Citrix ADC

Häufig gestellte Fragen und Bereitstellungshandbuch

F: Warum ist Citrix Web App Firewall die bevorzugte Wahl für die Sicherung von Anwendungen?

Mit den folgenden Funktionen bietet die Citrix Web App Firewall eine umfassende Sicherheitslösung:

  • Hybrides Sicherheitsmodell: Mit dem Citrix ADC Hybrid-Sicherheitsmodell können Sie sowohl ein positives Sicherheitsmodell als auch ein negatives Sicherheitsmodell nutzen, um eine Konfiguration zu erstellen, die für Ihre Anwendungen ideal geeignet ist.
    • Positives Sicherheitsmodell schützt vor Pufferüberlauf, CGI-BIN-Parametermanipulation, Formular-/Hidden-Feld-Manipulation, kraftvollem Surfen, Cookie- oder Sitzungsvergiftung, defekten ACLs, Cross-Site Scripting (Cross-Site-Scripting), Befehlseinschleusung, SQL-Einschleusung, Fehlerauslösung empfindlich Informationsleck, unsichere Verwendung von Kryptographie, Server-Fehlkonfiguration, Hintertüren und Debug-Optionen, ratenbasierte Durchsetzung von Richtlinien, bekannte Plattformschwachstellen, Zero-Day-Exploits, Cross Site Request Forgery (CSRF) und das Auslaufen von Kreditkarten und anderen sensiblen Daten.
    • Dasnegative Sicherheitsmodell verwendet umfangreiche Signaturen, um sich vor L7- und HTTP-Anwendungsschwachstellen zu schützen. Die Web App Firewall ist in mehrere Scan-Tools von Drittanbietern integriert, z. B. in die von Cenzic, Qualys, Whitehat und IBM angebotenen. Die eingebauten XSLT-Dateien ermöglichen den einfachen Import von Regeln, die in Verbindung mit den Snort-basierten Regeln im nativen Format verwendet werden können. Eine automatische Update-Funktion erhält die neuesten Updates für neue Schwachstellen.

Das positive Sicherheitsmodell könnte die bevorzugte Wahl für den Schutz von Anwendungen sein, die einen hohen Sicherheitsbedarf haben, da es Ihnen die Möglichkeit gibt, vollständig zu steuern, wer auf welche Daten zugreifen kann. Du erlaubst nur was du willst und blockierst den Rest. Dieses Modell beinhaltet eine integrierte Sicherheitsüberprüfungskonfiguration, die mit wenigen Klicks einsetzbar ist. Beachten Sie jedoch, dass der Verarbeitungsaufwand umso größer ist, je enger die Sicherheit ist.

Das negative Sicherheitsmodell könnte für kundenspezifische Anwendungen vorzuziehen sein. Mit den Signaturen können Sie mehrere Bedingungen kombinieren, und eine Übereinstimmung und die angegebene Aktion werden nur ausgelöst, wenn alle Bedingungen erfüllt sind. Du blockierst nur das, was du nicht willst und erlaubst den Rest. Ein bestimmtes Fast-Match-Muster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Die Option, basierend auf den spezifischen Sicherheitsanforderungen Ihrer Anwendungen eigene Signaturregeln hinzuzufügen, gibt Ihnen die Flexibilität, Ihre eigenen benutzerdefinierten Sicherheitslösungen zu entwickeln.

  • Erkennung und Schutz auf der Anforderungs- sowie Antwortseite: Sie können die eingehenden Anfragen überprüfen, um verdächtiges Verhalten zu erkennen und geeignete Maßnahmen zu ergreifen, und Sie können die Antworten überprüfen, um sensible Daten zu erkennen und vor dem Auslaufen sensibler Daten zu schützen.
  • Umfangreicher Satz integrierter Schutzmaßnahmen für HTML-, XML- und JSON-Nutzlasten: Die Web App Firewall bietet 19 verschiedene Sicherheitsüberprüfungen. Sechs davon (wie Start-URL und Verweigerungs-URL) gelten sowohl für HTML- als auch für XML-Daten. Fünf Prüfungen (wie Field Consistency und Field Format) sind spezifisch für HTML, und acht (wie XML-Format und Webdienst-Interoperabilität) sind spezifisch für XML-Nutzlasten. Diese Funktion beinhaltet eine Vielzahl von Aktionen und Optionen. Mit URL Closure können Sie beispielsweise die Navigation durch Ihre Website steuern und optimieren, um sich vor kraftvollem Surfen zu schützen, ohne Entspannungsregeln konfigurieren zu müssen, um jede einzelne legitime URL zuzulassen. Sie haben die Möglichkeit, die sensiblen Daten, wie Kreditkartennummern, in der Antwort zu entfernen oder zu löschen. Sei es SOAP-Array-Angriffsschutz, XML Denial of Service (XDoS), WSDL-Scan-Prävention, Attachment-Check oder eine beliebige Anzahl anderer XML-Angriffe, Sie haben die Gewissheit, dass Sie über einen ironclad Shield verfügen, der Ihre Daten schützt, wenn Ihre Anwendungen durch die Web App Firewall geschützt sind. Mit den Signaturen können Sie Regeln mithilfe von XPath-Ausdrücken konfigurieren, um Verletzungen im Hauptteil sowie im Header einer JSON-Nutzlast zu erkennen.
  • GWT: Unterstützung für den Schutz von Google Web Toolkit-Anwendungen zum Schutz vor Verstößen gegen SQL, Cross-Site Scripting und Form Field Consistency Check.
  • Java-freie, benutzerfreundliche grafische Benutzeroberfläche (GUI): Eine intuitive Benutzeroberfläche und vorkonfigurierte Sicherheitsüberprüfungen erleichtern die Bereitstellung von Sicherheit durch Klicken auf wenige Schaltflächen. Ein Assistent fordert Sie auf und leitet Sie an, die erforderlichen Elemente wie Profile, Richtlinien, Signaturen und Bindungen zu erstellen. Die HTML5-basierte GUI ist frei von jeglicher Java-Abhängigkeit. Die Leistung ist deutlich besser als die der älteren, Java-basierten Versionen.
  • Benutzerfreundliche und automatisierbare CLI: Die meisten Konfigurationsoptionen, die in der GUI verfügbar sind, sind auch in der Befehlszeilenschnittstelle (CLI) verfügbar. Die CLI-Befehle können von einer Batch-Datei ausgeführt werden und sind einfach zu automatisieren.
  • Unterstützung für REST-API: Das Citrix ADC NITRO-Protokoll unterstützt eine Vielzahl von REST-APIs, um die Konfiguration der Web App Firewall zu automatisieren und relevante Statistiken für die laufende Überwachung von Sicherheitsverletzungen zu sammeln.
  • Lernen: Die Fähigkeit der Web App Firewall, durch Überwachung des Datenverkehrs zu lernen, um die Sicherheit zu optimieren, ist sehr benutzerfreundlich. Die Lernmaschine empfiehlt Regeln, die es einfach machen, Entspannungen ohne Kenntnisse in regulären Ausdrücken einzusetzen.
  • RegEx-Editor-Unterstützung: Reguläre Ausdrücke bieten eine elegante Lösung für das Dilemma, Regeln konsolidieren und dennoch die Suche optimieren zu wollen. Sie können die Leistungsfähigkeit regulärer Ausdrücke nutzen, um URLs, Feldnamen, Signaturmuster usw. zu konfigurieren. Der umfangreiche integrierte GUI RegEx Editor bietet Ihnen eine Kurzreferenz für die Ausdrücke und bietet eine bequeme Möglichkeit, Ihre RegEx auf Genauigkeit zu validieren und zu testen.
  • Benutzerdefinierte Fehlerseite: Blockierte Anfragen können auf eine Fehler-URL umgeleitet werden. Sie haben auch die Möglichkeit, ein benutzerdefiniertes Fehlerobjekt anzuzeigen, das unterstützte Variablen und Citrix Advanced-Richtlinien (erweiterte PI-Ausdrücke) verwendet, um Informationen zur Fehlerbehebung für den Client einzubetten.
  • PCI-DSS, Statistiken und andere Verstöße: Die umfangreichen Berichte machen es einfach, die PCI-DSS-Compliance-Anforderungen zu erfüllen, Statistiken über Verkehrszähler zu sammeln und Verstoßberichte für alle Profile oder nur ein Profil anzuzeigen.
  • Protokollierung und Click-to-Rule aus dem Protokoll: Detaillierte Protokollierung wird sowohl für das native als auch für das CEF-Format unterstützt. Die Web App Firewall bietet Ihnen die Möglichkeit, gezielte Protokollmeldungen im Syslog-Viewer zu filtern. Mit einem einfachen Klick auf eine Schaltfläche können Sie eine Protokollnachricht auswählen und eine entsprechende Entspannungsregel bereitstellen. Sie haben die Flexibilität, Protokollnachrichten anzupassen und unterstützen auch das Generieren von Webprotokollen. Weitere Informationen finden Sie unter Thema Web App Firewall-Protokolle.

  • Verletzungsprotokolle in Trace-Datensätze einschließen: Die Möglichkeit, Protokollmeldungen in die Ablaufverfolgungsdatensätze einzuschließen, macht es sehr einfach, unerwartetes Verhalten wie Zurücksetzen und Blockieren zu debuggen.
  • Klonen: Mit der nützlichen Profiloption Import/Export können Sie die Sicherheitskonfiguration von einer Citrix ADC-Appliance auf andere klonen. Exportoptionen für gelernte Daten machen es einfach, die erlernten Regeln in eine Excel-Datei zu exportieren. Sie können sie dann vom Eigentümer des Antrags überprüfen und genehmigen lassen, bevor Sie sie beantragen.
  • Eine AppExpert-Vorlage (eine Reihe von Konfigurationseinstellungen) kann so gestaltet werden, dass sie einen angemessenen Schutz für Ihre Websites bietet. Sie können die Bereitstellung eines ähnlichen Schutzes auf anderen Appliances vereinfachen und beschleunigen, indem Sie diese Cookie-Cutter-Vorlagen in eine Vorlage exportieren.

Weitere Informationen finden Sie im Thema AppExpert-Vorlage.

  • Sitzungslose Sicherheitsprüfungen: Durch die Bereitstellung sitzungsloser Sicherheitsprüfungen können Sie den Speicherbedarf reduzieren und die Verarbeitung beschleunigen.
  • Interoperabilität mit anderen Citrix ADC-Funktionen: Die Web App Firewall arbeitet nahtlos mit anderen Citrix ADC-Funktionen wie Rewrite, URL-Transformation, integriertem Caching, CVPN und Ratenbegrenzung zusammen.
  • Unterstützung von PI-Ausdrücken in Richtlinien: Sie können die Leistungsfähigkeit erweiterter PI-Ausdrücke nutzen, um Richtlinien zu entwerfen, mit denen verschiedene Sicherheitsstufen für verschiedene Teile Ihrer Anwendung implementiert werden können.
  • Unterstützung für IPv6: Die Web App Firewall unterstützt sowohl IPv4- als auch IPv6-Protokolle.
  • Geolokalisierungsbasierter Sicherheitsschutz: Sie haben die Flexibilität, Citrix Advanced-Richtlinie (PI-Ausdrücke) für die Konfiguration standortbasierter Richtlinien zu verwenden, die in Verbindung mit einer integrierten Standortdatenbank zur Anpassung des Firewall-Schutzes verwendet werden können. Sie können die Standorte identifizieren, von denen böswillige Anfragen stammen, und das gewünschte Maß an Sicherheitsüberprüfungen für Anfragen durchsetzen, die von einem bestimmten geografischen Standort stammen.
  • Leistung: Anforderungsseitiges Streaming verbessert die Leistung erheblich. Sobald ein Feld verarbeitet wird, werden die resultierenden Daten an das Back-End weitergeleitet, während die Auswertung für die verbleibenden Felder fortgesetzt wird. Die Verbesserung der Verarbeitungszeit ist besonders beim Umgang mit großen Pfosten signifikant.
  • Weitere Sicherheitsfunktionen: Die Web App Firewall verfügt über mehrere andere Sicherheitseinstellungen, mit denen Sie die Sicherheit Ihrer Daten gewährleisten können. Mit Confidential Field können Sie beispielsweise das Durchsickern vertraulicher Informationen in den Protokollnachrichten blockieren, und Strip HTML Comment ermöglicht es Ihnen, die HTML-Kommentare aus der Antwort zu entfernen, bevor Sie sie an den Client weiterleiten. Feldtypen können verwendet werden, um anzugeben, welche Eingaben in den an Ihre Anwendung übermittelten Formularen zulässig sind.

F: Was muss ich tun, um die Web App Firewall zu konfigurieren?

Führen Sie folgende Schritte aus:

  • Fügen Sie ein Web App Firewall-Profil hinzu und wählen Sie den entsprechenden Typ (html, xml, web2.0) für die Sicherheitsanforderungen der Anwendung aus.
  • Wählen Sie das erforderliche Sicherheitsniveau (Basic oder Advanced).
  • Fügen Sie die erforderlichen Dateien wie Signaturen oder WSDL hinzu oder importieren Sie sie.
  • Konfigurieren Sie das Profil für die Verwendung der Dateien und nehmen Sie alle anderen erforderlichen Änderungen an den Standardeinstellungen vor.
  • Fügen Sie eine Web App Firewall-Richtlinie für dieses Profil hinzu.
  • Binden Sie die Richtlinie an den Zielbindepunkt und geben Sie die Priorität an.

F: Woher weiß ich, welchen Profiltyp ich wählen soll?

Das Web App Firewall-Profil bietet Schutz für sowohl HTML- als auch XML-Nutzlasten. Je nach Bedarf Ihrer Anwendung können Sie entweder ein HTML-Profil oder ein XML-Profil wählen. Wenn Ihre Anwendung sowohl HTML- als auch XML-Daten unterstützt, können Sie ein Web2.0-Profil wählen.

F: Was ist der Unterschied zwischen einfachen und erweiterten Profilen? Wie entscheide ich, welches ich brauche?

Die Entscheidung, ein Basic- oder Advance-Profil zu verwenden, hängt von den Sicherheitsbedürfnissen Ihrer Anwendung ab. Ein Basisprofil enthält einen vorkonfigurierten Satz von Regeln zur Entspannung von Start-URL und URL verweigern. Diese Entspannungsregeln legen fest, welche Anfragen zulässig sind und welche abgelehnt werden. Eingehende Anfragen werden mit den vorkonfigurierten Regeln abgeglichen, und die konfigurierten Aktionen werden angewendet. Der Benutzer kann Anwendungen mit minimaler Konfiguration von Entspannungsregeln sichern. Die Start-URL-Regeln schützen vor erzwungenen Surfen. Bekannte Webserver-Schwachstellen, die von Hackern ausgenutzt werden, können erkannt und blockiert werden, indem eine Reihe von standardmäßigen Deny-URL-Regeln aktiviert wird. Häufig gestartete Angriffe wie Pufferüberlauf, SQL oder Cross-Site Scripting können ebenfalls leicht erkannt werden.

Wie der Name schon sagt, gelten erweiterte Schutzmaßnahmen für Anwendungen mit höheren Sicherheitsanforderungen. Relaxationsregeln sind so konfiguriert, dass nur der Zugriff auf bestimmte Daten ermöglicht und der Rest blockiert wird. Dieses positive Sicherheitsmodell mildert unbekannte Angriffe, die durch grundlegende Sicherheitsüberprüfungen möglicherweise nicht erkannt werden. Zusätzlich zu allen grundlegenden Schutzmaßnahmen verfolgt ein erweitertes Profil eine Benutzersitzung, indem es das Surfen steuert, nach Cookies sucht, Eingabeanforderungen für verschiedene Formularfelder festlegt und vor Manipulation von Formularen oder Cross-Site Request Forgery-Angriffen schützt. Lernen, das den Verkehr beobachtet und entsprechende Lockerungen empfiehlt, ist standardmäßig für viele Sicherheitsüberprüfungen aktiviert. Obwohl sie einfach zu bedienen sind, müssen erweiterte Schutzmaßnahmen gebührend berücksichtigt werden, da sie eine höhere Sicherheit bieten, aber auch mehr Verarbeitung erfordern. Einige Sicherheitsüberprüfungen erlauben keine Verwendung von Caching, was die Leistung beeinträchtigen kann.

Beachten Sie bei der Entscheidung, ob Sie einfache oder erweiterte Profile verwenden möchten, die folgenden Punkte:

  • Grundlegende und erweiterte Profile beginnen gerade mit Vorlagen. Sie können das Basisprofil jederzeit ändern, um erweiterte Sicherheitsfunktionen bereitzustellen, und umgekehrt.
  • Erweiterte Sicherheitsüberprüfungen erfordern mehr Verarbeitung und können die Leistung beeinträchtigen. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.
  • Sie möchten nicht alle Sicherheitsüberprüfungen aktivieren, es sei denn, Ihre Anwendung benötigt sie.

F: Was ist eine Richtlinie? Wie wähle ich den Bindepunkt aus und setze die Priorität?

Web App Firewall-Richtlinien können Ihnen dabei helfen, Ihren Datenverkehr in logische Gruppen zu sortieren, um verschiedene Ebenen der Sicherheitsimplementierung zu konfigurieren. Wählen Sie sorgfältig die Bindungspunkte für die Richtlinien aus, um festzustellen, welcher Datenverkehr mit welcher Richtlinie übereinstimmt. Wenn Sie beispielsweise möchten, dass jede eingehende Anforderung auf SQL/Cross-Site-Scripting-Angriffe überprüft wird, können Sie eine generische Richtlinie erstellen und global binden. Oder wenn Sie strengere Sicherheitsüberprüfungen auf den Datenverkehr eines virtuellen Servers anwenden möchten, der Anwendungen hostet, die sensible Daten enthalten, können Sie eine Richtlinie an diesen virtuellen Server binden.

Eine sorgfältige Zuweisung von Prioritäten kann die Verkehrsverarbeitung verbessern. Sie möchten spezifischeren Richtlinien höhere Prioritäten und generischen Richtlinien niedrigere Prioritäten zuweisen. Beachten Sie, dass die Priorität umso niedriger ist, je höher die Zahl ist. Eine Richtlinie mit einer Priorität von 10 wird vor einer Richtlinie bewertet, die eine Priorität von 15 hat.

Sie können verschiedene Sicherheitsstufen für verschiedene Arten von Inhalten anwenden, z. B. können Anfragen nach statischen Objekten wie Bildern und Text mithilfe einer Richtlinie umgangen werden, und Anfragen für andere vertrauliche Inhalte können mithilfe einer zweiten Richtlinie einer sehr strengen Prüfung unterzogen werden.

F: Wie konfiguriere ich die Regeln zur Sicherung meiner Anwendung?

Die Web App Firewall macht es sehr einfach, das richtige Sicherheitsniveau für Ihre Website zu entwerfen. Sie können mehrere Web App Firewall-Richtlinien haben, die an verschiedene Web App Firewall-Profile gebunden sind, um verschiedene Ebenen von Sicherheitsüberprüfungen für Ihre Anwendungen zu implementieren. Sie können die Protokolle zunächst überwachen, um zu beobachten, welche Sicherheitsbedrohungen erkannt werden und welche Verstöße ausgelöst werden. Sie können die Entspannungsregeln entweder manuell hinzufügen oder die empfohlenen gelernten Regeln der Web App Firewall nutzen, um die erforderlichen Entspannungen bereitzustellen, um Fehlalarme zu vermeiden.

Die Citrix Web App Firewall bietet Visualizer-Unterstützung in der GUI, was die Regelverwaltung sehr einfach macht. Sie können alle Daten einfach auf einem Bildschirm anzeigen und mit einem Klick auf mehrere Regeln eingehen. Der größte Vorteil des Visualizers besteht darin, dass er reguläre Ausdrücke empfiehlt, um mehrere Regeln zu konsolidieren. Sie können eine Teilmenge der Regeln auswählen, wobei Ihre Auswahl auf dem Trennzeichen und der Aktions-URL basiert. Visualizer-Unterstützung ist verfügbar, um 1) erlernte Regeln und 2) Entspannungsregeln anzuzeigen.

  1. Der Visualizer für erlernte Regeln bietet die Möglichkeit, die Regeln zu bearbeiten und als Entspannungen einzusetzen. Sie können auch Regeln überspringen (ignorieren).

  2. Der Visualizer für bereitgestellte Relaxationen bietet Ihnen die Möglichkeit, eine neue Regel hinzuzufügen oder eine bestehende zu bearbeiten. Sie können eine Gruppe von Regeln auch aktivieren oder deaktivieren, indem Sie einen Knoten auswählen und im Entspannungsvisualisierer auf die Schaltfläche Aktivieren oder Deaktivieren klicken.

F: Was sind Signaturen? Woher weiß ich, welche Signaturen zu verwenden sind?

Eine Signatur ist ein Objekt, das mehrere Regeln haben kann. Jede Regel besteht aus einem oder mehreren Mustern, die einem bestimmten Satz von Aktionen zugeordnet werden können. Die Web App Firewall verfügt über ein integriertes Standardsignaturobjekt, das aus mehr als 1.300 Signaturregeln besteht, mit der Option, mithilfe der automatischen Update-Funktion die neuesten Regeln abzurufen, um Schutz vor neuen Sicherheitslücken zu erhalten. Regeln, die von anderen Scan-Tools erstellt wurden, können ebenfalls importiert werden.

Signaturen sind sehr leistungsfähig, da sie Musterabgleich verwenden, um böswillige Angriffe zu erkennen, und so konfiguriert werden können, dass sowohl die Anfrage als auch die Antwort einer Transaktion überprüft werden. Sie sind eine bevorzugte Option, wenn eine anpassbare Sicherheitslösung benötigt wird. Mehrere Aktionsoptionen (z. B. Blockieren, Protokollieren, Lernen und Transformieren) stehen zur Verfügung, wenn eine Signaturübereinstimmung erkannt wird. Die Standardsignaturen decken Regeln zum Schutz verschiedener Arten von Anwendungen ab, wie web-cgi, web-coldfusion, web-frontpage, web-iis, web-php, web-client, web-activex, web-shell-shock und web-struts. Um den Anforderungen Ihrer Anwendung gerecht zu werden, können Sie die Regeln einer bestimmten Kategorie auswählen und bereitstellen.

Tipps zur Verwendung von Signaturen:

  • Sie können einfach eine Kopie des Standardsignaturobjekts erstellen und es ändern, um die benötigten Regeln zu aktivieren und die gewünschten Aktionen zu konfigurieren.
  • Das Signaturobjekt kann durch Hinzufügen neuer Regeln angepasst werden, die in Verbindung mit anderen Signaturregeln funktionieren können.
  • Die Signaturregeln können auch so konfiguriert werden, dass sie in Verbindung mit den im Web App Firewall-Profil angegebenen Sicherheitsüberprüfungen funktionieren. Wenn eine Übereinstimmung, die auf einen Verstoß hinweist, sowohl durch eine Signatur als auch durch eine Sicherheitsüberprüfung festgestellt wird, wird die restriktivere Aktion durchgesetzt.
  • Eine Signaturregel kann mehrere Muster aufweisen und so konfiguriert werden, dass eine Verletzung nur dann markiert wird, wenn alle Muster übereinstimmen, wodurch Fehlalarme vermieden werden.
  • Eine sorgfältige Auswahl eines wörtlichen Fast-Match-Musters für eine Regel kann die Verarbeitungszeit erheblich optimieren.

F: Funktioniert die Web App Firewall mit anderen Citrix ADC-Funktionen?

Die Web App Firewall ist vollständig in die Citrix ADC-Appliance integriert und arbeitet nahtlos mit anderen Funktionen zusammen. Sie können maximale Sicherheit für Ihre Anwendung konfigurieren, indem Sie andere Citrix ADC-Sicherheitsfunktionen in Verbindung mit der Web App Firewall verwenden. Beispielsweise kann AAA-TM verwendet werden, um den Benutzer zu authentifizieren, die Berechtigung des Benutzers für den Zugriff auf den Inhalt zu überprüfen und die Zugriffe zu protokollieren, einschließlich ungültiger Anmeldeversuche. Rewrite kann verwendet werden, um die URL zu ändern oder Header hinzuzufügen, zu ändern oder zu löschen, und Responder kann verwendet werden, um benutzerdefinierte Inhalte an verschiedene Benutzer zu liefern. Sie können die maximale Belastung für Ihre Website definieren, indem Sie die Ratenbegrenzung verwenden, um den Verkehr zu überwachen und die Rate zu drosseln, wenn er zu hoch ist. DerHTTP-Denial-of-Service (DoS) -Schutz kann dabei helfen, zwischen echten HTTP-Clients und böswilligen DoS-Clients zu unterscheiden. Sie können den Umfang der Sicherheitsüberprüfung einschränken, indem Sie die Web App Firewall-Richtlinien an virtuelle Server binden und gleichzeitig die Benutzererfahrung optimieren, indem Sie die Load Balancing-Funktion zur Verwaltung stark genutzter Anwendungen verwenden. Anfragen nach statischen Objekten wie Bildern oder Text können die Überprüfung der Sicherheitsüberprüfung Bypass und das integrierte Caching oder die Komprimierung nutzen, um die Bandbreitennutzung für solche Inhalte zu optimieren.

F: Wie wird die Nutzlast von der Web App Firewall und den anderen Citrix ADC Funktionen verarbeitet?

Ein Diagramm mit Details des L7-Paketflusses in einer Citrix ADC-Appliance ist im Abschnitt Verarbeitungsreihenfolge der Features verfügbar.

F: Was ist der empfohlene Workflow für die Bereitstellung der Web App Firewall?

Nachdem Sie nun die Vorteile der Verwendung des hochmodernen Sicherheitsschutzes der Citrix Web App Firewall kennen, möchten Sie möglicherweise zusätzliche Informationen sammeln, die Ihnen bei der Entwicklung der optimalen Lösung für Ihre Sicherheitsanforderungen helfen können. Citrix empfiehlt Folgendes:

  • Kennen Sie Ihre Umgebung: Wenn Sie Ihre Umgebung kennen, können Sie die beste Sicherheitsschutzlösung (Signaturen, Sicherheitsüberprüfungen oder beides) für Ihre Anforderungen ermitteln. Bevor Sie mit der Konfiguration beginnen, müssen Sie die folgenden Informationen sammeln.
    • Betriebssystem: Welches Betriebssystem (MS Windows, Linux, BSD, Unix, andere) haben Sie?
    • Webserver: Welchen Webserver (IIS, Apache oder Citrix ADC Enterprise Server) laufen Sie?
    • Anwendung: Welche Art von Anwendungen laufen auf Ihrem Anwendungsserver (z. B. ASP.NET, PHP, Cold Fusion, ActiveX, FrontPage, Struts, CGI, Apache Tomcat, Domino und WebLogic)?
    • Haben Sie maßgeschneiderte Anwendungen oder Standardanwendungen (z. B. Oracle, SAP)? Welche Version verwenden Sie?
    • SSL: Benötigen Sie SSL? Wenn ja, welche Schlüsselgröße (512, 1024, 2048, 4096) wird zum Signieren von Zertifikaten verwendet?
    • Verkehrsvolumen: Wie hoch ist die durchschnittliche Traffic-Rate durch Ihre Anwendungen? Haben Sie saisonale oder zeitspezifische Spitzen im Verkehr?
    • Serverfarm: Wie viele Server haben Sie? Müssen Sie Load Balancing verwenden?
    • Datenbank: Welche Art von Datenbank (MS-SQL, MySQL, Oracle, Postgres, SQLite, nosql, Sybase, Informix usw.) verwenden Sie?
    • DB-Konnektivität: Welche Art von Datenbankkonnektivität haben Sie (DSN, Verbindungszeichenfolge pro Datei, Verbindungszeichenfolge für eine einzelne Datei) und welche Treiber werden verwendet?
  • Identifizieren Sie Ihre Sicherheitsanforderungen: Möglicherweise möchten Sie bewerten, welche Anwendungen oder spezifischen Daten maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und für welche die Sicherheitsinspektion sicher umgangen werden kann. Dies hilft Ihnen bei der Erstellung einer optimalen Konfiguration und beim Entwerfen geeigneter Richtlinien und Bindungspunkte zur Segregierung des Datenverkehrs. Beispielsweise möchten Sie möglicherweise eine Richtlinie konfigurieren, um die Sicherheitsüberprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu Bypass, und eine andere Richtlinie so konfigurieren, dass erweiterte Sicherheitsüberprüfungen auf Anforderungen nach dynamischen Inhalten angewendet werden. Sie können mehrere Richtlinien und Profile verwenden, um verschiedene Inhalte derselben Anwendung zu schützen.
  • Lizenzanforderung: Citrix bietet eine einheitliche Lösung zur Optimierung der Leistung Ihrer Anwendung, indem Sie eine Vielzahl von Funktionen wie Lastausgleich, Content Switching, Caching, Komprimierung, Responder, Rewrite und Inhaltsfilterung nutzen, um nur einige zu nennen. Wenn Sie die gewünschten Funktionen identifizieren, können Sie entscheiden, welche Lizenz Sie benötigen.
  • Installieren und Baseline einer Citrix ADC-Appliance: Erstellen Sie einen virtuellen Server und führen Sie Testverkehr durch diesen aus, um sich ein Bild von der Geschwindigkeit und Menge des Datenverkehrs zu machen, der durch Ihr System fließt. Diese Informationen helfen Ihnen, Ihren Kapazitätsbedarf zu identifizieren und die richtige Appliance (VPX, MPX oder SDX) auszuwählen.
  • Bereitstellen der Web App Firewall: Verwenden Sie den Web App Firewall-Assistenten, um mit einer einfachen Sicherheitskonfiguration fortzufahren. Der Assistent führt Sie durch mehrere Bildschirme und fordert Sie auf, ein Profil, eine Richtlinie, eine Signatur und Sicherheitsüberprüfungen hinzuzufügen.
    • Profil: Wählen Sie einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil. Die Richtlinie und Signaturen werden automatisch unter demselben Namen generiert.
    • Richtlinie: Die automatisch generierte Richtlinie hat den Standardausdruck (true), der den gesamten Datenverkehr auswählt und global gebunden ist. Dies ist ein guter Ausgangspunkt, es sei denn, Sie denken an eine bestimmte Richtlinie, die Sie verwenden möchten.
    • Schutz: Der Assistent hilft Ihnen dabei, das hybride Sicherheitsmodell zu nutzen, in dem Sie die Standardsignaturen verwenden können, die eine Vielzahl von Regeln zum Schutz verschiedener Arten von Anwendungen bieten. Imeinfachen Bearbeitungsmodus können Sie die verschiedenen Kategorien (CGI, Cold Fusion, PHP usw.) anzeigen. Sie können eine oder mehrere Kategorien auswählen, um ein bestimmtes Regelwerk zu identifizieren, das für Ihre Anwendung gilt. Verwenden Sie die Option Aktion, um alle Signaturregeln in den ausgewählten Kategorien zu aktivieren. Stellen Sie sicher, dass das Blockieren deaktiviert ist, damit Sie den Verkehr überwachen können, bevor Sie die Sicherheit erhöhen. Klicken Sie auf Weiter. Im Bereich Tiefenschutz angeben können Sie nach Bedarf Änderungen vornehmen, um die Schutzmaßnahmen für die Sicherheitsüberprüfung bereitzustellen. In den meisten Fällen reichen grundlegende Schutzmaßnahmen für die anfängliche Sicherheitskonfiguration aus. Lassen Sie den Verkehr eine Weile laufen, um eine repräsentative Stichprobe der Sicherheitsinspektionsdaten zu sammeln.
    • Verschärfung der Sicherheit: Nachdem Sie die Web App Firewall bereitgestellt und den Datenverkehr eine Weile beobachtet haben, können Sie die Sicherheit Ihrer Anwendungen erhöhen, indem Sie Entspannungen bereitstellen und dann das Blockieren aktivieren. Learning, Visualizerund Click to Deploy-Regeln sind nützliche Funktionen, mit denen Sie Ihre Konfiguration sehr einfach anpassen können, um genau das richtige Maß an Entspannung zu erzielen. An dieser Stelle können Sie auch den Richtlinienausdruck ändern und/oder zusätzliche Richtlinien und Profile konfigurieren, um die gewünschten Sicherheitsstufen für verschiedene Arten von Inhalten zu implementieren.
    • Debuggen: Wenn Sie ein unerwartetes Verhalten Ihrer Anwendung feststellen, bietet die Web App Firewall verschiedene Optionen zum einfachen Debuggen:
      • Log. Wenn legitime Anfragen blockiert werden, müssen Sie zunächst die Datei ns.log überprüfen, um festzustellen, ob eine unerwartete Verletzung der Sicherheitsüberprüfung ausgelöst wird.
      • Deaktivieren Sie die Funktion. Wenn Sie keine Verstöße feststellen, aber immer noch unerwartetes Verhalten feststellen, z. B. eine Anwendung, die teilweise Antworten zurücksetzt oder sendet, können Sie die Web App Firewall-Funktion für das Debuggen deaktivieren. Wenn das Problem weiterhin besteht, schließt es die Web App Firewall als Verdächtigen aus.
      • Verfolgen Sie Datensätze mit Protokollnachrichten. Wenn das Problem anscheinend mit der Web App Firewall zusammenhängt und genauer betrachtet werden muss, haben Sie die Möglichkeit, Nachrichten über Sicherheitsverletzungen in eine Nstrace aufzunehmen. Sie können Follow TCP-Stream im Trace verwenden, um die Details der einzelnen Transaktion, einschließlich Header, Payload und die entsprechende Log-Nachricht, zusammen auf demselben Bildschirm anzuzeigen. Einzelheiten zur Verwendung dieser Funktionalität finden Sie in den Anhängen.