Citrix ADC

Konfigurieren und Verwenden der Lernfunktion

January 19, 2021

Beigesteuert von:

Die Lernfunktion ist ein sich wiederholender Musterfilter, der Aktivitäten auf einer Website oder Anwendung beobachtet, die durch die Web App Firewall geschützt ist, um festzustellen, was normale Aktivitäten auf dieser Website oder Anwendung ausmacht. Anschließend wird für jede Sicherheitsprüfung eine Liste mit bis zu 2.000 vorgeschlagenen Regeln oder Ausnahmen (Relaxationen) erstellt, die Unterstützung für die Lernfunktion beinhaltet. Benutzer finden es normalerweise einfacher, Entspannungen mit der Lernfunktion zu konfigurieren, als durch manuelle Eingabe der notwendigen Entspannungen.

Die Sicherheitsüberprüfungen, die die Lernfunktion unterstützen, sind:

URL-Prüfung starten
Cookie-Konsistenzprüfung
Konsistenzprüfung des Formularfelds
Feldformat-Prüfung
CSRF-Formularkennzeichnen-Prüfung
HTML-SQL-Injectionsprüfung
HTML-Site-Cross-Site-Skripting-Prüfung
XML-Denial-of-Service-Prüfung
XML-Anlagenprüfung
Web-Services-Interoperabilitätsprüfung

Sie führen zwei verschiedene Arten von Aktivitäten durch, wenn Sie die Lernfunktion verwenden. Zuerst aktivieren und konfigurieren Sie das Feature, um es zu verwenden. Sie können das Erlernen des gesamten Datenverkehrs zu Ihren geschützten Webanwendungen verwenden oder eine Liste von IPs (die Liste Vertrauenswürdige Lernclients hinzufügen genannt) konfigurieren, aus denen die Lernfunktion Empfehlungen generieren muss. Zweitens, nachdem die Funktion aktiviert wurde und eine bestimmte Menge an Datenverkehr zu Ihren geschützten Websites verarbeitet hat, überprüfen Sie die Liste der vorgeschlagenen Regeln und Entspannungen (erlernte Regeln) und kennzeichnen jede mit einer der folgenden Bezeichnungen:

Bearbeiten und Bereitstellen. Die Regel wird in das Dialogfeld Bearbeiten abgezogen, sodass Sie sie ändern können, und das geänderte Formular wird bereitgestellt.
Bereitstellen. Die unveränderte Regel Gelernte wird in die Liste der Regeln oder Relaxationen für diese Sicherheitsprüfung eingefügt.
Überspringen. Die Lernregel wird in eine Liste von Regeln oder Relaxationen eingefügt, die nicht bereitgestellt werden. Die gelernte Regel wird entfernt, wenn sie übersprungen wird. Da sie jedoch nicht zu Entspannungen hinzugefügt werden, könnten sie wieder gelernt werden.

Das Lernen wird nicht nur durchgeführt, wenn Entspannungen vorhanden sind, außer für Feldformatregeln. Wenn Regeln übersprungen werden, werden sie nur aus der erlernten Datenbank entfernt. Da Entspannungen nicht hinzugefügt werden, könnten sie wieder gelernt werden. Wenn Regeln bereitgestellt werden, werden sie aus der erlernten Datenbank entfernt und auch Relaxationen für die Regeln hinzugefügt. Wenn Entspannungen hinzugefügt werden, würden sie nicht wieder gelernt werden. Für den Feldformatschutz wird das Lernen unabhängig von Entspannungen durchgeführt.

Obwohl Sie die Befehlszeilenschnittstelle für die grundlegende Konfiguration der Lernfunktion verwenden können, ist das Feature hauptsächlich für die Konfiguration über den Web App Firewall Assistenten oder die GUI konzipiert. Sie können nur eine eingeschränkte Konfiguration der Lernfunktion über die Befehlszeile durchführen.

Der Assistent integriert die Konfiguration von Lernfunktionen in die Konfiguration der Web App Firewall als Ganzes und ist daher die einfachste Methode, um diese Funktion auf einer neuen Citrix ADC Appliance oder bei der Verwaltung einer einfachen Web App Firewall-Konfiguration zu konfigurieren. Der GUI-Visualisierer und die manuelle Schnittstelle bieten beide direkten Zugriff auf alle erlernten Regeln für alle Sicherheitsprüfungen und sind daher oft vorzuziehen, wenn Sie erlernte Regeln für eine große Anzahl von Sicherheitsprüfungen überprüfen müssen.

Die Lerndatenbank ist auf 20 MB begrenzt, was erreicht wird, nachdem pro Sicherheitsprüfung, für die das Lernen aktiviert ist, ungefähr 2.000 Lernregeln oder Relaxationen generiert wurden. Wenn Sie gelernte Regeln nicht regelmäßig überprüfen und entweder genehmigen oder ignorieren und dieser Grenzwert erreicht ist, wird ein Fehler im NetScaler Protokoll protokolliert, und es werden keine gelernten Regeln mehr generiert, bis Sie die vorhandenen gelernten Regeln und Relaxationen überprüfen.

Wenn das Lernen beendet wird, weil die Datenbank ihre Größenbeschränkung erreicht hat, können Sie das Lernen neu starten, indem Sie die vorhandenen Lernregeln und -entspannungen überprüfen oder die Lerndaten zurücksetzen. Nachdem gelernte Regeln oder Relaxationen genehmigt oder ignoriert wurden, werden sie aus der Datenbank entfernt. Nachdem Sie die Lerndaten zurückgesetzt haben, werden alle vorhandenen Lerndaten aus der Datenbank entfernt und auf die Mindestgröße zurückgesetzt. Wenn die Datenbank unter 20 MB fällt, wird das Lernen automatisch neu gestartet.

So konfigurieren Sie die Lerneinstellungen mit der Befehlszeilenschnittstelle

Geben Sie das zu konfigurierende Web App Firewall Profil an, und geben Sie für jede Sicherheitsprüfung, die Sie in dieses Profil aufnehmen möchten, den Mindestschwellenwert oder den Prozentschwellenwert an. Der Mindestschwellenwert ist eine Ganzzahl, die die Mindestanzahl von Benutzersitzungen darstellt, die die Web App Firewall verarbeiten muss, bevor eine Regel oder Entspannung erfährt (Standard: 1). Der Schwellenwert in Prozent ist eine Ganzzahl, die den Prozentsatz der Benutzersitzungen darstellt, in denen die Web App Firewall ein bestimmtes Muster (URL, Cookie, Feld, Anhang oder Regelverletzung) beobachten muss, bevor eine Regel oder Entspannung erfährt (Standard: 0). Verwenden Sie die folgenden Befehle:

set appfw learningsettings <profileName> [-startURLMinThreshold <positive_integer>] [-startURLPercentThreshold <positive_integer>] [-cookieConsistencyMinThreshold <positive_integer>] [-cookieConsistencyPercentThreshold <positive_integer>] [-CSRFtagMinThreshold <positive_integer>] [-CSRFtagPercentThreshold <positive_integer>] [-fieldConsistencyMinThreshold <positive_integer>] [-fieldConsistencyPercentThreshold <positive_integer>] [-crossSiteScriptingMinThreshold <positive_integer>] [-crossSiteScriptingPercentThreshold <positive_integer>] [-SQLInjectionMinThreshold <positive_integer>] [-SQLInjectionPercentThreshold <positive_integer>] [-fieldFormatMinThreshold <positive_integer>] [-fieldFormatPercentThreshold <positive_integer>] [-XMLWSIMinThreshold <positive_integer>] [-XMLWSIPercentThreshold <positive_integer>] [-XMLAttachmentMinThreshold <positive_integer>] [-XMLAttachmentPercentThreshold <positive_integer>]
save ns config

Beispiel

Im folgenden Beispiel werden die Lerneinstellungen im Profil pr-basic für die Sicherheitsprüfung von HTML SQL Injection aktiviert und konfiguriert. Dies ist eine geeignete Erstlernkonfiguration für das Testbett, bei der Sie die vollständige Kontrolle über den Datenverkehr haben, der an die Web App Firewall gesendet wird.

set appfw learningsettings pr-basic -SQLInjectionMinThreshold 10
set appfw learningsettings pr-basic -SQLInjectionPercentThreshold 70
save ns config

So setzen Sie Lerneinstellungen mit der Befehlszeilenschnittstelle auf ihre Standardwerte zurück

Um eine benutzerdefinierte Konfiguration der Lerneinstellungen für das angegebene Profil und die Sicherheitsprüfung zu entfernen und die Lerneinstellungen auf ihre Standardwerte zurückzusetzen, geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

unset appfw learningsettings <profileName> [-startURLMinThreshold ] [-startURLPercentThreshold] [-cookieConsistencyMinThreshold] [-cookieConsistencyPercentThreshold] [-CSRFtagMinThreshold ] [-CSRFtagPercentThreshold ] [-fieldConsistencyMinThreshold ] [-fieldConsistencyPercentThreshold ] [-crossSiteScriptingMinThreshold ] [-crossSiteScriptingPercentThreshold ] [-SQLInjectionMinThreshold ] [-SQLInjectionPercentThreshold ] [-fieldFormatMinThreshold] [-fieldFormatPercentThreshold ] [-XMLWSIMinThreshold ] [-XMLWSIPercentThreshold ] [-XMLAttachmentMinThreshold ] [-XMLAttachmentPercentThreshold]
save ns config