-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Web App Firewall Protokolle
Die von Web App Firewall generierten Protokollmeldungen können sehr nützlich sein, um die Konfigurationsänderungen, die Richtlinienaufrufe der Web App Firewall und die Verletzungen der Sicherheitsprüfung zu verfolgen.
Wenn die Protokollaktion für Sicherheitsprüfungen oder Signaturen aktiviert ist, enthalten die resultierenden Protokollmeldungen Informationen über die Anforderungen und Antworten, die die Web App Firewall beobachtet hat, während Ihre Websites und Anwendungen geschützt werden. Die wichtigsten Informationen sind die von der Web App Firewall durchgeführte Aktion, wenn eine Signatur oder eine Sicherheitsüberprüfungsverletzung festgestellt wurde. Bei einigen Sicherheitsprüfungen kann die Protokollmeldung zusätzliche nützliche Informationen bereitstellen, z. B. den Speicherort und das erkannte Muster, das die Verletzung ausgelöst hat. Sie können Sicherheitsprüfungen im Nicht-Blockmodus bereitstellen und die Protokolle überwachen, um festzustellen, ob die Transaktionen, die Sicherheitsverletzungen auslösen, gültige Transaktionen sind (False Positives). Wenn dies der Fall ist, können Sie die Signatur- oder Sicherheitsprüfungen entweder entfernen oder neu konfigurieren, Entspannungen bereitstellen oder andere geeignete Maßnahmen ergreifen, um die Fehlalarme zu verringern, bevor Sie die Sperre für diese Signatur oder Sicherheitsprüfung aktivieren. Eine übermäßige Zunahme der Anzahl von Verstößen in Protokollen kann auf einen Anstieg bösartiger Anforderungen hinweisen. Dies kann Sie darauf hinweisen, dass Ihre Anwendung möglicherweise angegriffen wird, um eine bestimmte Sicherheitsanfälligkeit auszunutzen, die durch den Schutz der Web App Firewall erkannt und vereitelt wird.
Hinweis:
Die Citrix Web App Firewall -Protokollierung darf nur mit externen SYSLOG-Servern verwendet werden.
Citrix ADC Formatprotokolle (Native)
Die Web App Firewall verwendet standardmäßig die Protokolle des Citrix ADC Formats (auch als Protokolle für das native Format bezeichnet). Diese Protokolle haben das gleiche Format wie die von anderen Citrix ADC Features generierten. Jedes Protokoll enthält die folgenden Felder:
- Zeitstempel. Datum und Uhrzeit der Verbindung.
- Schweregrad. Schweregrad des Protokolls.
- Modul. Citrix ADC Modul, das den Protokolleintrag generiert hat.
- Ereignistyp. Typ des Ereignisses, z. B. Verletzung der Signatur oder Verletzung der Sicherheitsüberprüfung.
- Ereignis-ID. Dem Ereignis zugewiesene ID.
- Client-IP. IP-Adresse des Benutzers, dessen Verbindung protokolliert wurde.
- Transaktions-ID. ID, die der Transaktion zugewiesen wurde, die das Protokoll verursacht hat.
- Sitzungs-ID. ID, die der Benutzersitzung zugewiesen wurde, die das Protokoll verursacht hat.
- Nachricht. Die Protokollmeldung. Enthält Informationen zur Identifizierung der Signatur oder der Sicherheitsprüfung, die den Protokolleintrag ausgelöst hat.
Sie können nach einem dieser Felder oder einer beliebigen Kombination von Informationen aus verschiedenen Feldern suchen. Ihre Auswahl ist nur durch die Funktionen der Tools begrenzt, die Sie zum Anzeigen der Protokolle verwenden. Sie können die Protokollmeldungen der Web App Firewall in der Benutzeroberfläche beobachten, indem Sie auf den Citrix ADC Syslog-Viewer zugreifen, oder Sie können manuell eine Verbindung zur Citrix ADC-Appliance herstellen und über die Befehlszeilenschnittstelle auf Protokolle zugreifen, oder Sie können die Protokolle direkt aus dem Ordner /var/log/zugreifen.
Beispiel für eine Meldung des Native Format-Protokolls
Jun 22 19:14:37 <local0.info> 10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :
default APPFW APPFW_cross-site scripting 60 0 : 10.217.253.62 616-PPE1 y/3upt2K8ySWWId3Kavbxyni7Rw0000
pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=
AAAAAAWEXcNQLlSokNmqaYF6dvfqlChNzSMsdyO9JXOJomm2v
BwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo
%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c Cross-site script check failed for
field text_area="Bad tag: script" <blocked>
Allgemeine Ereignisformat-Protokolle (CEF)
Die Web App Firewall unterstützt auch CEF-Protokolle. CEF ist ein offener Protokollverwaltungsstandard, der die Interoperabilität sicherheitsrelevanter Informationen von verschiedenen Sicherheits- und Netzwerkgeräten und -anwendungen verbessert. CEF ermöglicht es Kunden, ein gemeinsames Ereignisprotokollformat zu verwenden, sodass Daten leicht von einem Enterprise-Management-System erfasst und für die Analyse aggregiert werden können. Die Protokollnachricht ist in verschiedene Felder unterteilt, sodass Sie die Nachricht leicht analysieren und Skripts schreiben können, um wichtige Informationen zu identifizieren.
Analyse der CEF-Protokollnachricht
Zusätzlich zu den Informationen zu Datum, Zeitstempel, Client-IP, Protokollformat, Appliance, Unternehmen, Build-Version, Modul und Sicherheitsprüfung enthalten Web App Firewall CEF-Protokollmeldungen folgende Details:
- src — Quell-IP-Adresse
- spt — Quellportnummer
- Anfrage — URL anfordern
- Akt — Aktion (z.B. blockiert, transformiert)
- msg — message (Meldung bezüglich der beobachteten Sicherheitsüberprüfungsverletzung)
- cn1 — Ereignis-ID
- cn2 — HTTP-Transaktions-ID
- cs1 — Profilname
- cs2 — PSA ID (z. B. PPE1)
- cs3 - Sitzungs-ID
- cs4 — Schweregrad (z. B. INFO, ALERT)
- cs5 — Veranstaltungsjahr
- cs6 - Unterschriftenverletzungskategorie
- Methode — Methode (z. B. GET/POST)
Betrachten Sie beispielsweise die folgende Protokollmeldung im CEF-Format, die beim Auslösen einer Start-URL-Verletzung generiert wurde:
Jun 12 23:37:17 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0
|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 method=GET
request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL. cn1=1340
cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015
act=blocked
Die obige Nachricht kann in verschiedene Komponenten unterteilt werden. SieheCEP-ProtokollkomponentenTabelle.
Beispiel für eine Anforderungsprüfung Verletzung im CEF-Protokollformat: Anforderung ist nicht blockiert
Jun 13 00:21:28 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=
http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=
123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid
=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNxOgj7Gmd3SZc8KUj6CR6a
7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b4174
0eedeeb6b35b85dfd3d5def30c msg=Field consistency check failed for field passwd cn1=1401
cn2=707 cs1=pr_ffc cs2=PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=
not blocked
Beispiel für eine Antwortüberprüfungsverletzung im CEF-Format: Antwort wird transformiert
Jun 13 00:25:31 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=
http://aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum number of potential credit
card numbers seen cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1
cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed
Beispiel für eine anforderungsseitige Signaturverletzung im CEF-Format: Anforderung ist blockiert
Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request=
http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807:
web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0
cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=blocked
Protokollieren der Geolokalisierung in den Verstößen der Web App Firewall
Geolocation, die den geografischen Standort identifiziert, von dem die Anforderungen stammen, kann Ihnen dabei helfen, die Web App Firewall für ein optimales Sicherheitsniveau zu konfigurieren. Um Sicherheitsimplementierungen wie Ratenbegrenzung zu umgehen, die von den IP-Adressen der Clients abhängig sind, können Malware oder nicht autorisierte Computer weiterhin die Quell-IP-Adresse in Anforderungen ändern. Die Identifizierung der bestimmten Region, aus der Anfragen kommen, kann helfen festzustellen, ob die Anforderungen von einem gültigen Benutzer oder einem Gerät stammen, das versucht, Cyberangriffe zu starten. Wenn beispielsweise eine zu große Anzahl von Anforderungen aus einem bestimmten Bereich empfangen wird, ist es leicht festzustellen, ob sie von Benutzern oder einem nicht autorisierten Computer gesendet werden. Die Geolokationsanalyse des empfangenen Datenverkehrs kann sehr nützlich sein, wenn Angriffe wie Denial-of-Service-Angriffe (DoS) abgelenkt werden.
Mit der Web App Firewall können Sie die integrierte Citrix ADC Datenbank verwenden, um die Speicherorte zu identifizieren, die den IP-Adressen entsprechen, von denen bösartige Anforderungen stammen. Sie können dann eine höhere Sicherheitsstufe für Anforderungen von diesen Speicherorten erzwingen. Citrix Default Syntax (PI) -Ausdrücke geben Ihnen die Flexibilität, standortbasierte Richtlinien zu konfigurieren, die in Verbindung mit der integrierten Standortdatenbank zum Anpassen des Firewall-Schutzes verwendet werden können. So stärken Sie Ihre Verteidigung gegen koordinierte Angriffe, die von nicht autorisierten Clients in einer bestimmten Region gestartet werden.
Sie können die integrierte Citrix ADC Datenbank oder jede andere Datenbank verwenden. Wenn die Datenbank keine Standortinformationen für die bestimmte Client-IP-Adresse enthält, zeigt das CEF-Protokoll die Geolokalisierung als unbekannte Geolokalisierung an.
Hinweis: Die Geolocation-Protokollierung verwendet das Common Event Format (CEF). Standardmäßig sind CEF-Protokollierung und GeoLocationLogging OFF. Sie müssen beide Parameter explizit aktivieren.
Beispiel für eine CEF-Protokollmeldung mit Geolokationsinformationen
June 8 00:21:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|
APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.\*.\*
spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.html
msg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1
cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=not blocked
Beispiel für eine Protokollmeldung mit Geolocation= Unbekannt
June 9 23:50:53 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|
APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Unknown spt=5086
method=GET request=http://aaron.stratum8.net/FFC/login.html msg=Disallow Illegal URL.
cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002
cs4=ALERT cs5=2015 act=not blocked
Verwenden der Befehlszeile zum Konfigurieren der Protokollaktion und anderer Protokollparameter
So konfigurieren Sie die Protokollaktion für eine Sicherheitsüberprüfung eines Profils mit der Befehlszeile
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
set appfw profile <name> SecurityCheckAction ([log] | [none])
unset appfw profile <name> SecurityCheckAction
Beispiele
set appfw profile pr_ffc StartURLAction log
unset appfw profile pr_ffc StartURLAction
So konfigurieren Sie die CEF-Protokollierung mit der Befehlszeile
Die CEF-Protokollierung ist standardmäßig deaktiviert. Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein, um die aktuelle Einstellung zu ändern oder anzuzeigen:
set appfw settings CEFLogging on
unset appfw settings CEFLogging
sh appfw settings | grep CEFLogging
So konfigurieren Sie die Protokollierung der Kreditkartennummern mit der Befehlszeile
Geben Sie an der Eingabeaufforderung einen der folgenden Befehle ein:
set appfw profile <name> -doSecureCreditCardLogging ([ON] | [OFF])
unset appfw profile <name> -doSecureCreditCardLogging
So konfigurieren Sie die Geolocation-Protokollierung mit der Befehlszeile
-
Verwenden Sie den Befehl set, um GeoLocationLogging zu aktivieren. Sie können die CEF-Protokollierung gleichzeitig aktivieren. Verwenden Sie den Befehl unset, um die Geolocation-Protokollierung zu deaktivieren. Der Befehl show zeigt die aktuellen Einstellungen aller Web App Firewall Parameter an, es sei denn, Sie schließen den Befehl grep ein, um die Einstellung für einen bestimmten Parameter anzuzeigen.
set appfw settings GeoLocationLogging ON [CEFLogging ON]
unset appfw settings GeoLocationLogging
sh appfw settings | grep GeoLocationLogging
-
Geben Sie die Datenbank an
add locationfile /var/netscaler/inbuilt_db/Citrix_netscaler_InBuilt_GeoIP_DB.csv
oder
add locationfile <path to database file>
Anpassen der Web App Firewall Protokolle
Standardformat-Ausdrücke (PI) geben Ihnen die Flexibilität, die in den Protokollen enthaltenen Informationen anzupassen. Sie haben die Möglichkeit, die spezifischen Daten, die Sie erfassen möchten, in die von Web App Firewall generierten Protokollmeldungen aufzunehmen. Wenn Sie beispielsweise die AAA-TM-Authentifizierung zusammen mit den Sicherheitsprüfungen der Web App Firewall verwenden und die zugegriffene URL kennen möchten, die die Sicherheitsüberprüfungsverletzung ausgelöst hat, den Namen des Benutzers, der die URL angefordert hat, die Quell-IP-Adresse und den Quellport, von dem der Benutzer die Anforderung gesendet hat, können Sie können die folgenden Befehle verwenden, um benutzerdefinierte Protokollmeldungen anzugeben, die alle Daten enthalten:
> sh version
NetScaler NS12.1: Build 50.0013.nc, Date: Aug 28 2018, 10:51:08 (64-bit)
Done
> add audit messageaction custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'
Warning: HTTP.REQ.USER has been deprecated. Use AAA.USER instead.
Done
> add appfw profile test_profile
Done
> add appfw policy appfw_pol true test_profile -logAction custom1
Done
Konfigurieren der Syslog-Richtlinie für die Trennung von Web App Firewall Protokollen
Die Web App Firewall bietet Ihnen die Möglichkeit, die Sicherheitsprotokollmeldungen der Web App Firewall zu isolieren und in eine andere Protokolldatei umzuleiten. Dies kann wünschenswert sein, wenn die Web App Firewall eine große Anzahl von Protokollen generiert, wodurch es schwierig ist, andere Citrix ADC Protokollmeldungen anzuzeigen. Sie können diese Option auch verwenden, wenn Sie nur die Protokollmeldungen der Web App Firewall anzeigen möchten und die anderen Protokollmeldungen nicht angezeigt werden sollen.
Um die Web App Firewall Protokolle in eine andere Protokolldatei umzuleiten, konfigurieren Sie eine Syslog-Aktion, um die Web App Firewall-Protokolle an eine andere Protokollfunktion zu senden. Sie können diese Aktion verwenden, wenn Sie die Syslog-Richtlinie konfigurieren und sie global für die Verwendung durch die Web App Firewall binden.
Beispiel:
-
Wechseln Sie zur Shell und bearbeiten Sie mit einem Editor wie vi die Datei /etc/syslog.conf. Fügen Sie einen neuen Eintrag zu local2.* verwenden, um Protokolle an eine separate Datei zu senden, wie im folgenden Beispiel gezeigt:
local2.\* /var/log/ns.log.appfw
-
Starten Sie den Syslog-Prozess neu. Sie können den Befehl grep verwenden, um die syslog-Prozess-ID (PID) zu identifizieren, wie im folgenden Beispiel gezeigt:
root@ns\# **ps -A | grep syslog**
1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C
root@ns# **kill -HUP** 1063
-
Konfigurieren Sie über die Befehlszeilenschnittstelle die Syslog-Aktion und -Richtlinie. Binden Sie es als globale Web App Firewall Richtlinie.
> add audit syslogAction sysact 1.1.1.1 -logLevel ALL -logFacility LOCAL2
> add audit syslogPolicy syspol1 ns_true sysact1
> bind appfw global syspol1 100
-
Alle Verletzungen der Sicherheitsprüfung der Web App Firewall werden nun in die Datei /var/log/ns.log.appfw umgeleitet. Sie können diese Datei in einem Scheck anzeigen, um die Verletzungen der Web App Firewall anzuzeigen, die während der Verarbeitung des laufenden Datenverkehrs ausgelöst werden.
root@ns# tail -f ns.log.appfw
Warnung: Wenn Sie die Syslog-Richtlinie so konfiguriert haben, dass die Protokolle an eine andere Protokollfunktion umgeleitet werden, werden die Protokollmeldungen der Web App Firewall nicht mehr in der Datei /var/log/ns.log angezeigt.
Anzeigen der Web App Firewall Protokolle
Sie können die Protokolle mithilfe des Syslog-Viewers anzeigen, indem Sie sich bei der Citrix ADC Appliance anmelden, eine UNIX-Shell öffnen und den UNIX-Texteditor Ihrer Wahl verwenden.
So greifen Sie mit der Befehlszeile auf die Protokollmeldungen zu
Wechseln Sie zur Shell und senden Sie die ns.logs im Ordner /var/log/, um auf die Protokollmeldungen zu den Sicherheitsüberprüfungsverletzungen der Web App Firewall zuzugreifen:
Shell
tail -f /var/log/ns.log
Sie können den vi-Editor oder einen beliebigen Unix-Texteditor oder Textsuchtool verwenden, um die Protokolle nach bestimmten Einträgen anzuzeigen und zu filtern. Sie können beispielsweise den Befehl grep verwenden, um auf die Protokollmeldungen zu den Kreditkartenverstößen zuzugreifen:
tail -f /var/log/ns.log | grep SAFECOMMERCE
So greifen Sie mit der GUI auf die Protokollmeldungen zu
Die Citrix GUI enthält ein sehr nützliches Tool (Syslog Viewer) zur Analyse der Protokollmeldungen. Sie haben mehrere Optionen für den Zugriff auf den Syslog Viewer:
- Um Protokollmeldungen für eine bestimmte Sicherheitsprüfung eines Profils anzuzeigen, navigieren Sie zu Web App Firewall > Profile, wählen Sie das Zielprofil aus und klicken Sie auf Sicherheitsprüfungen. Markieren Sie die Zeile für die Zielsicherheitsprüfung, und klicken Sie auf Protokolle. Wenn Sie direkt über die ausgewählte Sicherheitsprüfung des Profils auf die Protokolle zugreifen, filtert es die Protokollmeldungen aus und zeigt nur die Protokolle an, die sich auf die Verstöße für die ausgewählte Sicherheitsprüfung beziehen. Syslog Viewer kann Web App Firewall Protokolle sowohl im nativen Format als auch im CEF-Format anzeigen. Damit der Syslog-Viewer jedoch die Zielprofilspezifischen Protokollmeldungen herausfiltern kann, müssen die Protokolle beim Zugriff über das Profil im CEF-Protokollformat vorliegen.
- Sie können auch auf den Syslog Viewer zugreifen, indem Sie zu Citrix ADC > System > Auditing navigieren. Klicken Sie im Abschnitt Überwachungsmeldungen auf Syslog-Meldungen, um den Syslog-Viewer anzuzeigen, der alle Protokollmeldungen, einschließlich aller Protokolle für die Sicherheitsüberprüfung der Web App Firewall für alle Profile anzeigt. Dies ist nützlich für das Debuggen, wenn während der Anforderungsverarbeitung mehrere Sicherheitsüberprüfungsverletzungen ausgelöst werden können.
- Navigieren Sie zu Web App Firewall > Richtlinien > Überwachung . Klicken Sie im Abschnitt Überwachungsmeldungen auf Syslog-Meldungen, um den Syslog-Viewer anzuzeigen, der alle Protokollmeldungen einschließlich aller Sicherheitsüberprüfungsprotokolle für alle Profile anzeigt.
Der HTML-basierte Syslog Viewer bietet die folgenden Filteroptionen, um nur die Protokollmeldungen auszuwählen, die für Sie von Interesse sind:
-
Datei— Die aktuelle Datei /var/log/ns.log ist standardmäßig ausgewählt, und die entsprechenden Meldungen werden im Syslog Viewer angezeigt. Eine Liste anderer Protokolldateien im Verzeichnis /var/log ist im komprimierten Format .gz verfügbar. Um eine archivierte Protokolldatei herunterzuladen und zu dekomprimieren, wählen Sie einfach die Protokolldatei aus der Dropdown-Option aus. Die Protokollmeldungen, die sich auf die ausgewählte Datei beziehen, werden dann im syslog Viewer angezeigt. Um die Anzeige zu aktualisieren, klicken Sie auf das Symbol Aktualisieren (ein Kreis aus zwei Pfeilen).
-
Listenfeld Modul— Sie können das Citrix ADC Modul auswählen, dessen Protokolle Sie anzeigen möchten. Sie können es auf APPFW für Web App Firewall Protokolle festlegen.
-
Listenfeld Ereignistyp— Dieses Feld enthält eine Reihe von Kontrollkästchen zum Auswählen des Ereignistyps, an dem Sie interessiert sind. Um beispielsweise die Protokollmeldungen zu den Signaturverletzungen anzuzeigen, können Sie das Kontrollkästchen APPFW_SIGNATURE_MATCH aktivieren. Ebenso können Sie ein Kontrollkästchen aktivieren, um die bestimmte Sicherheitsüberprüfung zu aktivieren, die für Sie von Interesse ist. Sie können mehrere Optionen auswählen.
-
Schweregrad— Sie können einen bestimmten Schweregrad auswählen, um nur die Protokolle für diesen Schweregrad anzuzeigen. Lassen Sie alle Kontrollkästchen leer, wenn Sie alle Protokolle anzeigen möchten.
Um auf die Protokollmeldungen für die Sicherheitsüberprüfung der Web App Firewall für eine bestimmte Sicherheitsprüfung zuzugreifen, filtern Sie, indem Sie APPFW in den Dropdown-Optionen für Modul auswählen. Der Ereignistyp zeigt eine Reihe von Optionen an, um Ihre Auswahl weiter zu verfeinern. Wenn Sie beispielsweise das Kontrollkästchen APPFW_FIELDFORMAT aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog Viewer nur Protokollnachrichten im Zusammenhang mit den Sicherheitsüberprüfungsverletzungen für Feldformate angezeigt. Wenn Sie die Kontrollkästchen APPFW_SQL und APPFW_STARTURL aktivieren und auf die Schaltfläche Übernehmen klicken, werden im Syslog-Viewer nur Protokollmeldungen angezeigt, die sich auf diese beiden Sicherheitsüberprüfungsverletzungen beziehen.
Wenn Sie den Cursor in der Zeile für eine bestimmte Protokollmeldung platzieren, werden mehrere Optionen wie Module, EventType, EventID, ClientIP, TransactionIDusw. unterhalb der Protokollmeldung angezeigt. Sie können eine dieser Optionen auswählen, um die entsprechenden Informationen in den Protokollen hervorzuheben.
Klicken Sie auf Bereitstellen: Diese Funktionalität ist nur in der GUI verfügbar. Sie können den Syslog Viewer verwenden, um nicht nur die Protokolle anzuzeigen, sondern auch Relaxationsregeln basierend auf den Protokollmeldungen für die Sicherheitsüberprüfungsverstöße der Web App Firewall bereitzustellen. Die Protokollmeldungen müssen für diesen Vorgang im CEF-Protokollformat vorliegen. Wenn die Relaxationsregel für eine Protokollmeldung bereitgestellt werden kann, wird am rechten Rand des Feldes Syslog Viewer in der Zeile ein Kontrollkästchen angezeigt. Aktivieren Sie das Kontrollkästchen, und wählen Sie dann eine Option aus der Liste Aktion aus, um die Relaxationsregel bereitzustellen. Bearbeiten und Bereitstellen, BereitstellenundAlle bereitstellensind als Aktionsoptionen verfügbar. Sie können beispielsweise eine einzelne Protokollmeldung auswählen, die bearbeitet und bereitgestellt werden soll. Sie können auch die Kontrollkästchen für mehrere Protokollmeldungen aus einer oder mehreren Sicherheitsprüfungen aktivieren und die Option Bereitstellen oder Alle bereitstellen verwenden. Die Funktion Klicken Sie auf Bereitstellen wird derzeit für die folgenden Sicherheitsprüfungen unterstützt:
- StartUrl
- URL-Pufferüberlauf
- SQL-Injection
- Site-übergreifendes Skrip
- Feldkonsistenz
- Cookie-Konsistenz
So verwenden Sie Click to Deployment-Funktionalität in der GUI
- Wählen Sie im Syslog-Viewerin den Modul-OptionenAPPFW aus.
- Wählen Sie die Sicherheitsprüfung aus, nach der die entsprechenden Protokollmeldungen gefiltert werden sollen.
- Aktivieren Sie das Kontrollkästchen, um die Regel auszuwählen.
- Verwenden Sie die Dropdownliste Aktion mit Optionen, um die Relaxationsregel bereitzustellen.
- Stellen Sie sicher, dass die Regel im entsprechenden Abschnitt zur Relaxationsregel angezeigt wird.
Hinweis:
SQL Injection und Cross-Site-Scripting-Regeln, die mit der Option Click Deploy bereitgestellt werden, enthalten keine Empfehlungen zur Feinkorn-Laxation.
Highlights
- Unterstützung für das CEF-Protokollformat— Die CEF-Protokollformatoption bietet eine bequeme Option zum Überwachen, Analysieren und Analysieren der Web App Firewall Protokollmeldungen zur Identifizierung von Angriffen, zur Feinabstimmung der konfigurierten Einstellungen zur Verringerung von Fehlalarme und zum Sammeln von Statistiken.
- Klicken Sie auf Bereitstellen— Der Syslog-Viewer bietet eine Option zum Filtern, Auswerten und Bereitstellen von Relaxationsregeln für einzelne oder mehrere Sicherheitsüberprüfungen von einem geeigneten Ort aus.
- Option zum Anpassen der Protokollnachricht— Sie können erweiterte PI-Ausdrücke verwenden, um Protokollmeldungen anzupassen und die gewünschten Daten in die Protokolle aufzunehmen.
- Getrennte Web App Firewall spezifische Protokolle— Sie haben die Möglichkeit, Anwendungs-Firewall-spezifische Protokolle in eine separate Protokolldatei zu filtern und umzuleiten.
- Remote Logging— Sie können die Protokollmeldungen an einen entfernten Syslog-Server umleiten.
- Geolocation-Protokollierung: Sie können die Web App Firewall so konfigurieren, dass sie die Geolokalisierung des Bereichs einschließt, von dem die Anforderung empfangen wird. Eine integrierte Geolocation-Datenbank ist verfügbar, Sie haben jedoch die Möglichkeit, eine externe Geolocation-Datenbank zu verwenden. Die Citrix ADC Appliance unterstützt statische IPv4- und IPv6-Geoortungsdatenbanken.
-
Information Rich Log-Nachricht— Im Folgenden finden Sie einige Beispiele für den Typ der Informationen, die in die Protokolle aufgenommen werden können, je nach Konfiguration:
- Eine Web App Firewall Richtlinie wurde ausgelöst.
- Eine Sicherheitsüberprüfungsverletzung wurde ausgelöst.
- Ein Antrag wurde als fehlerhaft angesehen.
- Eine Anfrage oder die Antwort wurde blockiert oder nicht blockiert.
- Anforderungsdaten (wie SQL- oder Cross-Site-Scripting-Sonderzeichen) oder Antwortdaten (wie Kreditkartennummern oder sichere Objektzeichenfolgen) wurden transformiert.
- Die Anzahl der Kreditkarten in der Antwort hat das konfigurierte Limit überschritten.
- Kreditkartennummer und -typ.
- Die in den Signaturregeln konfigurierten Protokollzeichenfolgen und die Signatur-ID.
- Geolocation-Informationen über die Quelle der Anforderung.
- Maskierte (X’d out) Benutzereingaben für geschützte vertrauliche Felder.
Vertrauliche Daten mit Regex-Muster maskieren
Mit der erweiterten Richtlinienfunktion REGEX_REPLACE (PI) in einem Protokollausdruck (gebunden an ein WAF-Profil der Web Application Firewall) können Sie vertrauliche Daten in WAF-Protokollen maskieren. Sie können die Option verwenden, um Daten mit einem Regex-Muster zu maskieren und ein Zeichen oder ein Zeichenfolgenmuster bereitzustellen, um die Daten zu maskieren. Außerdem können Sie die PI-Funktion so konfigurieren, dass das erste Vorkommen oder alle Vorkommen des Regex-Musters ersetzt werden.
Standardmäßig bietet die Citrix GUI-Schnittstelle die folgende Maske:
- SSN
- Kreditkarte
- Kennwort
- Benutzername
Vertrauliche Daten in Web Application Firewall-Protokollen maskieren
Sie können sensible Daten in WAF-Protokollen maskieren, indem Sie den erweiterten Richtlinienausdruck REGEX_REPLACE im Protokollausdruck konfigurieren, der an ein WAF-Profil gebunden ist. Um vertrauliche Daten zu maskieren, müssen Sie die folgenden Schritte ausführen:
- Hinzufügen eines Web Application Firewall-Profils
- Binden eines Protokollausdrucks an das WAF-Profil
Hinzufügen eines Web Application Firewall-Profils
Geben Sie an der Eingabeaufforderung Folgendes ein:
add appfw profile <name>
Beispiel:
Add appfw profile testprofile1
Binden eines Protokollausdrucks mit dem Web Application Firewall-Profil
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind appfw profile <name> -logExpression <string> <expression> –comment <string>
Beispiel:
bind appfw profile testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALL)" -comment "SSN Masked"
Mask sensibler Daten in Web Application Firewall-Protokollen mit der Citrix ADC GUI
- Erweitern Sie im Navigationsbereich Sicherheit > Citrix Web App Firewall > Profile .
- Klicken Sie auf der Seite Profile auf Bearbeiten .
-
Navigieren Sie auf der Seite Citrix Web App Firewall profil zum Abschnitt Erweiterte Einstellungen, und klicken Sie auf Erweiterte Protokollierung .
-
Klicken Sie im Abschnitt Erweiterte Protokollierung auf Hinzufügen .
-
Legen Sie auf der Seite Erweiterte Protokollbindung von Citrix Web App Firewall erstellen die folgenden Parameter fest:
- Name. Name des Protokollausdrucks.
- Aktiviert Wählen Sie diese Option, um vertrauliche Daten zu maskieren.
- Log-Maske. Wählen Sie die zu maskierenden Daten aus.
- Ausdruck. Geben Sie den erweiterten Richtlinienausdruck ein, mit dem Sie vertrauliche Daten in WAF-Protokollen maskieren können
- Kommentare. Kurze Beschreibung der Maskierung vertraulicher Daten.
-
Klicken Sie auf Erstellen und Schließen.
Teilen
Teilen
In diesem Artikel
- Citrix ADC Formatprotokolle (Native)
- Allgemeine Ereignisformat-Protokolle (CEF)
- Protokollieren der Geolokalisierung in den Verstößen der Web App Firewall
- Verwenden der Befehlszeile zum Konfigurieren der Protokollaktion und anderer Protokollparameter
- Konfigurieren der Syslog-Richtlinie für die Trennung von Web App Firewall Protokollen
- Anzeigen der Web App Firewall Protokolle
- Highlights
- Vertrauliche Daten mit Regex-Muster maskieren
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.