Citrix ADC

Erstellen und Konfigurieren von Web App Firewall-Richtlinien

Eine Firewall-Richtlinie besteht aus zwei Elementen: einer Regelund einem zugeordneten Profil. Die Regel wählt den HTTP-Datenverkehr aus, der den von Ihnen festgelegten Kriterien entspricht, und sendet diesen Datenverkehr zur Filterung an die Web App Firewall. Das Profil enthält die Filterkriterien, die die Web App Firewall verwendet.

Die Richtlinienregel besteht aus einem oder mehreren Ausdrücken in der Sprache für Citrix ADC Ausdrücke. Die Syntax von Citrix ADC Expressions ist eine leistungsstarke, objektorientierte Programmiersprache, mit der Sie den Datenverkehr, den Sie mit einem bestimmten Profil verarbeiten möchten, genau bestimmen können. Für Benutzer, die mit der Sprachsyntax für Citrix ADC-Ausdrücke nicht vertraut sind oder ihre Citrix ADC-Appliance über eine webbasierte Oberfläche konfigurieren möchten, bietet die GUI zwei Tools: das Präfix-Menü und das Dialogfeld Ausdruck hinzufügen . Beide helfen Ihnen beim Schreiben von Ausdrücken, die genau den Datenverkehr auswählen, den Sie verarbeiten möchten. Erfahrene Benutzer, die mit der Syntax vertraut sind, bevorzugen möglicherweise die Citrix ADC-Befehlszeile, um ihre Citrix ADC-Appliances zu konfigurieren.

Hinweis:

Zusätzlich zur Syntax der Standardausdrücke unterstützt das Citrix ADC-Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax für klassische Ausdrücke von Citrix ADC auf Citrix ADC Classic- und NCore-Appliances und virtuellen Appliances. Klassische Ausdrücke werden auf Citrix ADC Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Citrix ADC Benutzer, die vorhandene Konfigurationen in den Citrix ADC Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.

Ausführliche Informationen zu den Sprachen der Citrix ADC-Ausdrücke finden Sie unter Richtlinien und Ausdrücke.

Sie können eine Firewallrichtlinie mit der GUI oder der Citrix ADC Befehlszeile erstellen.

So erstellen und konfigurieren Sie eine Richtlinie mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • add appfw policy <name><rule> <profileName>
  • save ns config

Beispiel

Im folgenden Beispiel wird eine Richtlinie mit dem Namen pl-blog mit einer Regel hinzugefügt, die den gesamten Datenverkehr zum oder vom Host blog.example.com abfängt und diese Richtlinie dem Profil pr-Blog zuordnet. Dies ist eine geeignete Richtlinie zum Schutz eines Blogs, das auf einem bestimmten Hostnamen gehostet wird.

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
<!--NeedCopy-->

So erstellen und konfigurieren Sie eine Richtlinie mit der GUI

  1. Navigieren Sie zu Sicherheit > Web App Firewall > Richtlinien.

  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:

    • Um eine Firewall-Richtlinie zu erstellen, klicken Sie auf Hinzufügen. Die Richtlinie “Web App Firewall erstellen “ wird angezeigt.
    • Um eine vorhandene Firewall-Richtlinie zu bearbeiten, wählen Sie die Richtlinie aus, und klicken Sie dann auf Bearbeiten.

    Die Richtlinie “Web App Firewall erstellen “ oder “Web App Firewall konfigurieren “ wird angezeigt.

  3. Wenn Sie eine Firewall-Richtlinie erstellen, geben Sie im Dialogfeld Web App Firewall App-Firewall-Richtlinie erstellen im Textfeld Richtlinienname einen Namen für Ihre neue Richtlinie ein.

    Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstrich beginnen und kann aus einem bis 128 Buchstaben, Zahlen und dem Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), Leerzeichen (), bei (@), gleich (=), Doppelpunkt (:) und Unterstrich (_) Symbolen bestehen.

    Wenn Sie eine vorhandene Firewall-Richtlinie konfigurieren, ist dieses Feld schreibgeschützt. Sie können es nicht ändern.

  4. Wählen Sie in der Dropdown-Liste Profil das Profil aus, das Sie dieser Richtlinie zuordnen möchten. Sie können ein Profil erstellen, das mit Ihrer Richtlinie verknüpft werden soll, indem Sie auf Neu klicken, und Sie können ein vorhandenes Profil ändern, indem Sie auf Ändern klicken.

  5. Erstellen Sie im Textbereich Ausdruck eine Regel für Ihre Richtlinie.

    • Sie können eine Regel direkt in den Textbereich eingeben.
    • Sie können auf Präfix klicken, um den ersten Begriff für Ihre Regel auszuwählen, und den Anweisungen folgen.
    • Sie können auf Hinzufügen klicken, um das Dialogfeld Ausdruck hinzufügen zu öffnen und damit die Regel zu erstellen.
  6. Klicken Sie auf Erstellen oder OKund dann auf Schließen.

So erstellen oder konfigurieren Sie eine Web App Firewall-Regel (Ausdruck)

Die Richtlinienregel, auch Ausdruckgenannt, definiert den Webverkehr, den die Web App Firewall mithilfe des mit der Richtlinie verknüpften Profils filtert. Wie andere Citrix ADC-Richtlinienregeln (oder Ausdrücke) verwenden die Web App Firewall-Regeln die Syntax von Citrix ADC-Ausdrücken. Diese Syntax ist leistungsstark, flexibel und erweiterbar. Es ist zu komplex, um es in diesen Anweisungen vollständig zu beschreiben. Sie können das folgende Verfahren verwenden, um eine einfache Firewall-Richtlinienregel zu erstellen, oder Sie können sie als Überblick über den Richtlinienerstellungsprozess lesen.

  1. Wenn Sie dies noch nicht getan haben, navigieren Sie zum entsprechenden Speicherort im Web App Firewall-Assistenten oder zur Citrix ADC GUI, um Ihre Richtlinienregel zu erstellen:

    • Wenn Sie eine Richtlinie im Web App Firewall-Assistenten konfigurieren, klicken Sie im Navigationsbereich auf Web App Firewall, klicken Sie dann im Detailbereich auf Web App Firewall-Assistent, und navigieren Sie dann zum Fenster Regel angeben .
    • Wenn Sie eine Richtlinie manuell konfigurieren, erweitern Sie im Navigationsbereich Web App Firewall, Richtlinienund dann Firewall. Klicken Sie im Detailbereich auf Hinzufügen, um eine Richtlinie zu erstellen. Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Öffnen.
  2. Klicken Sie auf dem Bildschirm Regel angeben im Dialogfeld Web App Firewall App-Firewall-Profil erstellen oder im Dialogfeld Web App Firewall App-Firewall-Profil konfigurieren auf Präfix, und wählen Sie dann das Präfix für Ihren Ausdruck aus der Dropdown-Liste aus. Ihre Auswahlmöglichkeiten:

    • HTTP. Wählen Sie ein HTTP-Protokoll aus, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf das Protokoll bezieht.
    • SYS. Wählen Sie geschützte Websites aus, wenn Sie einen Aspekt der Anfrage untersuchen möchten, der sich auf den Empfänger der Anfrage bezieht.
    • CLIENT. Wählen Sie einen Kunden aus, der die Anfrage gesendet hat. Wählen Sie diese Option aus, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
    • -SERVER. Wählen Sie einen Kunden aus, an den die Anfrage gesendet wurde und ob Sie einen Aspekt des Empfängers der Anfrage untersuchen möchten.

    Nachdem Sie ein Präfix ausgewählt haben, zeigt die Web App Firewall ein zweiteiliges Eingabeaufforderungsfenster an, in dem oben die möglichen nächsten Optionen angezeigt werden, und eine kurze Erklärung, was die ausgewählte Auswahl unten bedeutet.

  3. Wähle dein nächstes Semester.

    Wenn Sie das HTTP-Protokoll als Präfix gewählt haben, wählen Sie nur REQ, das das Request/Response-Paar angibt. (Die Web App Firewall arbeitet bei der Anfrage und Antwort als Einheit statt auf jeder separat.) Wenn Sie ein anderes Präfix gewählt haben, sind Ihre Auswahl vielfältiger. Um Hilfe zu einer bestimmten Auswahl zu erhalten, klicken Sie einmal auf diese Auswahl, um Informationen darüber im unteren Eingabeaufforderungsfenster anzuzeigen.

    Wenn Sie entschieden haben, welchen Begriff Sie möchten, doppelklicken Sie darauf, um ihn in das Ausdrucksfenster einzufügen.

  4. Geben Sie einen Zeitraum nach dem gerade gewählten Term ein. Sie werden dann aufgefordert, Ihren nächsten Begriff zu wählen, wie im vorherigen Schritt beschrieben. Wenn für einen Begriff die Eingabe eines Wertes erforderlich ist, geben Sie den entsprechenden Wert ein. Wenn Sie beispielsweise HTTP.REQ.HEADER (“”) wählen, geben Sie den Kopfzeilennamen zwischen den Anführungszeichen ein.

  5. Wählen Sie weiterhin Begriffe aus den Eingabeaufforderungen aus und geben Sie alle benötigten Werte ein, bis Ihr Ausdruck beendet ist.

    Im Folgenden finden Sie einige Beispiele für Ausdrücke für bestimmte Zwecke.

    • Spezifischer Webhost. So stimmen Sie den Datenverkehr von einem bestimmten Webhost ab:

       HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
       <!--NeedCopy-->
      

      Ersetzen Sie für shopping.example.comden Namen des Webhosts, den Sie abgleichen möchten.

    • Bestimmter Webordner oder -verzeichnis. So stimmen Sie den Datenverkehr aus einem bestimmten Ordner oder Verzeichnis auf einem Webhost ab:

       HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")
       <!--NeedCopy-->
      

      Ersetzen Sie für www.example.com den Namen des Webhosts. Ersetzen Sie für den Ordner den Ordner oder Pfad zu dem Inhalt, den Sie abgleichen möchten. Wenn sich Ihr Warenkorb beispielsweise in einem Ordner namens /solutions/orders befindet, ersetzen Sie diese Zeichenfolge durch Ordner.

    • Bestimmte Art von Inhalt: GIF-Bilder. So passen Sie Bilder im GIF-Format an:

       HTTP.REQ.URL.ENDSWITH(".gif")
       <!--NeedCopy-->
      

      Um Bilder in anderen Formaten zu entsprechen, ersetzen Sie anstelle von .gif eine andere Zeichenfolge.

    • Spezifischer Inhaltstyp: Skripts. So passen Sie alle CGI-Skripts an, die sich im CGI-BIN-Verzeichnis befinden:

       HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")
       <!--NeedCopy-->
      

      Um alle JavaScript mit .js-Erweiterungen abzugleichen:

       HTTP.REQ.URL.ENDSWITH(".js")
       <!--NeedCopy-->
      

      Weitere Informationen zum Erstellen von Richtlinienausdrücken finden Sie unter Richtlinien und Ausdrücke.

    Hinweis:

    Wenn Sie die Befehlszeile zum Konfigurieren einer Richtlinie verwenden, denken Sie daran, doppelte Anführungszeichen in Citrix ADC-Ausdrücken zu umgehen. Der folgende Ausdruck ist beispielsweise korrekt, wenn er in die GUI eingegeben wird:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
    <!--NeedCopy-->
    

    Wenn Sie jedoch in der Befehlszeile eingegeben werden, müssen Sie stattdessen den folgenden Befehl eingeben:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
    <!--NeedCopy-->
    

So fügen Sie eine Firewallregel (Ausdruck) mithilfe des Dialogfelds Ausdruck hinzufügen hinzu

Das Dialogfeld Ausdruck hinzufügen (auch als Ausdruckseditor bezeichnet) hilft Benutzern, die mit der Sprache der Citrix ADC-Ausdrücke nicht vertraut sind, eine Richtlinie zu erstellen, die dem Datenverkehr entspricht, den sie filtern möchten.

  1. Wenn Sie dies noch nicht getan haben, navigieren Sie im Web App Firewall-Assistenten oder in der Citrix ADC GUI zum entsprechenden Speicherort:
    • Wenn Sie eine Richtlinie im Web App Firewall-Assistenten konfigurieren, klicken Sie im Navigationsbereich auf Web App Firewall, klicken Sie dann im Detailbereich auf Web App Firewall-Assistent, und navigieren Sie dann zum Fenster Regel angeben .
    • Wenn Sie eine Richtlinie manuell konfigurieren, erweitern Sie im Navigationsbereich Web App Firewall, Richtlinienund dann Firewall. Klicken Sie im Detailbereich auf Hinzufügen, um eine Richtlinie zu erstellen. Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Öffnen.
  2. Klicken Sie auf dem Bildschirm Regel angeben im Dialogfeld Web App-Firewall-Profil erstellen oder im Dialogfeld Web App Firewall-Profil konfigurieren auf Hinzufügen.
  3. Wählen Sie im Dialogfeld Ausdruck hinzufügen im Bereich Ausdruck konstruieren im ersten Listenfeld eines der folgenden Präfixe aus:
    • HTTP. Wählen Sie das HTTP-Protokoll, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf das HTTP-Protokoll bezieht. Die Standardauswahl.
    • SYS. Wählen Sie geschützte Websites aus, wenn Sie einen Aspekt der Anfrage untersuchen möchten, der sich auf den Empfänger der Anfrage bezieht.
    • CLIENT. Wählen Sie den Computer aus, der die Anfrage gesendet hat, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
    • -SERVER. Wählen Sie den Computer aus, an den die Anfrage gesendet wurde, und prüfen Sie einen Aspekt des Empfängers der Anfrage.
  4. Wählen Sie im zweiten Listenfeld Ihren nächsten Begriff aus. Die verfügbaren Begriffe unterscheiden sich je nach Auswahl, die Sie im vorherigen Schritt getroffen haben, da das Dialogfeld die Liste automatisch so anpasst, dass sie nur die Begriffe enthält, die für den Kontext gültig sind. Wenn Sie beispielsweise im vorherigen Listenfeld HTTP ausgewählt haben, ist REQ für Anfragen die einzige Wahl. Da die Web App Firewall Anfragen und zugehörige Antworten als eine einzige Einheit behandelt und beide filtert, müssen Sie keine spezifischen Antworten separat eingehen. Nachdem Sie Ihren zweiten Begriff gewählt haben, erscheint rechts neben dem zweiten ein drittes Listenfeld. Im Hilfefenster wird eine Beschreibung des zweiten Begriffs angezeigt, und im Fenster Vorschauausdruck wird Ihr Ausdruck angezeigt.
  5. Wählen Sie im dritten Listenfeld den nächsten Begriff aus. Rechts erscheint ein neues Listenfeld, und das Hilfefenster ändert sich, um eine Beschreibung des neuen Begriffs anzuzeigen. Das Fenster Vorschauausdruck wird aktualisiert, um den Ausdruck so anzuzeigen, wie Sie ihn bis zu diesem Zeitpunkt angegeben haben.
  6. Wählen Sie weiterhin Begriffe aus und wenn Sie dazu aufgefordert werden, Argumente auszufüllen, bis Ihr Ausdruck vollständig ist. Wenn Sie einen Fehler machen oder Ihren Ausdruck ändern möchten, nachdem Sie bereits einen Begriff ausgewählt haben, können Sie einfach einen anderen Begriff wählen. Der Ausdruck wird geändert, und alle Argumente oder mehr Begriffe, die Sie nach dem von Ihnen geänderten Begriff hinzugefügt haben, werden gelöscht.
  7. Wenn Sie mit der Erstellung Ihres Ausdrucks fertig sind, klicken Sie auf OK, um das Dialogfeld Ausdruck hinzufügen zu schließen. Ihr Ausdruck wird in den Textbereich Ausdruck eingefügt.