Konfigurieren der Web App Firewall
Sie können die Citrix Web App Firewall (Web App Firewall) mit einer der folgenden Methoden konfigurieren:
- Web App Firewall Assistent. Ein Dialogfeld, das aus einer Reihe von Bildschirmen besteht, die Sie durch den Konfigurationsprozess führen.
- Citrix Web Interface AppExpert Vorlage. Eine AppExpert Vorlage (eine Reihe von Konfigurationseinstellungen), die einen angemessenen Schutz für Websites bieten soll. Diese AppExpert Vorlage enthält geeignete Konfigurationseinstellungen für die Web App Firewall zum Schutz vieler Websites.
- Citrix ADC GUI. Die webbasierte Konfigurationsschnittstelle.
- Citrix ADC Befehlszeilenschnittstelle. Die Befehlszeilenkonfigurationsschnittstelle.
Citrix empfiehlt die Verwendung des Web App Firewall Assistenten. Die meisten Benutzer finden es die einfachste Methode, die Web App Firewall zu konfigurieren, und sie wurde entwickelt, um Fehler zu vermeiden. Wenn Sie ein neues Citrix ADC oder VPX haben, das Sie hauptsächlich zum Schutz von Websites verwenden werden, finden Sie möglicherweise die Webinterface AppExpert Vorlage als eine bessere Option, da sie eine gute Standardkonfiguration bietet, nicht nur für die Web App Firewall, sondern für die gesamte Appliance. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, in erster Linie um eine vorhandene Konfiguration zu ändern oder erweiterte Optionen zu verwenden.
Der Web App Firewall Assistent
Der Web App Firewall Assistent ist ein Dialogfeld, das aus mehreren Bildschirmen besteht, in denen Sie aufgefordert werden, jeden Teil einer einfachen Konfiguration zu konfigurieren. Die Web App Firewall erstellt dann die entsprechenden Konfigurationselemente aus den von Ihnen angegebenen Informationen. Dies ist der einfachste und für die meisten Zwecke der beste Weg, um die Web App Firewall zu konfigurieren.
Um den Assistenten zu verwenden, stellen Sie mit dem Browser Ihrer Wahl eine Verbindung zur GUI her. Wenn die Verbindung hergestellt wird, überprüfen Sie, ob die Web App Firewall aktiviert ist, und führen Sie dann den Web App Firewall-Assistenten aus, der Sie zur Eingabe von Konfigurationsinformationen auffordert. Sie müssen nicht alle angeforderten Informationen angeben, wenn Sie den Assistenten zum ersten Mal verwenden. Stattdessen können Sie Standardeinstellungen akzeptieren, einige relativ einfache Konfigurationsaufgaben ausführen, um wichtige Funktionen zu aktivieren, und dann zulassen, dass die Web App Firewall wichtige Informationen sammeln kann, um die Konfiguration abzuschließen.
Wenn der Assistent Sie beispielsweise auffordert, eine Regel für die Auswahl des zu verarbeitenden Datenverkehrs anzugeben, können Sie die Standardeinstellung übernehmen, die den gesamten Datenverkehr auswählt. Wenn eine Liste von Signaturen angezeigt wird, können Sie die entsprechenden Signaturkategorien aktivieren und die Sammlung von Statistiken für diese Signaturen aktivieren. Bei dieser Erstkonfiguration können Sie den erweiterten Schutz (Sicherheitsprüfungen) überspringen. Der Assistent erstellt automatisch die entsprechende Richtlinie, das Signaturobjekt und das entsprechende Profil (gemeinsam die Sicherheitskonfiguration) und bindet die Richtlinie an global. Die Web App Firewall beginnt dann mit dem Filtern von Verbindungen zu Ihren geschützten Websites, protokolliert alle Verbindungen, die mit einer oder mehreren der von Ihnen aktivierten Signaturen übereinstimmen, und sammelt Statistiken über die Verbindungen, denen jede Signatur entspricht. Nachdem die Web App Firewall einen bestimmten Datenverkehr verarbeitet hat, können Sie den Assistenten erneut ausführen und die Protokolle und Statistiken überprüfen, um festzustellen, ob eine der aktivierten Signaturen mit dem legitimen Datenverkehr übereinstimmt. Nachdem Sie ermittelt haben, welche Signaturen den Datenverkehr identifizieren, den Sie blockieren möchten, können Sie die Blockierung für diese Signaturen aktivieren. Wenn Ihre Website oder Webdienst nicht komplex ist, keine SQL verwendet und keinen Zugriff auf vertrauliche private Informationen hat, bietet diese grundlegende Sicherheitskonfiguration wahrscheinlich einen angemessenen Schutz.
Möglicherweise benötigen Sie zusätzlichen Schutz, wenn Ihre Website beispielsweise dynamisch ist. Inhalte, die Skripts verwenden, benötigen möglicherweise Schutz vor websiteübergreifenden Skriptangriffen. Webinhalte, die SQL verwenden, z. B. Einkaufswagen, viele Blogs und die meisten Content-Management-Systeme, benötigen möglicherweise Schutz vor SQL-Injection-Angriffen. Websites und Webdienste, die vertrauliche private Informationen wie Sozialversicherungsnummern oder Kreditkartennummern erfassen, können Schutz vor unbeabsichtigter Offenlegung dieser Informationen erfordern. Bestimmte Arten von Web-Server- oder XML-Server-Software erfordern möglicherweise Schutz vor Arten von Angriffen, die auf diese Software zugeschnitten sind. Eine andere Überlegung ist, dass bestimmte Elemente Ihrer Websites oder Webdienste einen anderen Schutz erfordern als andere Elemente. Wenn Sie die Protokolle und Statistiken der Web App Firewall überprüfen, können Sie die zusätzlichen Schutzmaßnahmen identifizieren, die Sie möglicherweise benötigen.
Nachdem Sie entschieden haben, welche erweiterten Schutzmaßnahmen für Ihre Websites und Webdienste erforderlich sind, können Sie den Assistenten erneut ausführen, um diese Schutzmaßnahmen zu konfigurieren. Bestimmte Sicherheitsprüfungen erfordern, dass Sie Ausnahmen (Relaxationen) eingeben, um zu verhindern, dass die Überprüfung den legitimen Datenverkehr blockiert. Sie können dies manuell tun, aber es ist in der Regel einfacher, die adaptive Lernfunktion zu aktivieren und ihm die notwendige Entspannung zu empfehlen. Sie können den Assistenten so oft wie nötig verwenden, um Ihre grundlegende Sicherheitskonfiguration zu verbessern und/oder zusätzliche Sicherheitskonfigurationen zu erstellen.
Der Assistent automatisiert einige Aufgaben, die Sie manuell ausführen müssen, wenn Sie den Assistenten nicht verwenden. Es erstellt automatisch eine Richtlinie, ein Signaturobjekt und ein Profil und weist ihnen den Namen zu, den Sie angegeben haben, als Sie zur Eingabe des Namens Ihrer Konfiguration aufgefordert wurden. Der Assistent fügt auch Ihre Einstellungen für den verstärkten Schutz dem Profil hinzu, bindet das Signaturobjekt an das Profil, ordnet das Profil der Richtlinie zu und setzt die Richtlinie durch Bindung an Global in Kraft.
Einige Aufgaben können im Assistenten nicht ausgeführt werden. Sie können den Assistenten nicht verwenden, um eine Richtlinie an einen anderen Bindepunkt als Global zu binden. Wenn das Profil nur auf einen bestimmten Teil der Konfiguration angewendet werden soll, müssen Sie die Bindung manuell konfigurieren. Sie können die Moduleinstellungen oder bestimmte andere globale Konfigurationsoptionen im Assistenten nicht konfigurieren. Sie können zwar eine der erweiterten Schutzeinstellungen im Assistenten konfigurieren, aber wenn Sie eine bestimmte Einstellung in einer einzigen Sicherheitsprüfung ändern möchten, ist es möglicherweise einfacher, dies auf den manuellen Konfigurationsbildschirmen in der GUI zu tun.
Weitere Informationen zur Verwendung des Web App Firewall-Assistenten finden Sie unter Der Web App Firewall-Assistent.
Die Citrix Web Interface AppExpert Vorlage
AppExpert Templates sind ein anderer und einfacherer Ansatz zur Konfiguration und Verwaltung komplexer Unternehmensanwendungen. Die AppExpert Anzeige in der GUI besteht aus einer Tabelle. Anwendungen werden in der Spalte ganz links aufgeführt, wobei die Citrix ADC Funktionen, die für diese Anwendung gelten, jeweils in einer eigenen Spalte rechts angezeigt werden. (In der AppExpert Schnittstelle werden die Funktionen, die einer Anwendung zugeordnet sind, als Anwendungseinheitenbezeichnet.) In der AppExpert t-Benutzeroberfläche konfigurieren Sie den interessanten Datenverkehr für jede Anwendung und aktivieren Regeln für Komprimierung, Zwischenspeichern, Umschreiben, Filtern, Responder und die Web App Firewall, anstatt jedes Feature einzeln konfigurieren zu müssen.
Web Interface AppExpert Template enthält Regeln für die folgenden Web App Firewall -Signaturen und Sicherheitsprüfungen:
- URL-Prüfung verweigern. Erkennt Verbindungen zu Inhalten, die bekanntermaßen ein Sicherheitsrisiko darstellen, oder zu anderen URLs, die Sie festlegen.
- Pufferüberlauf-Prüfung. Erkennt Versuche, einen Pufferüberlauf auf einem geschützten Webserver zu verursachen.
- Überprüfung der Cookie-Konsistenz. Erkennt bösartige Änderungen an Cookies, die von einer geschützten Website gesetzt werden.
- Konsistenzprüfung für Formularfelder. Erkennt Änderungen an der Struktur eines Webformulars auf einer geschützten Website.
- Überprüfung der CSRF-Formularkennzeichnung. Erkennt Angriffe zur siteübergreifenden Anforderungsfälschung.
- Überprüfung der Feldformate. Erkennt unangemessene Informationen, die in Webformularen auf einer geschützten Website hochgeladen wurden.
- Überprüfung der HTML SQL-Einschleusung. Erkennt Versuche, nicht autorisierten SQL-Code zu injizieren.
- HTML-Site-übergreifende Skript-Überprüfung Erkennt Cross-Site-Scripting-Angriffe.
Informationen zum Installieren und Verwenden einer AppExpert-Vorlage finden Sie unter AppExpert AppExpert AppApplications and Templates.
Die Citrix GUI
Die GUI ist eine webbasierte Schnittstelle, die Zugriff auf alle Konfigurationsoptionen für die Web App Firewall Funktion bietet, einschließlich erweiterter Konfigurations- und Verwaltungsoptionen, die nicht über andere Konfigurationstools oder Schnittstellen verfügbar sind. Insbesondere können viele erweiterte Signaturoptionen nur in der GUI konfiguriert werden. Sie können Empfehlungen, die von der Lernfunktion generiert wurden, nur in der GUI überprüfen. Sie können Richtlinien nur in der GUI an einen anderen Bindepunkt als Global binden.
Eine Beschreibung der GUI finden Sie unter Die Web App Firewall-Konfigurationsschnittstellen. Weitere Informationen zur Verwendung der GUI zum Konfigurieren der Web App Firewall finden Sie unter Manuelle Konfiguration mit der GUI.
Anweisungen zum Konfigurieren der Web App Firewall über die grafische Benutzeroberfläche finden Sie unter Manuelle Konfiguration mit der GUI. Informationen zur Citrix-ADC-GUI finden Sie unter Die Web App Firewall-Konfigurationsschnittstellen.
Die Citrix ADC Befehlszeilenschnittstelle
Die Citrix ADC Befehlszeilenschnittstelle ist eine modifizierte UNIX-Shell, die auf der FreeBSD bash Shell basiert. Um die Web App Firewall über die Befehlszeilenschnittstelle zu konfigurieren, geben Sie Befehle an der Eingabeaufforderung ein und drücken die Eingabetaste, genau wie bei jeder anderen Unix-Shell. Sie können die meisten Parameter und Optionen für die Web App Firewall mit der NetScaler Befehlszeile konfigurieren. Ausnahmen sind die Signaturfunktion, von denen viele Optionen nur über die GUI oder den Web App Firewall Assistenten konfiguriert werden können, und die Lernfunktion, deren Empfehlungen nur in der GUI überprüft werden können.
Anweisungen zum Konfigurieren der Web App Firewall mithilfe der Citrix ADC-Befehlszeile finden Sie unter Manuelle Konfiguration mit der Befehlszeilenschnittstelle.