ADC

Dynamisches Profiling

Die Lernfunktion ist ein Musterfilter, der Aktivitäten auf dem Backend-Server beobachtet und lernt. Basierend auf der Beobachtung generiert die Lernmaschine bis zu 2000 Regeln oder Ausnahmen (Entspannungen) für jede Sicherheitsüberprüfung. Um den Prozess zu automatisieren und die Entspannungsregeln automatisch bereitzustellen, verwendet die NetScaler-Appliance dynamische Profilerstellung.

Bei der dynamischen Profilerstellung zeichnet die Appliance die erlernten Daten für einen vordefinierten Schwellenwert auf und sendet eine SNMP-Warnung an den Benutzer. Wenn der Benutzer die Daten nicht innerhalb einer Nachfrist überspringt, stellt die Appliance sie automatisch als Entspannungsregel bereit. Früher musste der Benutzer die Relaxationsregeln manuell bereitstellen. Derzeit ist die dynamische Profilerstellung nur für die folgenden Sicherheitsüberprüfungen verfügbar:

  1. HTML SQL injection
  2. HTML-Cross-Site-Scripting
  3. Feld-Format
  4. Start-URL
  5. Content-Typ
  6. Feld-Formate
  7. CSRF-Formular-Tagging
  8. Cookie-Konsistenz
  9. URL verweigern
  10. Pufferüberlauf
  11. Kreditkarte
  12. Content-Typ-Schutz
  13. JSON Cmd Injection protection

Betrachten Sie beispielsweise die Sicherheitsprüfung für HTML SQL Injection, die mit dynamischer Profilerstellung aktiviert ist. Sie können Lernen für eine Liste von IPs verwenden (die als Liste der vertrauenswürdigen Lernkunden bezeichnet wird), aus denen die Lernfunktion Empfehlungen generieren muss. Informationen zum Konfigurieren einer Liste vertrauenswürdiger Clients finden Sie unter Learning Trusted Clients Thema. Wenn der eingehende Verkehr Verstöße aufweist, wird er als gelernte Daten aufgezeichnet. Wenn die gelernten Daten in der Learning Engine aufgezeichnet werden, sendet die Appliance eine SNMP-Warnung an den Benutzer. Wenn der Benutzer ein falsches Positiv nicht erkennt und die erlernten Daten nicht innerhalb eines Kulanzzeitraums überspringt, stellt die Appliance diese automatisch als Relaxationsregel bereit.

Hinweis: Nachdem Sie das dynamische Profil konfiguriert haben, müssen Sie die Appliance-Konfiguration regelmäßig auf die automatische Bereitstellung der Entspannungsregeln überprüfen und auf der Appliance speichern.

Konfigurieren der dynamischen Profilerstellung mit der NetScaler Befehlszeilenschnittstelle

Dynamische Profilerstellung ist für Start-URL, HTML Cross-Site Scripting, Feldformat oder HTML SQL Injection Sicherheitsüberprüfungen verfügbar. Um das dynamische Profiling zu konfigurieren, müssen Sie die folgenden Schritte ausführen.

  1. Konfigurieren Sie dynamisches Lernen
  2. Konfigurieren der Nachfrist für die automatische Bereitstellung

Konfigurieren Sie dynamisches Lernen

Als ersten Schritt müssen Sie dynamisches Lernen auf Ihrer Appliance konfigurieren. Geben Sie in der Befehlszeile Folgendes ein:

set appfw profile <profile_name> dynamicLearning <security_checks>

Beispiel

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

Konfigurieren der Nachfrist für die automatische Bereitstellung

Sobald Sie die Funktion für bestimmte Sicherheitsüberprüfungen aktiviert haben, müssen Sie die Nachfrist für die automatische Bereitstellung konfigurieren.

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds>

set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds>

set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

Beispiel

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30

set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7

set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10

set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

Hinweis:

Hier ist die Nachfrist für die automatische Bereitstellung in Minuten.

Konfigurieren der dynamischen Profilerstellung über die NetScaler GUI

  1. Navigieren Sie zu Sicherheit > NetScaler Web App Firewall > Profil.
  2. Wählen Sie im Detailbereich ein Profil aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite Citrix Web App Profile unter Erweiterte Einstellungen auf Dynamisches Profiling.
  4. Wählen Sie im Abschnitt Dynamic Profiling eine Sicherheitsüberprüfung aus und klicken Sie auf Bearbeiten.
  5. Legen Sie auf der Seite Einstellungen für dynamische Profilerstellung und Lernen die Nachfrist für die Sicherheitsüberprüfung fest.

    Dynamischer Profilierungsabschnitt

  6. Klicken Sie auf OK und Fertig.

Export und Import von Entspannungsregeln

Wenn Sie die dynamische Profilerstellung aktivieren, werden die gelernten Daten automatisch als Entspannungsregeln bereitgestellt. Darüber hinaus können Sie mit der Appliance auch die dynamischen Profilerstellungsregeln und regulären Entspannungsregeln exportieren. Sie können die Regeln aus der Staging-Umgebung exportieren und in die Produktionsumgebung importieren.

Hinweis:

Wenn Sie Regeln in die Produktionsumgebung importieren, müssen Sie sicherstellen, dass der Prozess additiv ist und die vorhandene Konfiguration nicht außer Kraft setzt.

Wie man Relaxationsregeln exportiert und importiert

Um die Entspannungsregeln zu exportieren und zu importieren, müssen Sie die folgenden Schritte ausführen:

  1. Sie müssen zuerst die dynamischen Profiling-basierten Daten exportieren. Dazu steht die Exportoption für die Entspannungsregeln im WAF-Profil zur Verfügung. Wenn Sie diese Option auswählen, exportieren Sie die Regeln für die dynamische Profilerstellung und die regelmäßigen Entspannungsregeln. Sie können die Exportoption verwenden, um die Konfiguration als komprimiertes Bundle auf die Appliance herunterzuladen.
  2. Nachdem Sie die Daten aus der Stagingumgebung exportiert haben, müssen Sie sie in eine andere NetScaler-Appliance importieren. Dazu müssen Sie die Importoption verwenden, die in den Entspannungsregeln des WAF-Profils verfügbar ist. Wenn Sie diese Option auswählen, importiert die Appliance die angegebenen Entspannungsregeln gebündelt und stellt sie im WAF-Profil der ausgewählten Appliance wieder her.

Hinweis:

Wenn Sie Relaxationsregeln in ein WAF-Profil importieren möchten, gibt es zwei Arten von Aktionen: Augment - Diese Aktion stellt sicher, dass der Import additiv ist und somit keine vorhandene Konfiguration außer Kraft gesetzt wird. Überschreiben — Diese Aktion überschreibt die bestehende Konfiguration mit der Konfiguration, die im komprimierten Exportpaket vorhanden ist.

Importieren Sie archivierte Relaxationsregeldatei mithilfe von CLI

Um die Entspannungsregeln zu importieren, müssen Sie das Archiv in die NetScaler-Appliance importieren und dann den Restore-Befehl ausführen, um die Konfiguration zu extrahieren. Der folgende Satz von CLI-Befehlen kann zum Exportieren, Importieren und Verwalten der Konfigurationen verwendet werden.

Um die archivierte Datei vom bestimmten Speicherort zu importieren und wiederherzustellen, geben Sie an der Eingabeaufforderung Folgendes ein:

import appfw archive <src> <name> [-comment <string>]

Wo, “src”: Gibt die Quelle der tar-Archivdatei im Formular an, <protocol>://<host>[:<port>][/<path>] “name”: Gibt den Namen des Archivs an. “ comment”: Kommentare, die mit diesem Archiv verknüpft sind.

restore appfw profile <archivename> [-relaxationRules] [-importProfileName <string>] [-matchUrlString <string>] [-replaceUrlString <string>] [-overwrite] [-augment]

Wobei archivename: Zeigt die Quelle für das TAR-Archiv an. Dies ist ein obligatorisches Argument. “RelaxationRules”: Option zum Importieren aller appfw-Entspannungsregeln.

importProfileName: Gibt den Profilnamen an, der erstellt oder aktualisiert wurde, um die Entspannungsregeln während des Wiederherstellungsvorgangs zuzuordnen. “ MatchUrlString”: Gibt die Action-URL-Zeichenfolge an, die in archivierten Relaxationsregeln übereinstimmt.

replaceUrlString: Zeigt die Zeichenfolge an, die in Aktion ersetzt werden soll, während Entspannungsregeln wiederhergestellt werden soll.

overwrite: Bestehende Regelaktion, um bestehende Entspannungsregeln zu bereinigen und während des Imports zu ersetzen.

augment: Bestehende Regelaktion zur Verstärkung von Relaxationsregeln während des Imports.

Beispiel: import appfw archive local: dutA_test_pr.tgz demo restore appfw profile dutA_test_pr

Exportieren Sie die archivierte Datei über die Befehlszeilenschnittstelle in die ausgewählte Appliance

Wenn Sie die Appfw-Entspannungsregeln mit CLI exportieren, müssen Sie die Konfiguration archivieren und dann exportieren. Um die archivierte Datei zu archivieren und zu exportieren, geben Sie an der Eingabeaufforderung Folgendes ein:

archive appfw profile <name> <archivename> [-comment <string>]

Wobei archive name: Zeigt die Quelle für das TAR-Archiv an. Dies ist ein obligatorisches Argument. name: Gibt den appfw-Profilnamen an, der die zu exportierenden Entspannungsregeln enthält

export appfw archive <name> <target>

Wo, Name. Name des TAR-Archiv. Dies ist ein obligatorisches Argument. Maximale Länge: 31 Ziel. Pfad zur zu exportierenden Datei. Dies ist ein obligatorisches Argument. Maximale Länge: 2047

Beispiel: > archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

So exportieren Sie Relaxationsregeln über die NetScaler GUI

Befolgen Sie die unten angegebenen Schritte, um Entspannungsregeln zu exportieren:

  1. Navigieren Sie zu Sicherheit > NetScaler Web App Firewall.
  2. Klicken Sie auf der Detailseite im Abschnitt Konfigurationsübersicht auf den Link NetScaler Web App Firewall Profiles.
  3. Klicken Sie auf der Seite NetScaler Web App Firewall Profile unter Erweiterte Einstellungen auf den Link Entspannungsregeln.
  4. Klicken Sie im Abschnitt Entspannungsregeln auf Alle Entspannungsregeln exportieren. Die Aktion gilt für alle Sicherheitsüberprüfungen und für diejenigen, bei denen dynamisches Lernen in diesem Profil aktiviert ist.

    Export-relaxation-rules

So importieren Sie Relaxationsregeln über die NetScaler GUI

Führen Sie die Schritte aus, um Entspannungsregeln zu importieren:

  1. Navigieren Sie zu Sicherheit > NetScaler Web App Firewall.
  2. Klicken Sie auf der Detailseite im Abschnitt “ Konfigurationsübersicht “ auf den Link NetScaler Web App Firewall Profiles.
  3. Klicken Sie auf der Seite NetScaler Web App Firewall Profile unter Erweiterte Einstellungen auf den Link Entspannungsregeln.
  4. Klicken Sie im Abschnitt Entspannungsregeln auf Alle Entspannungsregeln importieren.
  5. Legen Sie auf der Seite NetScaler Web App Firewall-Profil konfigurieren die folgenden Parameter fest:
    1. Lokale Datei. Name der komprimierten archivierten Datei, die die Entspannungsregeln enthält.
    2. Profilname. Name des Profils, an das die Entspannungsregeln gebunden sind.
    3. Passende URL-Zeichenfolge. Teil der URL, der übereinstimmt.
    4. Ersetzen Sie den URL-String Teil der URL, der die URL-Zeichenfolge ersetzt.
    5. Bestehende Regelaktion. Wählen Sie aus, ob die Regel bestehende Regeln überschreiben oder die bestehenden Regeln erweitern muss.
  6. Klicken Sie auf OK.
Dynamisches Profiling