemein, deaktivieren Sie das Blockieren und aktivieren Sie das Lernen, Protokollieren, Statistiken und URL-Verschluss. Klicken Sie auf OK, und klicken Sie dann auf Schließen.
Beachten Sie, dass Sie diese Einstellungen konfigurieren, wenn Sie die Befehlszeile verwenden, indem Sie Folgendes an der Eingabeaufforderung eingeben und die EINGABETASTE drücken:
set appfw profile shopping_cart -startURLAction LEARN LOG STATS -startURLClosure ON
-
Deaktivieren Sie für die Cookie-Konsistenzprüfung und Formularfeldkonsistenzprüfungen das Blockieren und aktivieren Sie das Lernen, Protokollieren und Statistiken. Verwenden Sie eine ähnliche Methode wie die Konfiguration Start URL Check ändern.
Wenn Sie die Befehlszeile verwenden, konfigurieren Sie diese Einstellungen, indem Sie die folgenden Befehle eingeben:
set appfw profile shopping_cart -cookieConsistencyAction LEARN LOG STATS
set appfw profile shopping_cart -fieldConsistencyAction LEARN LOG STATS
-
Deaktivieren Sie für die SQL-Injection-Prüfung das Blockieren, und aktivieren Sie das Lernen, Protokollieren, Statistiken und Transformation von Sonderzeichen im Dialogfeld SQL-Injectionsprüfung ändern auf der Registerkarte Allgemein im Abschnitt Aktionen überprüfen.
Wenn Sie die Befehlszeile verwenden, konfigurieren Sie diese Einstellungen, indem Sie Folgendes an der Eingabeaufforderung eingeben und die EINGABETASTE drücken:
set appfw profile shopping_cart -SQLInjectionAction LEARN LOG STATS -SQLInjectionTransformSpecialChars ON
-
Deaktivieren Sie die Sperre für die Kreditkartenprüfung, aktivieren Sie die Protokollierung, Statistiken und Maskierung von Kreditkartennummern und aktivieren Sie den Schutz für Kreditkarten, die Sie als Zahlungsmittel akzeptieren.
- Wenn Sie das Konfigurationsprogramm verwenden, konfigurieren Sie das Blockieren, Protokollieren, Statistiken und Maskierung (oder x-out) im Dialogfeld Kreditkartenprüfung ändern auf der Registerkarte Allgemein im Abschnitt Aktionen überprüfen. Sie konfigurieren den Schutz für bestimmte Kreditkarten auf der Registerkarte Einstellungen desselben Dialogfelds.
- Wenn Sie die Befehlszeile verwenden, konfigurieren Sie diese Einstellungen, indem Sie Folgendes an der Eingabeaufforderung eingeben und die EINGABETASTE drücken:
set appfw profile shopping_cart -creditCardAction LOG STATS -creditCardXOut ON -creditCard <name> [<name>...]
Für <name> Sie ersetzen Sie den Namen der Kreditkarte, die Sie schützen möchten. Für Visa ersetzen Sie VISA. Für Master Card ersetzen Sie MasterCard. Für American Express ersetzen Sie Amex. Für Discover ersetzen Sie Discover. Für Diners Club ersetzen Sie DinersClub. Für JCB ersetzen Sie JCB.
-
-
Erstellen Sie eine Richtlinie mit dem Namen shopping_cart, die Verbindungen zu Ihrer Einkaufswagen-Anwendung erkennt und das Profil shopping_cart auf diese Verbindungen anwendet.
Um Verbindungen zum Warenkorb zu erkennen, untersuchen Sie die URL eingehender Verbindungen. Wenn Sie Ihre Warenkorb-Anwendung auf einem separaten Host hosten (eine kluge Maßnahme aus Sicherheitsgründen und anderen Gründen), können Sie einfach nach der Anwesenheit dieses Hosts in der URL suchen. Wenn Sie Ihren Warenkorb in einem Verzeichnis auf einem Host hosten, der auch andere Traffic verarbeitet, müssen Sie feststellen, dass die Verbindung zum entsprechenden Verzeichnis und/oder HTML-Seite erfolgt.
Der Prozess zum Erkennen einer dieser beiden ist identisch. Sie erstellen eine Richtlinie auf der Grundlage des folgenden Ausdrucks und ersetzen den richtigen Host oder URL
<string>
.REQ.HTTP.HEADER URL CONTAINS <string>
-
Wenn Sie das Konfigurationsdienstprogramm verwenden, navigieren Sie zur Seite Richtlinien der Anwendungsfirewall, klicken Sie auf die Schaltfläche Hinzufügen…, um eine neue Richtlinie hinzuzufügen, und führen Sie den Richtlinienerstellungsprozess durch, der unter So erstellen Sie eine Richtlinie mit klassischen Ausdrücken mit dem Konfigurationsdienstprogramm beschrieben wird.
-
Wenn Sie die Befehlszeile verwenden, geben Sie den folgenden Befehl an der Eingabeaufforderung ein und drücken Sie die EINGABETASTE:
add appfw policy shopping_cart "REQ.HTTP.HEADER URL CONTAINS <string>" shopping_cart
-
2. Binden Sie Ihre neue Richtlinie global, um sie in Kraft zu setzen.
Da Sie sicherstellen möchten, dass diese Richtlinie allen Verbindungen zum Warenkorb entspricht und nicht von einer anderen allgemeineren Richtlinie unterstellt wird, sollten Sie ihr eine hohe Priorität zuweisen. Wenn Sie eine (1) als Priorität zuweisen, kann diese Richtlinie von keiner anderen Richtlinie abbrechen.
Anwendungs-Firewall-Richtlinie zum Schutz von skriptbasierten Webseiten
Webseiten mit eingebetteten Skripten, insbesondere ältere JavaScripts, verletzen häufig die gleiche Ursprungsregel, die es Skripts nicht erlaubt, auf Inhalte auf einem Server außer auf dem Server, auf dem sie sich befinden, zuzugreifen oder zu ändern. Diese Sicherheitsanfälligkeit wird als siteübergreifendes Scripting bezeichnet. Die Anwendungsfirewall Cross-Site Scripting Regel filtert normalerweise Anforderungen heraus, die siteübergreifendes Scripting enthalten.
Leider kann dies dazu führen, dass Webseiten mit älteren JavaScripts nicht mehr funktionieren, selbst wenn Ihr Systemadministrator diese Skripts überprüft und weiß, dass sie sicher sind. Im folgenden Beispiel wird erläutert, wie Sie die Anwendungsfirewall so konfigurieren, dass websiteübergreifende Skripterstellung in Webseiten aus vertrauenswürdigen Quellen ermöglicht wird, ohne diesen wichtigen Filter für die restlichen Websites zu deaktivieren.
So schützen Sie Webseiten mit websiteübergreifender Skripterstellung mit der Befehlszeilenschnittstelle
-
Geben Sie in der Befehlszeile Folgendes ein, um ein erweitertes Profil zu erstellen:
add appfw profile pr_xssokay -defaults advanced
-
Geben Sie Folgendes ein, um das Profil zu konfigurieren:
set appfw profile pr_xssokay -startURLAction NONE -startURLClosure OFF -cookieConsistencyAction LEARN LOG STATS -fieldConsistencyAction LEARN LOG STATS -crossSiteScriptingAction LEARN LOG STATS$"
-
Erstellen Sie eine Richtlinie, die Verbindungen zu Ihren skriptbasierten Webseiten erkennt und das pr_xssokay-Profil anwendet, geben Sie Folgendes ein:
add appfw policy pol_xssokay "REQ.HTTP.HEADER URL CONTAINS ^\\.pl\\?$ || REQ.HTTP.HEADER URL CONTAINS ^\\.js$" pr_xssokay
-
Globale Bindung der Richtlinie.
So schützen Sie Webseiten mit websiteübergreifender Skripterstellung mit dem Konfigurationsdienstprogramm
-
Navigieren Sie zu Sicherheit > Anwendungsfirewall > Profile.
-
Klicken Sie in der Detailansicht auf Hinzufügen.
-
Erstellen Sie im Dialogfeld Anwendungs-Firewall-Profil erstellen ein Webanwendungsprofil mit erweiterten Standardeinstellungen, und benennen Sie es pr_xssokay. Klicken Sie auf Erstellen und dann auf Schließen.
-
Klicken Sie in der Detailansicht auf das Profil, klicken Sie auf Öffnen, und konfigurieren Sie im Dialogfeld Webanwendungsprofil konfigurieren das pr_xssokay-Profil wie unten dargestellt.
URL-Prüfung starten: Alle Aktionen löschen.
- Cookie-Konsistenzprüfung: Sperren deaktivieren.
- Formularfeldkonsistenzprüfung: Sperren deaktivieren.
- Websiteübergreifende Skriptüberprüfung: Sperren deaktivieren.
Dadurch sollte verhindert werden, dass legitime Anforderungen an Webseiten mit websiteübergreifendem Skripting blockiert werden, von denen Sie wissen, dass sie dennoch sicher sind.
-
Klicken Sie auf Richtlinien, und klicken Sie dann auf Hinzufügen.
-
Erstellen Sie im Dialogfeld Anwendungs-Firewall-Richtlinie erstellen eine Richtlinie, die Verbindungen zu Ihren skriptbasierten Webseiten erkennt und das pr_xssokay-Profil anwendet:
- Richtlinienname: pol_xssokay
- Zugehöriges Profil: pr_xssokay
Richtlinienausdruck: REQ.HTTP.HEADER URL CONTAINS ^\.pl\?$ REQ.HTTP.HEADER URL CONTAINS ^\.js$” -
Binden Sie Ihre neue Richtlinie global, um sie in Kraft zu setzen.
DNS-Richtlinie zum Löschen von Paketen von bestimmten IPs
Im folgenden Beispiel wird beschrieben, wie Sie eine DNS-Aktion und eine DNS-Richtlinie erstellen, die Verbindungen von unerwünschten IPs oder Netzwerken erkennt, z. B. bei einem DDOS-Angriff verwendet, und alle Pakete von diesen Speicherorten löscht. Das Beispiel zeigt Netzwerke innerhalb des reservierten IANA-IP-Blocks 192.168.0.0/16. Ein feindliches Netzwerk wird normalerweise auf öffentlich routingfähigen IP-Adressen sein.
So löschen Sie Pakete von bestimmten IPs mit der Befehlszeilenschnittstelle
-
Um eine DNS-Richtlinie mit dem Namen pol_ddos_drop zu erstellen, die Verbindungen aus feindlichen Netzwerken erkennt und diese Pakete löscht, geben Sie Folgendes ein:
add dns policy pol_ddos_drop 'client.ip.src.in_subnet(192.168.253.128/25) || client.ip.src.in_subnet(192.168.254.32/27)' -drop YES'
Für die Beispielnetzwerke im Bereich 192.168.0.0/16 ersetzen Sie die IP und die Netzmaske im Format ##.##.##.##.###/## jedes Netzwerks, das Sie blockieren möchten. Sie können beliebig viele Netzwerke einschließen und jeden Befehl CLIENT.IP.SRC.IN_SUBNET (###.##.##.##.##.#./##) mit dem Operator OR trennen.
-
Binden Sie Ihre neue Richtlinie global, um sie in Kraft zu setzen.
SSL-Richtlinie zum Anfordern gültiger Clientzertifikate
Das folgende Beispiel zeigt eine SSL-Richtlinie, die die Gültigkeit des Clientzertifikats des Benutzers überprüft, bevor eine SSL-Verbindung mit einem Client initiiert wird.
So sperren Sie Verbindungen von Benutzern mit abgelaufenen Clientzertifikaten
-
Melden Sie sich an der Befehlszeilenschnittstelle an.
Wenn Sie die GUI verwenden, navigieren Sie zur Seite SSL-Richtlinien, und klicken Sie dann im Bereich Daten auf die Registerkarte Aktionen.
-
Erstellen Sie eine SSL-Aktion namens act_current_client_cert, die erfordert, dass Benutzer über ein aktuelles Clientzertifikat verfügen, um eine SSL-Verbindung mit dem Citrix ADC herzustellen.
add ssl action act_current_client_cert-clientAuth DOCLIENTAUTH -clientCert ENABLED -certHeader "clientCertificateHeader" -clientCertNotBefore ENABLED -certNotBeforeHeader "Mon, 01 Jan 2007 00:00:00 GMT"
-
Erstellen Sie eine SSL-Richtlinie mit dem Namen pol_current_client_cert, die Verbindungen mit dem Webserver erkennt, die eine Abfragezeichenfolge enthalten.
add ssl policy pol_current_ client_cert 'REQ.SSL.CLIENT.CERT.VALIDFROM \>= "Mon, 01 Jan 2007 00:00:00 GMT"' act_block_ssl
-
Binden Sie Ihre neue Richtlinie global.
Da diese SSL-Richtlinie für die SSL-Verbindung eines beliebigen Benutzers gelten sollte, es sei denn, eine spezifischere SSL-Richtlinie gilt, sollten Sie ihr eine niedrige Priorität zuweisen. Wenn Sie ihm eine Priorität von tausend (1000) zuweisen, sollten Sie sicherstellen, dass andere SSL-Richtlinien zuerst ausgewertet werden. Dies bedeutet, dass diese Richtlinie nur für Verbindungen gilt, die nicht spezifischeren Richtlinienkriterien entsprechen.
Teilen
Teilen
In diesem Artikel
- Citrix Gateway Richtlinie zum Überprüfen eines gültigen Clientzertifikats
- Anwendungs-Firewall-Richtlinie zum Schutz einer Warenkorb-Anwendung
- Anwendungs-Firewall-Richtlinie zum Schutz von skriptbasierten Webseiten
- DNS-Richtlinie zum Löschen von Paketen von bestimmten IPs
- SSL-Richtlinie zum Anfordern gültiger Clientzertifikate
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.