-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
Vielen Dank für Ihr Feedback.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Kreditkarten-Scheck
Wenn Sie über eine Anwendung verfügen, die Kreditkarten akzeptiert oder Ihre Websites Zugriff auf Datenbankserver haben, auf denen Kreditkartennummern gespeichert sind, müssen Sie DLP-Maßnahmen (Data Leak Prevention) verwenden und den Schutz für jeden Kreditkartentyp konfigurieren, den Sie akzeptieren.
Die Citrix Web App Firewall Credit Card-Prüfung verhindert, dass Angreifer Datenleck Prevention-Fehler ausnutzen, um Kreditkartennummern Ihrer Kunden zu erhalten. Durch einfache Konfigurationsschritte können Sie den Schutz einer oder mehrerer der folgenden Kreditkarten erzwingen: 1) Visa, 2) Master Card, 3) Discover, 4) American Express (Amex), 5) JCB und 6) Diners Club.
Die Kreditkarten-Sicherheitsprüfung untersucht Serverantworten, um Instanzen der Zielkreditkartennummern zu identifizieren, und wendet eine bestimmte Aktion an, wenn eine solche Nummer gefunden wird. Die Aktion kann darin bestehen, die Antwort zu transformieren, indem alle Ziffern außer der letzten Gruppe in der Kreditkartennummer herausgenommen werden, oder die Antwort zu blockieren, wenn sie mehr als eine bestimmte Anzahl von Kreditkartennummern enthält. Wenn Sie beide angeben, hat die Blockaktion Vorrang. Die Einstellung Maximal zulässige Kreditkarten pro Seite legt fest, wann die Sperraktion aufgerufen wird. Die Standardeinstellung 0 (auf der Seite sind keine Kreditkartennummern zulässig) ist die sicherste, aber Sie können bis zu 255 zulassen. Je nachdem, wo die Verletzung in der Antwort erkannt wird und die Sperraktion ausgelöst wird, wird möglicherweise weniger als die maximal zulässige Anzahl an Kreditkarten in der Antwort angezeigt.
Um Fehlalarme zu vermeiden, können Sie Entspannungen anwenden, um bestimmte Nummern vom Kreditkartenscheck zu befreien. Beispielsweise könnte eine Sozialversicherungsnummer, eine Bestellnummer oder eine Google-Kontonummer mit einer Kreditkartennummer vergleichbar sein. Sie können einzelne Zahlen angeben oder einen regulären Ausdruck verwenden, um die Zeichenfolge anzugeben, die bei der Verarbeitung der Antwort-URL für die Kreditkartenprüfung umgangen werden soll.
Wenn Sie nicht sicher sind, welche Kreditkartennummern Sie befreien möchten, können Sie mit der Lernfunktion Empfehlungen basierend auf den erlernten Daten generieren. Um den optimalen Nutzen zu erzielen, ohne die Leistung zu beeinträchtigen, sollten Sie diese Option für kurze Zeit aktivieren, um ein repräsentatives Beispiel der Regeln zu erhalten, und dann die Entspannungen bereitzustellen und das Lernen zu deaktivieren.
Wenn Sie die Protokollfunktion aktivieren, generiert die Kreditkartenprüfung Protokollmeldungen, die die durchgeführten Aktionen angeben. Sie können die Protokolle überwachen, um festzustellen, ob Antworten auf legitime Anfragen blockiert werden. Eine starke Zunahme der Anzahl von Protokollmeldungen kann auf vereitelte Zugriffsversuche hinweisen. Standardmäßig ist der Parameter doSecureCreditCardLogging auf ON, so dass die Kreditkartennummer nicht in der Protokollnachricht enthalten ist, die durch den Verstoß gegen den sicheren Handel (Kreditkarte) generiert wurde.
Die Statistikfunktion sammelt Statistiken über Verstöße und Protokolle. Ein unerwarteter Anstieg im Statistikzähler deutet möglicherweise darauf hin, dass Ihre Anwendung angegriffen wird.
Um die Kreditkarten-Sicherheitsprüfung für den Schutz Ihrer Anwendung zu konfigurieren, konfigurieren Sie das Profil, das die Überprüfung des Datenverkehrs zu und von dieser Anwendung regelt.
Hinweis:
Eine Website, die nicht auf eine SQL-Datenbank zugreift, hat in der Regel keinen Zugriff auf vertrauliche private Informationen wie Kreditkartennummern.
Verwenden der Befehlszeile zum Konfigurieren der Kreditkartenprüfung
In der Befehlszeilenschnittstelle können Sie entweder den Befehl set appfw profile oder den Befehl add appfw profile verwenden, um die Kreditkartenprüfung zu aktivieren und festzulegen, welche Aktionen ausgeführt werden sollen. Sie können den Befehl unset appfw profile verwenden, um auf die Standardeinstellungen zurückzusetzen. Verwenden Sie zum Festlegen von Relaxationen den Befehl bind appfw, um Kreditkartennummern an das Profil zu binden.
So konfigurieren Sie eine Kreditkartenprüfung mit der Befehlszeile
Verwenden Sie entweder den Befehl set appfw profile oder den Befehl add appfw profile wie folgt:
set appfw profile <name> -creditCardAction ( ([block][learn] [log][stats]) | [none])set appfw profile <name> -creditCard (VISA | MASTERCARD | DISCOVER | AMEX | JCB | DINERSCLUB)set appfw profile <name> -creditCardMaxAllowed <integer>-
set appfw profile <name> -creditCardXOut ([ON] | [OFF])<name> -doSecureCreditCardLogging ([ON] | [OFF]) -
So konfigurieren Sie eine Kreditkartenentspannungsregel mit der Befehlszeile
Verwenden Sie den Befehl bind, um die Kreditkartennummer an das Profil zu binden. Um eine Kreditkartennummer aus einem Profil zu entfernen, verwenden Sie den Befehl unbind mit den gleichen Argumenten, die Sie für den Befehl bind verwendet haben. Mit dem Befehl show können Sie die Kreditkartennummern anzeigen, die an ein Profil gebunden sind.
-
So binden Sie eine Kreditkartennummer ein Profil
bind appfw profile <profile-name> -creditCardNumber <any number/regex> “<url>”Beispiel: bind appfw profile test_profile -creditCardNumber 378282246310005
http://www.example.com/credit\_card\_test.html-
So heben Sie die Bindung einer Kreditkartennummer von einem Profil auf
unbind appfw profile <profile-name> -creditCardNumber <credit card number / regex> <url> -
Um die Liste der Kreditkartennummern anzuzeigen, die an ein Profil gebunden sind.
show appfw profile <profile>
-
Verwenden der GUI zum Konfigurieren der Kreditkartenüberprüfung
In der GUI konfigurieren Sie die Kreditkartensicherheitsprüfung im Bereich für das Profil, das Ihrer Anwendung zugeordnet ist.
So fügen Sie die Kreditkarten-Sicherheitsprüfung mit der GUI hinzu oder ändern
-
Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil, und klicken Sie auf Bearbeiten.
-
Klicken Sie im Bereich Erweiterte Einstellungen auf Sicherheitsprüfungen.
In der Tabelle Sicherheitsprüfung werden die aktuell konfigurierten Aktionseinstellungen für alle Sicherheitsprüfungen angezeigt. Sie haben 2 Optionen für die Konfiguration:
- Wenn Sie nur Sperren, Protokollieren, Statistiken und Lernaktionen für Kreditkarte aktivieren oder deaktivieren möchten, können Sie die Kontrollkästchen in der Tabelle aktivieren oder deaktivieren, klicken Sie auf OK, und klicken Sie dann auf Speichernund Schließen, um den Bereich Sicherheitsprüfungzu schließen.
- Wenn Sie zusätzliche Optionen für diese Sicherheitsprüfung konfigurieren möchten, doppelklicken Sie auf Kreditkarte, oder wählen Sie die Zeile aus und klicken Sie auf Aktionseinstellungen, um weitere Optionen wie folgt anzuzeigen:
-
Ausgang — Maskieren Sie jede in einer Antwort erkannte Kreditkartennummer, indem Sie jede Ziffer mit Ausnahme der Ziffern in der endgültigen Gruppe durch den Buchstaben X.
-
Maximal zulässige Kreditkarten pro Seite — Geben Sie die Anzahl der Kreditkarten an, die an den Client weitergeleitet werden können, ohne eine Sperraktion auszulösen.
-
Geschützte Kreditkarten. Aktivieren oder deaktivieren Sie ein Kontrollkästchen, um den Schutz für jeden Kreditkartentyp zu aktivieren oder zu deaktivieren.
-
Sie können auch die Aktionen Sperren, Protokollieren, Statistiken und Lernen im Bereich Kreditkarteneinstellungen bearbeiten.
Nachdem Sie eine der oben genannten Änderungen vorgenommen haben, klicken Sie auf OK, um die Änderungen zu speichern und zur Tabelle Sicherheitsprüfungen zurückzukehren. Sie können bei Bedarf weitere Sicherheitsprüfungen konfigurieren. Klicken Sie auf OK, um alle Änderungen zu speichern, die Sie im Abschnitt Sicherheitsprüfungen vorgenommen haben, und klicken Sie dann auf Speichern und Schließen, um den Bereich Sicherheitsprüfung zu schließen.
-
-
Klicken Sie im Bereich Erweiterte Einstellungen auf Profileinstellungen . Aktivieren oder deaktivieren Sie das Kontrollkästchen Sichere Kreditkartenprotokollierung, um die sichere Protokollierung von Kreditkartennummern zu aktivieren oder zu deaktivieren. (Standardmäßig ist es ausgewählt).
Klicken Sie auf OK, um die Änderungen zu speichern.
-
So konfigurieren Sie eine Kreditkartenentspannungsregel mit der GUI
- Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil und klicken Sie auf Bearbeiten.
- Klicken Sie im Bereich Erweiterte Einstellungen auf Relaxationsregeln. Die Tabelle Relaxationsregeln enthält einen Kreditkarteneintrag. Sie können doppelklicken oder diese Zeile auswählen und auf Bearbeiten klicken, um den Dialog Kreditkartenentspannungsregeln aufzurufen. Sie können Vorgänge zum Hinzufügen, Bearbeiten, Löschen, Aktivierenoder Deaktivieren für Relaxierungsregeln ausführen.
Verwenden der Learn-Funktion mit dem Kreditkartencheck
Wenn die Lernaktion aktiviert ist, überwacht die Web App Firewall Learning Engine den Datenverkehr und lernt die ausgelösten Verletzungen. Sie können diese gelernten Regeln regelmäßig überprüfen. Wenn Sie nach gebührender Überlegung eine bestimmte Zeichenfolge von der Kreditkarten-Sicherheitsprüfung ausnehmen möchten, können Sie die Gelernte Regel als Relaxationsregel bereitstellen.
-
So zeigen Sie gelernte Daten mit der Befehlszeilenschnittstelle an oder verwenden
show appfw learningdata <profilename> creditCardNumberrm appfw learningdata <profilename> -creditcardNumber <credit card number> "<url>"export appfw learningdata <profilename> creditCardNumber -
So zeigen Sie gelernte Daten mit der GUI an oder verwenden
- Navigieren Sie zu Web App Firewall > Profile, markieren Sie das Zielprofil und klicken Sie auf Bearbeiten.
- Klicken Sie im Bereich Erweiterte Einstellungen auf Gelernte Regeln . Sie können den Kreditkarteneintrag in der Tabelle Gelernte Regeln auswählen und darauf doppelklicken, um auf die gelernten Regeln zuzugreifen. Sie können die erlernten Regeln bereitstellen oder eine Regel bearbeiten, bevor Sie sie als Relaxationsregel bereitstellen. Um eine Regel zu verwerfen, können Sie sie auswählen und auf die Schaltfläche Überspringen klicken. Sie können jeweils nur eine Regel bearbeiten, aber Sie können mehrere Regeln zum Bereitstellen oder Überspringen auswählen.
Sie haben auch die Möglichkeit, eine zusammengefasste Ansicht der gelernten Entspannungen anzuzeigen, indem Sie in der Tabelle Gelernte Regeln den Eintrag Kreditkarte auswählen und auf Visualizer klicken, um eine konsolidierte Ansicht aller gelernten Verletzungen zu erhalten. Der Visualizer macht es sehr einfach, die erlernten Regeln zu verwalten. Es bietet eine umfassende Ansicht der Daten auf einem Bildschirm und erleichtert das Handeln an einer Gruppe von Regeln mit einem Klick. Der größte Vorteil des Visualizers besteht darin, dass reguläre Ausdrücke zur Konsolidierung mehrerer Regeln empfohlen werden. Sie können eine Teilmenge dieser Regeln basierend auf dem Trennzeichen und der Aktions-URL auswählen. Sie können 25, 50 oder 75 Regeln im Visualizer anzeigen, indem Sie die Nummer aus einer Dropdownliste auswählen. Der Visualizer für erlernte Regeln bietet die Möglichkeit, die Regeln zu bearbeiten und als Relaxation bereitzustellen. Oder Sie können die Regeln überspringen, um sie zu ignorieren.
Verwenden der Log-Funktion mit dem Kreditkartencheck
Wenn die Protokollaktion aktiviert ist, werden die Verletzungen der Kreditkarten-Sicherheitsprüfung im Überwachungsprotokoll als Verstöße APPFW_SAFECOMMERCE oder APPFW_SAFECOMMERCE_XFORM protokolliert. Die Web App Firewall unterstützt sowohl native als auch CEF-Protokollformate. Sie können die Protokolle auch an einen entfernten Syslog-Server senden.
Die Standardeinstellung für doSecureCreditCardLogging ist ON. Wenn Sie es in OFF ändern, werden sowohl Kreditkartennummer als auch Typ in der Protokollnachricht enthalten.
Abhängig von den Einstellungen, die für die Kreditkartenüberprüfungen konfiguriert wurden, können die vom Anwendungs-Firewall generierten Protokollmeldungen folgende Informationen enthalten:
- Antwort wurde blockiert oder nicht blockiert.
- Kreditkartennummern wurden transformiert (X’d out). Für jede transformierte Kreditkartennummer wird eine separate Protokollnachricht generiert, so dass während der Verarbeitung einer einzelnen Antwort mehrere Protokollnachrichten generiert werden können.
- Die Antwort enthielt die maximale Anzahl potenzieller Kreditkartennummern.
-
Kreditkartennummern und ihre entsprechenden Typen.
-
So greifen Sie mit der Befehlszeile auf die Protokollmeldungen zu
Wechseln Sie zur Shell und senden Sie die ns.logs im Ordner /var/log/, um auf die Protokollmeldungen zu den Kreditkartenverstößen zuzugreifen:
- Shell
- tail -f /var/log/ns.log | grep SAFECOMMERCE
-
So greifen Sie mit der GUI auf die Protokollmeldungen zu
-
Die Citrix GUI enthält ein sehr nützliches Tool (Syslog Viewer) zur Analyse der Protokollmeldungen. Sie haben einige Optionen für den Zugriff auf den Syslog Viewer: Navigieren Sie zum Zielprofil > Sicherheitsprüfungen . Markieren Sie die Zeile Kreditkarte, und klicken Sie auf Protokolle. Wenn Sie direkt über die Kreditkarten-Sicherheitsprüfung des Profils auf die Protokolle zugreifen, filtert es die Protokollmeldungen aus und zeigt nur die Protokolle an, die sich auf diese Sicherheitsüberprüfungsverstöße beziehen.
-
Sie können auch auf den Syslog Viewer zugreifen, indem Sie zu NetScaler > System > Auditing navigieren . Klicken Sie im Abschnitt Audit-Meldungen auf den Link Syslog-Nachrichten, um den Syslog-Viewer anzuzeigen, der alle Protokollmeldungen einschließlich anderer Protokolle für Sicherheitsüberprüfungen anzeigt. Dies ist nützlich für das Debuggen, wenn während der Anforderungsverarbeitung mehrere Sicherheitsüberprüfungsverletzungen ausgelöst werden können.
Der HTML-basierte Syslog Viewer bietet verschiedene Filteroptionen, um nur die Protokollmeldungen auszuwählen, die für Sie von Interesse sind. Um auf die Protokollmeldungen der Kreditkarten-Sicherheitsüberprüfung zuzugreifen, filtern Sie, indem Sie APPFW in den Dropdown-Optionen für Modul auswählen. Der Ereignistyp zeigt eine Reihe von Optionen an, um Ihre Auswahl weiter zu verfeinern. Wenn Sie beispielsweise die Kontrollkästchen APPFW_SAFECOMMERCE und APPFW_SAFECOMMERCE_XFORM aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog-Viewer nur Protokollmeldungen angezeigt, die sich auf die Verstöße der Kreditkarten-Sicherheitsprüfung beziehen.
Wenn Sie den Cursor in der Zeile für eine bestimmte Protokollmeldung platzieren, werden unter der Protokollmeldung mehrere Optionen wie Module und EventType angezeigt. Sie können eine dieser Optionen auswählen, um die entsprechenden Informationen in den Protokollen hervorzuheben.
-
Beispiel für eine Protokollmeldung im nativen Format, wenn die Antwort nicht blockiert ist
May 29 01:26:31 <local0.info> 10.217.31.98 05/29/2015:01:26:31 GMT ns 0-PPE-0 :
default APPFW APPFW_SAFECOMMERCE 2181 0 : 10.217.253.62 1098-PPE0
4erNfkaHy0IeGP+nv2S9Rsdu77I0000 pr_ffc http://aaron.stratum8.net/FFC/CreditCardMind.html
Maximum number of potential credit card numbers seen <not blocked>
Beispiel für eine Protokollmeldung im CEF-Format, wenn die Antwort transformiert wird
May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE_XFORM|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Transformed (xout) potential credit card numbers seen in server response
cn1=66 cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002
cs4=ALERT cs5=2015 act=transformed
Beispiel für eine Protokollmeldung im CEF-Format, wenn die Antwort blockiert wird. Die Kreditkartennummer und der Typ sind im Protokoll zu sehen, da der Parameter doSecureCreditCardLogging deaktiviert ist.
May 28 23:42:48 <local0.info> 10.217.31.98
CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.253.62
spt=25314 method=GET request=http://aaron.stratum8.net/FFC/CreditCardMind.html
msg=Credit Card number 4505050504030302 of type Visa is seen in response cn1=68
cn2=1095 cs1=pr_ffc cs2=PPE2 cs3=xzE7M0g9bovAtG/zLCrLd2zkVl80002 cs4=ALERT cs5=2015
act=blocked
Statistiken für die Kreditkartenverstöße
Wenn die Aktion Statistik aktiviert ist, wird der entsprechende Zähler für die Kreditkartenprüfung erhöht, wenn die Web App Firewall eine Aktion für diese Sicherheitsprüfung ausführt. Die Statistiken werden für Rate und Gesamtanzahl für Traffic, Verletzungen und Protokolle gesammelt. Die Inkrement des Protokollzählers kann je nach konfigurierten Einstellungen variieren. Wenn beispielsweise die Aktion Sperren aktiviert ist und die Einstellung Maximal zulässige Kreditkarte 0 lautet, erhöht die Anforderung für eine Seite, die 20 Kreditkartennummern enthält, den Statistikzähler um eins, wenn die Seite blockiert wird, sobald die erste Kreditkartennummer erkannt wird. Wenn der Block jedoch deaktiviert ist und Transformation aktiviert ist, erhöht die Verarbeitung derselben Anforderung den Statistikindikator für Protokolle um 20, da jede Kreditkartentransformation eine separate Protokollnachricht generiert.
-
So zeigen Sie Kreditkartenstatistiken mit der Befehlszeile an
Geben Sie an der Eingabeaufforderung Folgendes ein:
sh appfw statsVerwenden Sie den folgenden Befehl, um Statistiken für ein bestimmtes Profil anzuzeigen:
stat appfw profile <profile name>So zeigen Sie Kreditkartenstatistiken mit der GUI an
- Navigieren Sie zu System > Sicherheit > Web App Firewall .
- Greifen Sie im rechten Fensterausschnitt auf die Statistikverknüpfung zu.
- Verwenden Sie die Bildlaufleiste, um Statistiken über Kreditkartenverstöße und -protokolle anzuzeigen. Die Statistiktabelle enthält Echtzeitdaten und wird alle 7 Sekunden aktualisiert.
Highlights
Beachten Sie die folgenden Punkte zur Kreditkarten-Sicherheitsprüfung:
- Mit der Web App Firewall können Sie Kreditkarteninformationen schützen und versuchen, auf diese sensiblen Daten zuzugreifen.
- Um die Kreditkartenschutzprüfung zu verwenden, müssen Sie mindestens einen Kreditkartentyp und eine Aktion angeben. Die Prüfung wird dann auf HTML-, XML- und Web 2.0-Profile angewendet.
- Sie können die Ausgabe von sh appfw profile Befehl und grep für CreditCard übergeben, um alle Kreditkarten-spezifische Konfiguration zu sehen. Beispielsweise zeigt sh appfw profile my_profile | grep CreditCard die konfigurierten Einstellungen verschiedener Parameter sowie die Relaxationsregeln für die Kreditkartenprüfung für das Web App Firewall Profil my_profile an.
- Sie können bestimmte Nummern von der Kreditkartenprüfung ausschließen, ohne die Sicherheitskontrolle für die restlichen Kreditkartennummern zu umgehen.
- Entspannung steht für alle mit Web App Firewall geschützten Kreditkartenmuster zur Verfügung. In der grafischen Benutzeroberfläche können Sie den Visualisierer verwenden, um Vorgänge zum Hinzufügen, Bearbeiten, Löschen, Aktivieren oder Deaktivieren für Relaxationsregeln anzugeben.
- Die Web App Firewall Lernmodul kann den ausgehenden Datenverkehr überwachen, um Regeln basierend auf beobachteten Verstößen zu empfehlen. Visualizer-Unterstützung ist auch für die Verwaltung der erlernten Kreditkartenregeln in der GUI verfügbar. Sie können die erlernten Regeln bearbeiten und bereitstellen oder sie nach sorgfältiger Prüfung überspringen.
- Die Einstellung für die Anzahl der zulässigen Kreditkarten gilt für jede Antwort. Sie bezieht sich nicht auf die kumulative Summe der Kreditkartennummern, die während der gesamten Benutzersitzung beobachtet wurden.
- Die Anzahl der X’d out Ziffern hängt von der Länge der Kreditkartennummern ab. Zehn Ziffern sind x’d out für Kreditkarten mit 13 bis 15 Ziffern. Zwölf Ziffern sind x’d out für Kreditkarten mit 16 Ziffern. Wenn für Ihre Anwendung nicht die gesamte Kreditkartennummer in der Antwort gesendet werden muss, empfiehlt Citrix, diese Aktion zu aktivieren, um die Ziffern in den Kreditkartennummern zu maskieren.
- Der X-Out-Vorgang transformiert alle Kreditkarten und arbeitet unabhängig von den konfigurierten Einstellungen für die maximale Anzahl zulässiger Kreditkarten. Wenn beispielsweise 4 Kreditkarten in der Antwort enthalten sind und der Parameter CreditCardMaxAllowed auf 10 gesetzt ist, sind alle 4 Kreditkarten X’d-out, aber sie werden nicht blockiert. Wenn die Kreditkartennummern im Dokument verteilt sind, kann eine Teilantwort mit X’d-Out-Nummern an den Kunden gesendet werden, bevor die Antwort blockiert wird.
- Deaktivieren Sie den Parameter doSecureCreditCardLogging nicht vor angemessener Berücksichtigung. Wenn dieser Parameter ausgeschaltet ist, werden die Kreditkartennummern angezeigt und sind in den Protokollmeldungen zugänglich. Diese Zahlen werden in den Protokollen nicht maskiert, selbst wenn die X-out-Aktion aktiviert ist. Wenn Sie Protokolle an einen entfernten Syslog-Server senden und die Protokolle kompromittiert werden, können die Kreditkartennummern offengelegt werden.
- Wenn die Antwortseite wegen einer Kreditkartenverletzung blockiert ist, leitet die Web App Firewall nicht zur Fehlerseite um.
Vielen Dank für Ihr Feedback.
Teilen
Teilen
In diesem Artikel
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.