Engine-Einstellungen
Die Engine-Einstellungen wirken sich auf alle Anforderungen und Antworten aus, die von der Citrix Web App Firewall verarbeitet werden. Im Folgenden sind die Einstellungen:
- Cookie-Name— Der Name des Cookies, in dem die Citrix ADC -Sitzungs-ID gespeichert ist.
- Sitzungszeitüberschreitung— Der maximal zulässige inaktive Zeitraum. Wenn eine Benutzersitzung für diese Dauer keine Aktivität anzeigt, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen.
- Cookie post-encrypts Präfix: Die Zeichenfolge, die dem verschlüsselten Teil aller verschlüsselten Cookies vorangeht.
- Maximale Sitzungslebensdauer: Die maximale Zeitdauer (in Sekunden), in der eine Sitzung live bleiben darf. Nachdem dieser Zeitraum erreicht ist, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen. Diese Einstellung darf nicht kleiner sein als das Sitzungstimeout. Um diese Einstellung zu deaktivieren, so dass keine maximale Sitzungslebensdauer vorhanden ist, setzen Sie den Wert auf Null (0).
- Logging Headername— Der Name des HTTP-Headers, der die Client-IP enthält, für die Protokollierung.
- Undefiniertes Profil— Das Profil, das angewendet wird, wenn die entsprechende Richtlinienaktion als nicht definiert ausgewertet wird.
- Standardprofil— Das Profil, das auf Verbindungen angewendet wird, die nicht mit einer Richtlinie übereinstimmen.
- Importgrößenlimit: Die maximale Byteanzahl aller in die Appliance importierten Dateien, einschließlich Signaturen, WSDLs, Schemas, HTML- und XML-Fehlerseiten. Wenn während eines Imports die Größe des importierten Objekts bewirkt, dass die kumulative Anzahl aller importierten Dateien den konfigurierten Grenzwert überschreitet, schlägt der Importvorgang fehl. Und die Appliance zeigt die folgende Fehlermeldung an: “FEHLER: Import fehlgeschlagen - Überschreiten der konfigurierten Gesamtgrößengrenze für die importierten Objekte”.
- Grenzwert für Lernnachrichten: Die maximale Anzahl von Anfragen und Antworten pro Sekunde, die die Lern-Engine verarbeiten soll. Zusätzliche Anfragen oder Antworten über dieses Limit werden nicht an die Lern-Engine gesendet.
- Entitätsdekodierung— Dekodieren von HTML-Entitäten bei der Ausführung von Web App Firewall Prüfungen.
- Fehlerhafte Anforderung protokollieren— Aktivieren Sie die Protokollierung von fehlerhaften HTTP-Anforderungen.
- Konfigurierbarer geheimer Schlüsselverwenden — Verwenden Sie einen konfigurierbaren geheimen Schlüssel für Web App Firewall Vorgänge. Dieser geheime Schlüssel wird zum Signieren und Verifizieren von Daten verwendet. Wenn “UseConfigurableSecretKey” eingeschaltet ist, müssen Sie den Schlüssel verwenden, der im Parameter “set ns EncryptionParams” aktiviert ist.
- Gelernte Daten zurücksetzen— Entfernen Sie alle gelernten Daten aus der Web App Firewall. Startet den Lernprozess neu, indem neue Daten gesammelt werden.
Zwei Einstellungen, Gelernte Daten zurücksetzen und Automatische Signaturen, sind an verschiedenen Stellen, je nachdem, ob Sie die Citrix Web App Firewall über die Befehlsschnittstelle oder die Citrix ADC GUI konfigurieren. Wenn Sie die Befehlsschnittstelle verwenden, konfigurieren Sie “Gelernte Daten zurücksetzen” mithilfe des Befehls “appfw learning data”. Dies nimmt keine Parameter und hat keine anderen Funktionen. Sie können die automatische Aktualisierung der Signatur im Befehl set appfw settings konfigurieren. Der Parameter -SignatureAutoUpdate aktiviert oder deaktiviert die automatische Aktualisierung der Signaturen, und -signatureURL konfiguriert die URL, die die aktualisierte Signaturdatei hostet.
Wenn Sie die Citrix ADC GUI verwenden, konfigurieren Sie Gelernte Daten zurücksetzen unter Sicherheit > Citrix Web App Firewall > Engine-Einstellungen. Die Option Gelernte Daten zurücksetzen befindet sich am unteren Rand des Dialogfelds. Sie konfigurieren Signaturen Auto-Update für jeden Satz von Signaturen unter Sicherheit > Citrix Web App Firewall > Signaturen, indem Sie die Signaturdatei auswählen, mit der rechten Maustaste klicken und Einstellungen für automatische Updates auswählen.
Normalerweise sind die Standardwerte für die Web App Firewall Einstellungen korrekt. Wenn die Standardeinstellungen jedoch zu einem Konflikt mit anderen Servern führen oder eine vorzeitige Trennung Ihrer Benutzer führen, müssen Sie diese ändern.
Das Sitzungslimit der Web App Firewall kann mit dem folgenden Befehl konfiguriert werden:
> set appfw settings -sessionLimit 500000
Done
Default value:100000 Max value:500000 per PE
So konfigurieren Sie Engine-Einstellungen mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]save ns config
Beispiel
set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config
So konfigurieren Sie Engine-Einstellungen über die Citrix ADC GUI
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall
- Klicken Sie im Detailbereich unter Einstellungen auf Engine-Einstellungen ändern.
- Legen Sie im Dialogfeld Einstellungen für Web App Firewall die folgenden Parameter fest:
- Cookie-Name
- Sitzungstimeout
- Präfix für Cookie-Post verschlüsseln
- Maximale Sitzungslebensdauer
- Protokollierungskopfname
- Nicht definiertes Profil
- Standardprofil
- Import-Größenbeschränkung
- Lerne Nachrichten Rate Limit
- Entitätsdekodierung
- Fehlformatierte Anforderung protokollieren
- Geheimer Schlüssel verwenden
- Lernen Grenzwert für Nachrichtenrate
- Signaturen automatisch aktualisieren
-
Klicken Sie auf OK.
