Citrix ADC

Der Web App Firewall Assistent

Im Gegensatz zu den meisten Assistenten dient der Citrix Web App Firewall Wizard nicht nur dazu, den anfänglichen Konfigurationsprozess zu vereinfachen, sondern auch zuvor erstellte Konfigurationen zu ändern und Ihre Web App Firewall zu verwalten. Ein typischer Benutzer führt den Assistenten mehrmals aus und überspringt jedes Mal einige der Bildschirme.

Der Web App Firewall Assistent erstellt automatisch Profile, Richtlinien und Signaturen.

Öffnen des Assistenten

Um den Web App Firewall Assistenten auszuführen, öffnen Sie die GUI und gehen Sie folgendermaßen vor:

  1. Navigieren Sie zu Sicherheit > Application Firewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.

Weitere Informationen zur GUI finden Sie unter “Die Web App Firewall-Konfigurationsschnittstellen. “

Die Bildschirme des Assistenten

Der Web App Firewall Assistent zeigt die folgenden Bildschirme auf einer tabellarischen Seite an:

1. Name angeben: Geben Sie auf diesem Bildschirm beim Erstellen einer neuen Sicherheitskonfiguration einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil an. Die Standardrichtlinie und die Signaturen werden automatisch unter Verwendung des gleichen Namens generiert.

Profilname

Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstreichungssymbol beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), Gleich (=), Doppelpunkt (:) und Unterstrich (_) bestehen. Wählen Sie einen Namen, der es anderen leicht macht, zu wissen, welche Inhalte Ihre neue Sicherheitskonfiguration schützt.

Hinweis:

Da der Assistent diesen Namen sowohl für die Richtlinie als auch für das Profil verwendet, ist er auf 31 Zeichen beschränkt. Manuell erstellte Richtlinien können bis zu 127 Zeichen lang sein.

Wenn Sie eine vorhandene Konfiguration ändern, wählen Sie Vorhandene Konfiguration ändern aus, und wählen Sie dann in der Dropdownliste Name den Namen der vorhandenen Konfiguration aus, die Sie ändern möchten.

Hinweis:

Nur Richtlinien, die an globale oder an einen Bindepunkt gebunden sind, werden in dieser Liste angezeigt. Sie können eine nicht gebundene Richtlinie nicht mithilfe des Assistenten für die Anwendungsfirewall ändern. Sie müssen es entweder manuell an Global oder an einen Bindepunkt binden oder manuell ändern. (Zur manuellen Änderung in der GUI) Application Firewall > Richtlinien > Firewall Bereich wählen Sie die Richtlinie aus und klicken Sie auf Öffnen.

Profiltyp

Auf diesem Bildschirm wählen Sie auch einen Profiltyp aus. Der Profiltyp bestimmt die Typen des erweiterten Schutzes (Sicherheitsprüfungen), die konfiguriert werden können. Da bestimmte Arten von Inhalten nicht anfällig für bestimmte Arten von Sicherheitsbedrohungen sind, spart die Einschränkung der Liste der verfügbaren Prüfungen während der Konfiguration Zeit. Die Typen von Web App Firewall Profilen sind:

  • Webanwendung (HTML). Jede HTML-basierte Website, die keine XML- oder Web 2.0-Technologien verwendet.
  • XML-Anwendung (XML, SOAP). Jeder XML-basierte Webdienst.
  • Web 2.0-Anwendung (HTML, XML, REST). Jede Web 2.0-Website, die HTML- und XML-basierte Inhalte kombiniert, z. B. eine Atom-basierte Website, ein Blog, ein RSS-Feed oder ein Wiki.

Hinweis: Wenn Sie sich nicht sicher sind, welche Art von Inhalt auf Ihrer Website verwendet wird, können Sie Web 2.0-Anwendung wählen, um sicherzustellen, dass Sie alle Arten von Webanwendungsinhalten schützen.

2. Regel angeben: In diesem Fenster geben Sie die Richtlinienregel (Ausdruck) an, die den Datenverkehr definiert, den die aktuelle Konfiguration untersucht. Wenn Sie eine Erstkonfiguration zum Schutz Ihrer Websites und Webdienste erstellen, können Sie den Standardwert trueakzeptieren, der den gesamten Webverkehr auswählt.

Wenn diese Sicherheitskonfiguration nicht den gesamten HTTP-Datenverkehr, der über die Appliance geleitet wird, sondern den spezifischen Datenverkehr untersuchen soll, können Sie eine Richtlinienregel schreiben, die den Datenverkehr angibt, den er untersuchen soll. Regeln werden in Citrix ADC Ausdrücke geschrieben, die eine voll funktionsfähige objektorientierte Programmiersprache ist.

Hinweis: Zusätzlich zur Syntax der Standardausdrücke unterstützt das Citrix ADC-Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax für klassische Ausdrücke von Citrix ADC auf Citrix ADC Classic- und NCore-Appliances und virtuellen Appliances. Klassische Ausdrücke werden von Citrix ADC Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Benutzer, die ihre vorhandenen Konfigurationen in den Citrix ADC Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.

  • Eine einfache Beschreibung zur Verwendung der Syntax für Citrix ADC-Ausdrücke zum Erstellen von Web App Firewall-Regeln und eine Liste nützlicher Regeln finden Sie unter Firewall-Richtlinien.
  • Eine ausführliche Erklärung zum Erstellen von Richtlinienregeln in der Syntax von Citrix ADC Ausdrücken finden Sie unter Richtlinien und Ausdrücke.

4. Wählen Sie Signaturen aus: Auf diesem Bildschirm wählen Sie die Kategorien von Signaturen aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten.

Dies ist kein obligatorischer Schritt, und Sie können ihn überspringen, wenn Sie möchten, und gehen Sie zum Bildschirm Deep Protections angeben. Wenn der Bildschirm Signaturen auswählen übersprungen wird, werden nur ein Profil und zugehörige Richtlinien erstellt, und die Signaturen werden nicht erstellt.

Sie können die Option Neue Signatur erstellen oder Vorhandene Signatur auswählen auswählen.

Wenn Sie eine neue Sicherheitskonfiguration erstellen, werden die ausgewählten Signaturkategorien aktiviert und standardmäßig in einem neuen Signaturobjekt aufgezeichnet. Dem neuen Signaturobjekt wird der gleiche Name zugewiesen, den Sie auf dem Bildschirm Name angeben eingegeben haben wie der Name der Sicherheitskonfiguration.

Wenn Sie zuvor Signaturobjekte konfiguriert haben und eines davon als Signaturobjekt verwenden möchten, das der zu erstellenden Sicherheitskonfiguration zugeordnet ist, klicken Sie auf Vorhandene Signatur auswählen, und wählen Sie ein Signaturobjekt aus der Liste Signaturen aus.

Wenn Sie eine vorhandene Sicherheitskonfiguration ändern, können Sie auf Vorhandene Signatur auswählen klicken und der Sicherheitskonfiguration ein anderes Signaturobjekt zuweisen.

Wenn Sie auf Neue Signatur erstellen klicken, können Sie den Bearbeitungsmodus als Einfach oder Erweitert wählen.

  1. Signaturschutz angeben (Einfacher Modus)

Der einfache Modus ermöglicht eine einfache Konfiguration der Signatur mit einer voreingestellten Liste von Schutzdefinitionen für gängige Anwendungen wie IIS (Internet Information Server), PHP und ActiveX. Die Standardkategorien im einfachen Modus sind:

  • CGI. Schutz vor Angriffen auf Websites, die CGI-Skripts in jeder Sprache verwenden, einschließlich PERL-Skripts, Unix-Shell-Skripts und Python-Skripts.

  • Cold Fusion. Schutz vor Angriffen auf Websites, die die Adobe Systems® ColdFusion® Web-Entwicklungsplattform verwenden.

  • FrontPage. Schutz vor Angriffen auf Websites, die die Microsoft® FrontPage® Web-Entwicklungsplattform nutzen.

  • PHP. Schutz vor Angriffen auf Websites, die die Open-Source-Webentwicklungs-Scriptsprache von PHP verwenden.

  • Client side. Schutz vor Angriffen auf clientseitige Tools, die für den Zugriff auf Ihre geschützten Websites wie Microsoft Internet Explorer, Mozilla Firefox, den Opera-Browser und den Adobe Acrobat Reader verwendet werden.

  • Microsoft IIS. Schutz vor Angriffen auf Websites, auf denen der Microsoft Internet Information Server (IIS) betrieben wird

  • Sonstiges. Schutz vor Angriffen auf andere serverseitige Tools wie Webserver und Datenbankserver.

Auf diesem Bildschirm wählen Sie die Aktionen aus, die den Signaturkategorien zugeordnet sind, die Sie auf dem Bildschirm Signaturen auswählen ausgewählt haben. Die Aktionen, die Sie konfigurieren können, sind:

  • Blockieren
  • Protokollierung
  • Statistiken

Standardmäßig sind die Aktionen Protokoll und Statistik aktiviert, aber nicht die Aktion Blockieren. Klicken Sie zum Konfigurieren von Aktionen auf Einstellungen. Sie können die Aktionseinstellungen aller ausgewählten Kategorien mithilfe der Dropdownliste Aktion ändern.

  1. Signaturschutz angeben (erweiterter Modus)

Der erweiterte Modus ermöglicht eine genauere Kontrolle über die Signaturdefinitionen und bietet deutlich mehr Informationen. Verwenden Sie den erweiterten Modus, wenn Sie vollständige Kontrolle über die Signaturdefinition wünschen.

Der Inhalt dieses Bildschirms entspricht dem Inhalt des Dialogfelds “Signatures-Objekt ändern”, wie unter Konfigurieren oder Ändern eines Signatures-Objektsbeschrieben. In diesem Bildschirm können Sie Aktionen konfigurieren, indem Sie entweder auf die Dropdownliste Aktionen oder auf das Aktionsmenü klicken, das als Kreis mit drei Punkten angezeigt wird.

7. Geben Sie Deep Protections an: Auf diesem Bildschirm wählen Sie die erweiterten Schutzmaßnahmen (auch Sicherheitsüberprüfungen oder einfach als Prüfungen bezeichnet), die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten. Welche Prüfungen verfügbar sind, hängt vom Profiltyp ab, den Sie im Fenster Name angeben ausgewählt haben. Alle Prüfungen sind für Web 2.0-Anwendungsprofile verfügbar.

Weitere Informationen finden Sie unter Überblick über Sicherheitsprüfungenund unter Erweiterte Formularschutzprüfungen.

Sie konfigurieren die Aktionen für den erweiterten Schutz, den Sie aktiviert haben.Die Aktionen, die Sie konfigurieren können, sind:

  • Block: Blockiert Verbindungen, die mit der Signatur übereinstimmen. Diese Funktion ist standardmäßig deaktiviert.
  • Protokoll: Protokolliert Verbindungen, die mit der Signatur übereinstimmen, für eine spätere Analyse. Standardmäßig aktiviert.
  • Statistiken: verwaltet Statistiken für jede Signatur, die zeigen, wie viele Verbindungen sie übereinstimmten, und geben bestimmte andere Informationen über die Arten von Verbindungen, die blockiert wurden. Diese Funktion ist standardmäßig deaktiviert.
  • Lernen. Beobachten Sie den Datenverkehr zu dieser Website oder Webdienst, und verwenden Sie Verbindungen, die wiederholt gegen diese Prüfung verstoßen, um empfohlene Ausnahmen für die Prüfung oder neue Regeln für die Prüfung zu generieren. Nur für einige Schecks verfügbar. Weitere Informationen zur Lernfunktion finden Sie unter Konfigurieren und Verwenden der Lernfunktionund wie Lernen funktioniert und wie Ausnahmen (Entspannungen) konfiguriert oder erlernte Regeln für eine Überprüfung bereitstellen, finden Sie unter Manuelle Konfiguration mit der GUI.

Um Aktionen zu konfigurieren, aktivieren Sie den Schutz, indem Sie auf das Kontrollkästchen klicken, und klicken Sie dann auf Aktionseinstellungen, um die erforderlichen Aktionen auszuwählen. Wählen Sie ggf. andere Parameter aus, und klicken Sie dann auf OK, um das Fenster Aktionseinstellungen zu schließen.

Um alle Protokolle für eine bestimmte Prüfung anzuzeigen, wählen Sie diese Prüfung aus, und klicken Sie dann auf Protokolle, um den Syslog Viewer anzuzeigen, wie in Web App Firewall Logsbeschrieben. Wenn eine Sicherheitsüberprüfung den legitimen Zugriff auf Ihre geschützte Website oder Ihren geschützten Webdienst blockiert, können Sie eine Entspannung für diese Sicherheitsprüfung erstellen und implementieren, indem Sie ein Protokoll auswählen, das die unerwünschte Blockierung anzeigt, und dann auf Bereitstellenklicken.

Nachdem Sie die Aktionseinstellungen festgelegt haben, klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

Im Folgenden finden Sie vier Verfahren, die zeigen, wie bestimmte Konfigurationstypen mithilfe des Web App Firewall Assistenten ausgeführt werden.

Erstellen einer neuen Konfiguration

Gehen Sie folgendermaßen vor, um mithilfe des Applicaiton Firewall-Assistenten eine neue Firewall-Konfiguration und Signaturobjekte zu erstellen.

  1. Navigieren Sie zu Sicherheit > Application Firewall.

  2. Klicken Sie im Detailbereich unter Erste Schritteauf **Anwendungsfirewall. Der Assistent wird geöffnet.

    Assistent

  3. Wählen Sie im Bildschirm Namen angeben die Option Neue Konfiguration **erstellen aus.

  4. Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.

  5. Klicken Sie im Fenster Regel angeben erneut auf Weiter .

  6. Wählen Sie im Bildschirm Signaturen auswählen die Option Neue Signatur erstellen und Einfach als Bearbeitungsmodus aus, und klicken Sie dann auf Weiter.

  7. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen. Weitere Informationen darüber, welche Signaturen zum Blockieren zu berücksichtigen sind und wie Sie feststellen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unter Signaturen.

  8. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.

  9. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Fertig stellen, um den Assistenten für die Anwendungsfirewall zu schließen.

Ändern einer vorhandenen Konfiguration

Gehen Sie folgendermaßen vor, um eine vorhandene Konfiguration und vorhandene Signaturkategorien zu ändern.

  1. Navigieren Sie zu Sicherheit > Application Firewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.
  3. Wählen Sie im Fenster Name angeben die Option Vorhandene Konfiguration ändern aus, und wählen Sie in der Dropdownliste Name die Sicherheitskonfiguration aus, die Sie während der neuen Konfiguration erstellt haben, und klicken Sie dann auf Weiter.
  4. Klicken Sie im Fenster Regel angeben auf “Weiter”, um den Standardwert “true” beizubehalten. Wenn Sie die Regel ändern möchten, führen Sie die unter Konfigurieren eines benutzerdefinierten Richtlinienausdrucks beschriebenen Schritte aus.
  5. Klicken Sie im Bildschirm Signaturen auswählen auf Vorhandene Signatur auswählen. Wählen Sie in der Dropdownliste Vorhandene Unterschrift die entsprechende Option aus, und klicken Sie dann auf Weiter. Der erweiterte Signaturschutz wird angezeigt. Hinweis: Wenn Sie eine vorhandene Signatur auswählen, wird der Standard-Bearbeitungsmodus für die geschützte Signatur erweitert.
  6. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen, und klicken Sie auf Weiter. Weitere Informationen darüber, welche Signaturen zum Blockieren zu berücksichtigen sind und wie Sie feststellen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unter Signaturen.
  7. Konfigurieren Sie im Fenster Deep Protections angeben die Einstellungen, und klicken Sie auf Weiter.
  8. Klicken Sie nach dem Abschluss auf Fertig stellen, um den Web App Firewall Assistenten zu schließen.

Erstellen einer neuen Konfiguration ohne Signaturen

Gehen Sie folgendermaßen vor, um den Anwendungs-Firewall-Assistenten zu verwenden, um den Bildschirm Signaturen auswählen zu überspringen und eine neue Konfiguration mit nur dem Profil und den zugehörigen Richtlinien ohne Signaturen zu erstellen.

  1. Navigieren Sie zu Sicherheit > Application Firewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent. Der Assistent wird geöffnet.
  3. Wählen Sie im Bildschirm Name angeben die Option Neue Konfiguration erstellenaus.
  4. Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.
  5. Klicken Sie im Bildschirm “Regel angeben “ erneut auf Next.
  6. Klicken Sie im Bildschirm “Signaturen auswählen “ auf “ Überspringen”.
  7. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
  8. Klicken Sie nach Abschluss auf Fertig stellen, um den Assistenten für die Anwendungsfirewall zu schließen.

Konfigurieren eines benutzerdefinierten Richtlinienausdrucks

Gehen Sie folgendermaßen vor, um mithilfe des Anwendungs-Firewall-Assistenten eine spezielle Sicherheitskonfiguration zu erstellen, um nur bestimmte Inhalte zu schützen. In diesem Fall erstellen Sie eine neue Sicherheitskonfiguration, anstatt die Erstkonfiguration zu ändern. Für diese Sicherheitskonfiguration ist eine benutzerdefinierte Regel erforderlich, damit die Richtlinie die Konfiguration nur auf den ausgewählten Webdatenverkehr anwendet.

  1. Navigieren Sie zu Sicherheit > Application Firewall.
  2. Klicken Sie im Detailbereich unter Erste Schritte auf Anwendungs-Firewall-Assistent.
  3. Geben Sie im Fenster Name angeben einen Namen für die neue Sicherheitskonfiguration in das Textfeld Name ein, wählen Sie den Typ der Sicherheitskonfiguration aus der Dropdownliste Typ aus, und klicken Sie dann auf Weiter.
  4. Geben Sie im Fenster Regel angeben eine Regel ein, die nur dem Inhalt entspricht, den diese Webanwendung schützen soll. Verwenden Sie die Dropdownliste Häufig verwendete Ausdrücke und den Ausdruckseditor, um einen benutzerdefinierten Ausdruck zu erstellen. Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Weiter.
  5. Wählen Sie im Bildschirm Signaturen auswählen den Bearbeitungsmodus aus, und klicken Sie dann auf Weiter .
  6. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen.
  7. Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
  8. Wenn Sie fertig sind, klicken Sie auf Beenden, um den Assistenten für Anwendungsfirewallzu schließen.
Der Web App Firewall Assistent