-
Bereitstellen einer Citrix ADC VPX-Instanz
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke
-
Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Automatisieren der Bereitstellung und Konfiguration von Citrix ADC
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen von Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolocation-Datenbank abrufen
-
Verwenden der Quell-IP-Adresse des Clients für die Verbindung zum Server
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 6: Konfigurieren des Lastausgleichs im DSR-Modus für IPv6-Netzwerke über das TOS-Feld
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mit IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mit Listening-Richtlinien
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Bot-Erkennung
Das Citrix ADC Bot-Managementsystem verwendet sechs verschiedene Techniken, um den eingehenden Bot-Datenverkehr zu erkennen. Die Techniken werden als Erkennungsregeln verwendet, um den Bot-Typ zu erkennen. Die Techniken sind Bot-Zulassungsliste, Bot-Blockliste, IP-Reputation, Gerätefingerprint, Ratenbegrenzung, Bot-Trap, TPS und CAPTCHA.
Hinweis:
Die Bot-Verwaltung unterstützt maximal 32 Konfigurationsobjekte für Techniken der Sperrlisten, Positivlisten und Ratenbegrenzung.
Bot-Positivliste. Eine benutzerdefinierte Liste von IP-Adressen, Subnetzen und Richtlinienausdrücken, die als zulässige Liste umgangen werden können.
Bot-Sperrliste. Eine benutzerdefinierte Liste von IP-Adressen, Subnetzen und Richtlinienausdrücken, die für den Zugriff auf Ihre Webanwendungen gesperrt werden müssen.
IP-Reputation. Diese Regel erkennt, ob der eingehende Bot-Datenverkehr von einer schädlichen IP-Adresse stammt.
Fingerabdruck des Geräts Diese Regel erkennt, ob der eingehende Bot-Verkehr die Fingerabdruck-ID des Geräts im Kopf- und Browserattributen eines eingehenden Client-Bot-Traffics hat.
Einschränkung:
- JavaScript muss im Client-Browser aktiviert sein.
- Unterstützt nicht in Headless-Browsern.
- Funktioniert nicht für XML-Antworten.
Rate Limit. Diese Regelrate begrenzt mehrere Anforderungen, die von demselben Client stammen.
Bot-Falle. Erkennt und blockiert automatisierte Bots durch Werbung für eine Trap-URL in der Client-Antwort. Die URL erscheint unsichtbar und kann nicht zugegriffen werden, wenn der Client ein menschlicher Benutzer ist. Die Erkennungstechnik ist effektiv, um Angriffe von automatisierten Bots zu blockieren.
TPS. Erkennt eingehenden Datenverkehr als Bots, wenn die maximale Anzahl von Anforderungen und der prozentuale Anstieg der Anforderungen das konfigurierte Zeitintervall überschreitet.
CAPTCHA. Diese Regel verwendet ein CAPTCHA zur Abwehr von Bot-Angriffen. Ein CAPTCHA ist eine Challenge-Response-Validierung, um festzustellen, ob der eingehende Datenverkehr von einem menschlichen Benutzer oder einem automatisierten Bot stammt. Die Validierung hilft, automatisierte Bots zu blockieren, die Sicherheitsverletzungen für Webanwendungen verursachen. Sie können CAPTCHA als Bot-Aktion in IP-Reputation und Techniken zur Erkennung von Fingerabdrücken für Geräte konfigurieren.
Lassen Sie uns nun sehen, wie Sie jede Technik konfigurieren können, um Ihren Bot-Verkehr zu erkennen und zu verwalten.
So aktualisieren Sie Ihre Appliance auf Citrix ADC CLI-basierte Bot-Management-Konfiguration
Wenn Sie Ihre Appliance von einer älteren Version aktualisieren (Citrix ADC Release 13.0 Build 58.32 oder früher), müssen Sie zuerst die vorhandene Bot-Verwaltungskonfiguration nur einmal manuell in die Citrix ADC CLI-basierte Bot-Management-Konfiguration konvertieren. Führen Sie die folgenden Schritte aus, um Ihre Bot-Management-Konfiguration manuell zu konvertieren.
-
Nach dem Upgrade auf die neueste Version verbinden Sie sich mit dem Upgrade-Tool “upgrade_bot_config.py” mit dem folgenden Befehl
Geben Sie an der Eingabeaufforderung Folgendes ein:
shell "/var/python/bin/python /netscaler/upgrade_bot_config.py > /var/bot_upgrade_commands.txt"
-
Führen Sie die Konfiguration mit dem folgenden Befehl aus.
Geben Sie an der Eingabeaufforderung Folgendes ein:
batch -f /var/bot_upgrade_commands.txt
-
Speichern Sie die aktualisierte Konfiguration.
save ns config
Konfigurieren der Citrix ADC CLI-basierten Botverwaltung
Mit der Bot-Management-Konfiguration können Sie eine oder mehrere Bot-Erkennungstechniken an ein bestimmtes Bot-Profil binden. Sie beginnen den Prozess, indem Sie die Bot-Verwaltungsfunktion auf Ihrer Appliance aktivieren. Nach der Aktivierung importieren Sie die Bot-Signaturdatei in die Appliance. Nach dem Import müssen Sie ein Bot-Profil erstellen. Sie erstellen dann eine Bot-Richtlinie mit dem an sie gebundenen Bot-Profil, um den eingehenden Traffic als Bot zu bewerten und die Richtlinie global oder an einen virtuellen Server zu binden.
Hinweis:
Wenn Sie Ihre Appliance von einer älteren Version upgraden, müssen Sie zuerst die vorhandene Bot-Management-Konfiguration manuell konvertieren. Weitere Informationen finden Sie Aktualisieren auf Citrix ADC CLI-basierte Bot-Verwaltungskonfiguration im Abschnitt.
Sie müssen die folgenden Schritte ausführen, um die Citrix ADC-basierte Bot-Verwaltung zu konfigurieren:
- Bot-Verwaltung aktivieren
- Botsignatur importieren
- Bot-Profil hinzufügen
- Bot-Profil binden
- Bot-Richtlinie hinzufügen
- Bot-Richtlinie binden
- Bot-Einstellungen konfigurieren
Bot-Verwaltung aktivieren
Bevor Sie beginnen können, stellen Sie sicher, dass die Bot-Verwaltungsfunktion auf der Appliance aktiviert ist. Wenn Sie über ein neues Citrix ADC oder VPX verfügen, müssen Sie das Feature vor der Konfiguration aktivieren. Wenn Sie eine Citrix ADC - oder VPX-Appliance von einer früheren Version der Citrix ADC-Softwareversion auf die aktuelle Version aktualisieren, müssen Sie das Feature aktivieren, bevor Sie es konfigurieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ns feature Bot
Botsignatur importieren
Sie müssen die Standardsignaturbot-Datei importieren und an das Bot-Profil binden. Geben Sie an der Eingabeaufforderung Folgendes ein:
import bot signature [<src>] <name> [-comment <string>] [-overwrite]
Wo,
src. Lokaler Pfad und Name der Datei oder URL (Protokoll, Host, Pfad und Dateiname) für die Datei, in der die importierte Signaturdatei gespeichert werden soll. Hinweis: Der Import schlägt fehl, wenn sich das zu importierende Objekt auf einem HTTPS-Server befindet, der Clientzertifikatauthentifizierung für den Zugriff erfordert. Maximale Länge: 2047
name. Name, der dem Bot-Unterschriftendateiobjekt auf dem Citrix ADC zugewiesen werden soll. Dies ist ein obligatorisches Argument. Maximale Länge: 31
comment. Alle Kommentare, die Informationen über das Signaturdateiobjekt beibehalten werden sollen. Maximale Länge: 255.
Überschreiben. Überschreibt die vorhandene Datei.
Hinweis: Verwenden Sie die overwrite
Option, um den Inhalt der Signaturdatei zu aktualisieren. Verwenden Sie alternativ den Befehl update bot signature <name>
, um die Signaturdatei auf der Citrix ADC Appliance zu aktualisieren.
Beispiel
import bot signature http://www.example.com/signature.json signaturefile -comment commentsforbot –overwrite
Hinweis:
Sie können die Option zum Überschreiben verwenden, um den Inhalt in der Signaturdatei zu aktualisieren. Außerdem können Sie den Befehl
update bot signature <name>
verwenden, um die Signaturdatei in der Citrix ADC Appliance zu aktualisieren.
Bot-Profil hinzufügen
Ein Bot-Profil ist eine Sammlung von Profileinstellungen, um die Bot-Verwaltung auf der Appliance zu konfigurieren. Sie können die Einstellungen so konfigurieren, dass die Boterkennung durchgeführt wird.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add bot profile <name> [-signature <string>] [-errorURL <string>] [-trapURL <string>] [-comment <string>] [-whiteList ( ON | OFF )] [-blackList ( ON | OFF )] [-rateLimit ( ON | OFF )] [-deviceFingerprint ( ON | OFF )] [-deviceFingerprintAction ( none | log | drop | redirect | reset | mitigation )] [-ipReputation ( ON | OFF )] [-trap ( ON | OFF )] [-trapAction ( none | log | drop | redirect | reset )] [-tps ( ON | OFF )]
Beispiel:
add bot profile profile1 -signature signature -errorURL http://www.example.com/error.html -trapURL /trap.html -whitelist ON -blacklist ON -ratelimit ON -deviceFingerprint ON -deviceFingerprintAction drop -ipReputation ON -trap ON
Bot-Profil binden
Nachdem Sie ein Bot-Profil erstellt haben, müssen Sie den Bot-Erkennungsmechanismus an das Profil binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind bot profile <name> ((-blackList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-action ( log | drop | reset )] [-logMessage <string>] [-comment <string>]) | (-whiteList [-type ( IPv4 | Subnet | Expression )] [-enabled ( ON | OFF )] [-value <string>] [-log ( ON | OFF )] [-logMessage <string>] [-comment <string>])) | (-rateLimit [-type ( session |SOURCE_IP | url )] [-enabled ( ON | OFF )] [-url <string>] [-cookieName <string>] [-rate <positive_integer>] [-timeslice <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-ipReputation [-category <ipReputationCategory>] [-enabled ( ON | OFF )] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>]) | (-captchaResource [-url <string>] [-enabled ( ON | OFF )] [-waitTime <positive_integer>] [-gracePeriod <positive_integer>] [-mutePeriod <positive_integer>] [-requestLengthLimit <positive_integer>] [-retryAttempts <positive_integer>] [-action ( none | log | drop | redirect | reset )] [-logMessage <string>] [-comment <string>]) | (-tps [-type ( SOURCE_IP | GeoLocation | REQUEST_URL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>] [-comment <string>])
Beispiel:
Das folgende Beispiel dient dazu, die IP-Reputationserkennungstechnik an ein bestimmtes Bot-Profil zu binden.
bind bot profile profile5 -ipReputation -category BOTNET -enabled ON -action drop -logMessage message
Bot-Richtlinie hinzufügen
Sie müssen die Bot-Richtlinie für die Auswertung des Bot-Datenverkehrs hinzufügen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add bot policy <name> -rule <expression> -profileName <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]
Hierbei gilt:
Name. Name für die Bot-Richtlinie. Muss mit einem Buchstaben, einer Zahl oder dem Unterstrich (_) beginnen und nur Buchstaben, Zahlen und Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), at (@), Gleich (=), Doppelpunkt (:) und Unterstrich enthalten. Kann geändert werden, nachdem die Bot-Richtlinie hinzugefügt wurde.
Regel. Ausdruck, den die Richtlinie verwendet, um zu bestimmen, ob das Bot-Profil auf die angegebene Anforderung angewendet werden soll. Dies ist ein obligatorisches Argument. Maximale Länge: 1499
profileName. Name des anzuwendenden Bot-Profils, wenn die Anforderung mit dieser Bot-Richtlinie übereinstimmt. Dies ist ein obligatorisches Argument. Maximale Länge: 127
undefAction. Aktion, die ausgeführt wird, wenn das Ergebnis der Richtlinienbewertung nicht definiert ist (UNDEF). Ein UNDEF-Ereignis weist auf eine interne Fehlerbedingung hin. Maximale Länge: 127
Kommentieren. Jede Art von Informationen über diese Bot-Richtlinie. Maximale Länge: 255
logAction. Name der Protokollaktion, die für Anforderungen verwendet wird, die dieser Richtlinie entsprechen. Maximale Länge: 127
Beispiel:
add bot policy pol1 –rule "HTTP.REQ.HEADER(\"header\").CONTAINS(\"custom\")" - profileName profile1 -undefAction drop –comment commentforbotpolicy –logAction log1
Bind bot policy global
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind bot global -policyName <string> -priority <positive_integer> [-gotoPriorityExpression <expression>][-type ( REQ_OVERRIDE | REQ_DEFAULT )] [-invoke (-labelType ( vserver | policylabel ) -labelName <string>) ]
Beispiel:
bind bot global –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE
Bot-Richtlinie an einen virtuellen Server binden
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <name>@ ((<serviceName>@ [-weight <positive_integer>] ) | <serviceGroupName>@ | (-policyName <string>@ [-priority <positive_integer>] [-gotoPriorityExpression <expression>] [-type ( REQUEST | RESPONSE )] [-invoke (<labelType> <labelName>) ] ) | -analyticsProfile <string>@)
Beispiel:
bind lb vserver lb-server1 –policyName pol1 –priority 100 –gotoPriorityExpression NEXT -type REQ_OVERRIDE
Bot-Einstellungen konfigurieren
Sie können die Standardeinstellungen bei Bedarf anpassen. Geben Sie an der Eingabeaufforderung Folgendes ein:
set bot settings [-defaultProfile <string>] [-javaScriptName <string>] [-sessionTimeout <positive_integer>] [-sessionCookieName <string>] [-dfpRequestLimit <positive_integer>] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <URL>] [-proxyServer <ip_addr|ipv6_addr|*>] [-proxyPort <port|*>]
Hierbei gilt:
defaultProfile. Profil, das verwendet werden soll, wenn eine Verbindung keiner Richtlinie entspricht. Die Standardeinstellung ist “, die unübertroffene Verbindungen an den Citrix ADC zurücksendet, ohne zu versuchen, sie weiter zu filtern. Maximale Länge: 31
javaScriptName. Name des JavaScript, das die BotNet-Funktion als Antwort verwendet. Muss mit einem Buchstaben oder einer Zahl beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und den Bindestrich (-) und Unterstrich (_) -Symbolen bestehen. Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, setzen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. Mein Cookie-Name oder Mein Cookie-Name). Maximale Länge: 31
sessionTimeout. In Sekunden läuft eine Zeitverhandung der Sitzung ab, nach der eine Benutzersitzung beendet wird.
Minimalwert: 1, Maximalwert: 65535
sessionCookieName. Name des SessionCookie, das von der BotNet-Funktion zum Nachverfolgen verwendet wird. Muss mit einem Buchstaben oder einer Zahl beginnen und kann aus 1 bis 31 Buchstaben, Zahlen und den Bindestrich (-) und Unterstrich (_) -Symbolen bestehen. Die folgende Anforderung gilt nur für die Citrix ADC CLI: Wenn der Name ein oder mehrere Leerzeichen enthält, setzen Sie den Namen in doppelte oder einfache Anführungszeichen ein (z. B. “Mein Cookie-Name” oder “Mein Cookie-Name”). Maximale Länge: 31
dfpRequestLimit. Anzahl der Anfragen, die ohne Botsitzungscookie zuzulassen sind, wenn der Geräte-Fingerabdruck aktiviert ist.
Minimaler Wert: 1, Maximalwert: 4294967295
SignaturAutoUpdate. Flag zum Aktivieren/Deaktivieren von Bot Auto-Update-Signaturen.
Mögliche Werte: ON, OFF
Standardwert: OFF
SignatureURL. URL, um die Bot-Signaturzuordnungsdatei vom Server herunterzuladen.
Standardwert: https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json
.
Maximale Länge: 2047
ProxyServer. Proxyserver-IP, um aktualisierte Signaturen von AWS abzurufen.
ProxyPort. Proxyserver-Port, um aktualisierte Signaturen von AWS abzurufen. Standardwert: 8080
Beispiel:
set bot settings –defaultProfile profile1 –javaScriptName json.js –sessionTimeout 1000 –sessionCookieName session
Konfigurieren der Bot-Verwaltung mit der Citrix ADC GUI
Sie können die Citrix ADC Bot-Verwaltung konfigurieren, indem Sie zuerst die Funktion auf der Appliance aktivieren. Sobald Sie aktiviert haben, können Sie eine Bot-Richtlinie erstellen, um den eingehenden Datenverkehr als Bot auszuwerten und den Datenverkehr an das Bot-Profil zu senden. Anschließend erstellen Sie ein Bot-Profil und binden das Profil dann an eine Bot-Signatur. Alternativ können Sie auch die Standard-Bot-Signaturdatei klonen und die Signaturdatei verwenden, um die Erkennungstechniken zu konfigurieren. Nachdem Sie die Signaturdatei erstellt haben, können Sie sie in das Bot-Profil importieren.
- Bot-Verwaltungsfunktion aktivieren
- Einstellungen für die Bot-Verwaltung konfigurieren
- Citrix Bot-Standardsignatur klonen
- Importieren von Citrix Botsignatur
- Konfigurieren der Botsignatureinstellungen
- Bot-Profil erstellen
- Bot-Richtlinie erstellen
Bot-Verwaltungsfunktion aktivieren
Führen Sie die folgenden Schritte aus, um Bot-Management zu aktivieren:
- Erweitern Sie im Navigationsbereich System, und klicken Sie dann auf Einstellungen.
- Aktivieren Sie auf der Seite Erweiterte Funktionen konfigurieren das Kontrollkästchen Bot-Verwaltung.
-
Klicken Sie auf OKund dann auf Schließen.
Konfigurieren von Bot-Management-Einstellungen für Geräte-Fingerabdrucktechnik
Führen Sie den folgenden Schritt aus, um die Fingerabdruck-Technik des Geräts zu konfigurieren:
- Navigieren Sie zu Sicherheit > Citrix Bot Management.
- Klicken Sie im Detailbereich unter Einstellungen auf Citrix Bot-Verwaltungseinstellungen ändern.
-
Legen Sie unter Citrix Bot-Verwaltungseinstellungen konfigurieren die folgenden Parameter fest.
- Standardprofil. Wählen Sie ein Bot-Profil aus.
- JavaScript-Name. Name der JavaScript-Datei, die die Bot-Verwaltung in ihrer Antwort auf den Client verwendet.
- Sitzungszeitüberschreitung. Zeitüberschreitung in Sekunden, nach dem die Benutzersitzung beendet wird.
- Session-Cookie. Name des Session-Cookies, das das Bot-Management-System für die Tracking verwendet.
- Geräte-Fingerabdruckanforderungslimit. Anzahl der Anfragen, die ohne Botsitzungscookie zugelassen werden sollen, wenn Gerätefingerabdruck aktiviert ist
- Klicken Sie auf OK.
Bot-Signaturdatei klonen
Führen Sie den folgenden Schritt aus, um die Bot-Signaturdatei zu klonen:
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Signaturen.
- Wählen Sie auf der Seite Citrix Bot Management Signatures den Standarddatensatz für Bot Signaturen aus, und klicken Sie auf Klonen.
- Geben Sie auf der Seite Bot Clone Signature einen Namen ein und bearbeiten Sie die Signaturdaten.
-
Klicken Sie auf Erstellen.
Importieren der Bot-Signaturdatei
Wenn Sie eine eigene Signaturdatei haben, können Sie sie als Datei, Text oder URL importieren. Führen Sie die folgenden Schritte aus, um die Bot-Signaturdatei zu importieren:
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Signaturen.
- Importieren Sie die Datei auf der Seite Citrix Bot Management-Signaturen als URL, Datei oder Text.
-
Klicken Sie auf Weiter.
- Legen Sie auf der Seite Citrix Bot Management-Signatur importieren die folgenden Parameter fest.
- Name. Name der Bot-Signaturdatei.
- Kommentieren. Kurze Beschreibung der importierten Datei.
- Überschreiben. Aktivieren Sie das Kontrollkästchen, um das Überschreiben von Daten während der Dateiaktualisierung zuzulassen.
- Signaturdaten. Signaturparameter ändern
-
Klicken Sie auf Fertig.
Konfigurieren der Bot-Zulassungsliste über die Citrix ADC GUI
Mit dieser Erkennungstechnik können Sie URLs umgehen, die Sie eine zugelassene Liste konfigurieren. Führen Sie den folgenden Schritt aus, um eine Zulassungslisten-URL zu konfigurieren
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Datei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signatureinstellungen und klicken Sie auf Positivliste.
- Legen Sie im Abschnitt Positivliste die folgenden Parameter fest:
- Aktiviert Aktivieren Sie das Kontrollkästchen, um die URLs der Zulassungsliste als Teil des Erkennungsprozesses zu überprüfen.
- Typen konfigurieren. Konfigurieren Sie eine Zulassungslisten-URL. Die URL wird während der Bot-Erkennung umgangen. Klicken Sie auf Hinzufügen, um der Bot-Zulassungsliste eine URL hinzuzufügen.
- Legen Sie auf der Seite Positivlistenbindung für Citrix Bot Management Profile konfigurieren die folgenden Parameter fest:
- Geben Sie ein. Der URL-Typ kann eine IPv4-Adresse, eine Subnetz-IP-Adresse oder eine IP-Adresse sein, die einem Richtlinienausdruck entspricht.
- Aktiviert Aktivieren Sie das Kontrollkästchen, um die URL zu validieren.
- Wert. URL-Adresse.
- Melden Sie sich Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
- Protokollmeldung. Kurze Beschreibung des Protokolls.
- Kommentare. Kurze Beschreibung über die URL der Zulassungsliste.
- Klicken Sie auf OK.
- Klicken Sie auf Aktualisieren.
-
Klicken Sie auf Fertig.
Konfigurieren der Bot-Sperrliste über die Citrix ADC GUI
Mit dieser Erkennungstechnik können Sie die URLs löschen, die Sie als Blocklisten-URLs konfigurieren. Führen Sie den folgenden Schritt aus, um eine Blockierungslisten-URL zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Signaturdatei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signatureinstellungen und klicken Sie auf Sperrliste.
-
Legen Sie im Abschnitt Sperrliste die folgenden Parameter fest:
- Aktiviert Aktivieren Sie das Kontrollkästchen, um Blocklisten-URLs als Teil des Erkennungsprozesses zu validieren.
- Typen konfigurieren. Konfigurieren Sie eine URL, um Teil des Erkennungsprozesses für Botblocklisten zu sein. Diese URLs werden während der Bot-Erkennung gelöscht. Klicken Sie auf Hinzufügen, um eine URL zur Bot-Blockliste hinzuzufügen.
-
Legen Sie auf der Seite Sperrlistenbindung für Citrix Bot Management Profile konfigurieren die folgenden Parameter fest.
- Geben Sie ein. Der URL-Typ kann eine IPv4-Adresse, Subnetz-IP-Adresse oder IP-Adresse sein.
- Aktiviert Aktivieren Sie das Kontrollkästchen, um die URL zu validieren.
- Wert. URL-Adresse.
- Melden Sie sich Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
- Protokollmeldung. Kurze Beschreibung des Logins.
- Kommentare. Kurze Beschreibung über die Blocklisten-URL.
- Klicken Sie auf OK.
- Klicken Sie auf Aktualisieren.
-
Klicken Sie auf Fertig.
Konfigurieren der IP-Reputation über die Citrix ADC GUI
Diese Konfiguration ist eine Voraussetzung für die Bot-IP-Reputationsfunktion. Die Erkennungstechnik ermöglicht es Ihnen, festzustellen, ob bösartige Aktivitäten von einer eingehenden IP-Adresse vorliegen. Als Teil der Konfiguration legen wir verschiedene bösartige Bot-Kategorien fest und ordnen jedem von ihnen eine Bot-Aktion zu. Führen Sie den folgenden Schritt aus, um die IP-Reputation-Methode zu konfigurieren
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Signaturdatei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signatureinstellungen, und klicken Sie auf IP-Reputation.
- Legen Sie im Abschnitt IP-Reputation die folgenden Parameter fest:
- Aktiviert Aktivieren Sie das Kontrollkästchen, um den eingehenden Bot-Datenverkehr als Teil des Erkennungsprozesses zu validieren.
- Kategorien konfigurieren. Sie können die IP-Reputationstechnik für eingehenden Bot-Traffic unter verschiedenen Kategorien verwenden. Basierend auf der konfigurierten Kategorie können Sie den Bot-Verkehr löschen oder umleiten. Klicken Sie auf Hinzufügen, um eine bösartige Bot-Kategorie zu konfigurieren.
-
Legen Sie auf der Seite IP-Reputationsbindung für Citrix Bot Management Profile konfigurieren die folgenden Parameter fest:
- Kategorie. Wählen Sie eine bösartige Bot-Kategorie aus der Liste aus. Ordnen Sie eine Bot-Aktion basierend auf Kategorie zu.
- Aktiviert Aktivieren Sie das Kontrollkästchen, um die Erkennung der IP-Reputationssignatur zu überprüfen.
- Bot-Aktion. Basierend auf der konfigurierten Kategorie können Sie keine Aktion, Drop, Umleitung, Risikominderung oder CAPTCHA Aktion zuweisen.
- Melden Sie sich Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
- Protokollmeldung. Kurze Beschreibung des Protokolls.
- Kommentare. Kurze Beschreibung über die Bot-Kategorie.
- Klicken Sie auf OK.
- Klicken Sie auf Aktualisieren.
-
Klicken Sie auf Fertig.
Konfigurieren des Grenzwerts für die Botrate über die Citrix ADC GUI
Mit dieser Erkennungstechnik können Sie Bots basierend auf der Anzahl der Anfragen blockieren, die innerhalb einer vordefinierten Zeit von einer Client-IP-Adresse, einer Sitzung oder einer konfigurierten Ressource (z. B. von einer URL) empfangen wurden. Führen Sie den folgenden Schritt aus, um die Ratenbegrenzungstechnik zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Signaturdatei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management-Profil zum Abschnitt Signatureinstellungen und klicken Sie auf Ratenlimit.
- Legen Sie im Abschnitt Rate Limit die folgenden Parameter fest:
- Aktiviert Aktivieren Sie das Kontrollkästchen, um den eingehenden Bot-Datenverkehr im Rahmen des Erkennungsprozesses zu validieren.
- Sitzung. Rate Limitanfragen basierend auf einer Sitzung. Klicken Sie auf Hinzufügen, um Ratengrenzanforderungen basierend auf einer Sitzung zu konfigurieren.
-
Legen Sie auf der Seite Citrix Bot Management Signature Rate Limit konfigurieren die folgenden Parameter fest.
- Kategorie. Wählen Sie eine bösartige Bot-Kategorie aus der Liste aus. Ordnen Sie eine Aktion basierend auf der Kategorie zu.
- Aktiviert Aktivieren Sie das Kontrollkästchen, um den eingehenden Bot-Verkehr zu überprüfen.
- Bot-Aktion. Wählen Sie eine Bot-Aktion für die ausgewählte Kategorie aus.
- Melden Sie sich Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
- Protokollmeldung. Kurze Beschreibung des Protokolls.
- Kommentare. Kurze Beschreibung über die Bot-Kategorie.
- Klicken Sie auf OK.
- Klicken Sie auf Aktualisieren.
-
Klicken Sie auf Fertig.
Konfigurieren der Geräte-Fingerabdruck-Technik mit Citrix ADC GUI
Diese Erkennungstechnik sendet eine Java-Skript-Herausforderung an den Client und extrahiert die Geräteinformationen. Basierend auf Geräteinformationen fällt oder umgeht die Technik den Bot-Verkehr. Führen Sie die Schritte aus, um die Erkennungstechnik zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Signaturdatei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signatureinstellungen und klicken Sie auf Gerätefingerabdruck.
-
Legen Sie im Abschnitt Geräte-Fingerabdruck die folgenden Parameter fest:
- Aktiviert Legen Sie diese Option fest, um die Regel zu aktivieren.
- Konfiguration. Weisen Sie für den angegebenen Gerätefingerabdruck keine Aktion, Drop oder Umleitung, Risikominderung oder CAPTCHA zu.
- Melden Sie sich Aktivieren Sie das Kontrollkästchen, um Protokolleinträge zu speichern.
- Klicken Sie auf Aktualisieren.
- Klicken Sie auf Fertig.
Konfigurieren der Geräte-Fingerabdruck-Technik für mobile (Android) Anwendungen
Die Geräte-Fingerabdruck-Technik erkennt einen eingehenden Datenverkehr als Bot, indem ein JavaScript-Skript in die HTML-Antwort auf den Client eingefügt wird. Das JavaScript-Skript sammelt, wenn es vom Browser aufgerufen wird, Browser- und Client-Attribute und sendet eine Anfrage an die Appliance. Die Attribute werden untersucht, um festzustellen, ob es sich bei dem Verkehr um einen Bot oder einen Menschen handelt.
Die Erkennungstechnik wird weiter auf die Erkennung von Bots auf einer mobilen (Android) Plattform erweitert. Im Gegensatz zu Webanwendungen gilt im mobilen (Android) Traffic die Bot-Erkennung basierend auf JavaScript-Skript nicht. Um Bots in einem Mobilfunknetz zu erkennen, verwendet die Technik ein Bot-Mobile-SDK, das clientseitig mit mobilen Anwendungen integriert ist. Das SDK fängt den mobilen Datenverkehr ab, sammelt Gerätedetails und sendet die Daten an die Appliance. Auf der Appliance-Seite untersucht die Erkennungstechnik die Daten und bestimmt, ob die Verbindung von einem Bot oder einem Menschen stammt.
Funktionsweise der Geräte-Fingerabdruck-Technik für mobile Anwendungen
In den folgenden Schritten wird der Workflow zur Bot-Erkennung erläutert, um festzustellen, ob eine Anfrage von einem Mobilgerät von einem Menschen oder einem Bot stammt.
- Wenn ein Benutzer mit einer mobilen Anwendung interagiert, wird das Geräteverhalten vom Bot Mobile SDK aufgezeichnet.
- Der Client sendet eine Anfrage an die Citrix ADC Appliance.
- Beim Senden der Antwort fügt die Appliance ein Bot-Sitzungscookie mit Sitzungsdetails und Parametern ein, um Client-Parameter zu sammeln.
- Wenn die mobile Anwendung die Antwort erhält, validiert das in die mobile Anwendung integrierte Citrix Bot SDK die Antwort, ruft die aufgezeichneten Geräte-Fingerabdruckparameter ab und sendet sie an die Appliance.
- Die Technik zur Erkennung von Fingerabdrücken des Geräts auf der Applianceseite überprüft die Gerätedetails und aktualisiert das Bot-Sitzungscookie, wenn es sich um einen verdächtigen Bot handelt oder nicht.
- Wenn das Cookie abgelaufen ist oder der Fingerabdruckschutz des Geräts es vorzieht, Geräteparameter regelmäßig zu validieren und zu erfassen, wird der gesamte Vorgang oder die gesamte Herausforderung wiederholt.
Voraussetzung
Um mit der Erkennung von Fingerabdrücken des Citrix ADC Geräts für mobile Anwendungen zu beginnen, müssen Sie das Bot-Mobile-SDK in Ihrer mobilen Anwendung herunterladen und installieren.
Konfigurieren Sie die Technik der Fingerabdruckerkennung für mobile (Android) -Anwendungen mithilfe der CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
set bot profile <profile name> -deviceFingerprintMobile ( NONE | Android )
Beispiel:
set bot profile profile 1 –deviceFingerprintMobile Android
Konfigurieren Sie die Technik der Geräte-Fingerabdruckerkennung für mobile (Android) -Anwendungen über die GUI
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management Profile eine Datei aus, und klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite Citrix Bot Management Profile unter Profileinstellungen auf Device Fingerprint.
- Wählen Sie im Abschnitt Configure Bot Mobile SDK den Mobile-Clienttyp aus.
- Klicken Sie auf Aktualisieren und Fertig.
Konfigurieren der Bot-Fallen-Technik
Die Citrix Bot Trap-Technik fügt zufällig oder periodisch eine Trap-URL in die Client-Antwort ein. Sie können auch eine Trap-URL-Liste erstellen und entsprechende URLs hinzufügen Die URL erscheint unsichtbar und nicht zugänglich, wenn der Client ein menschlicher Benutzer ist. Wenn der Client jedoch ein automatisierter Bot ist, kann auf die URL zugegriffen werden, und wenn der Zugriff erfolgt, wird der Angreifer als Bot kategorisiert und alle nachfolgenden Anfragen des Bot werden blockiert. Die Fallen-Technik ist effektiv, um Angriffe von Bots zu blockieren.
Die Trap-URL ist eine alphanumerische URL mit konfigurierbarer Länge und wird automatisch in konfigurierbarem Intervall generiert. Mit dieser Technik können Sie auch eine Trap-Injection-URL für die am häufigsten besuchten Websites oder häufig besuchten Websites konfigurieren. Auf diese Weise können Sie den Zweck vorschreiben, die Bot-Trap-URL für Anfragen zu injizieren, die der Trap-Injection-URL entsprechen.
Hinweis:
Obwohl die Bot-Trap-URL automatisch generiert wird, ermöglicht Ihnen das Citrix ADC ADC-Bot-Management weiterhin die Konfiguration einer benutzerdefinierten Trap-URL im Bot-Profil. Dies geschieht, um die Bot-Erkennungstechnik zu stärken und Angreifern den Zugriff auf die Trap-URL zu erschweren.
Um die Bot Trap-Konfiguration abzuschließen, müssen Sie die folgenden Schritte ausführen.
- Bot-Trap-URL aktivieren
- Bot-Trap-URL im Bot-Profil konfigurieren
- Bind Bot Trap Injection-URL an Bot-Profil
- Konfigurieren Sie die Länge und das Intervall der Bot-Trap-URL in den
Aktivieren des Bot-Fallen-URL-Schutzes
Bevor Sie beginnen können, müssen Sie sicherstellen, dass der Bot Trap-URL-Schutz auf der Appliance aktiviert ist. Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ns feature Bot
Bot-Trap-URL im Bot-Profil konfigurieren
Sie können die Bot-Trap-URL konfigurieren und eine Trap-Aktion im Bot-Profil angeben.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add bot profile <name> -trapURL <string> -trap ( ON | OFF ) -trapAction <trapAction>
Hierbei gilt:
trapURL
. URL, die der Bot-Schutz als Trap-URL verwendet. Maximale Länge: 127
trap
. Aktivieren Sie die Bot-Fallen-Erkennung. Mögliche Werte: ON, OFF, Standardwert: OFF
trapAction
. Zu ergreifende Maßnahmen zur Bot-Erkennung. Mögliche Werte: NONE, LOG, DROP, REDIRECT, RESET, MITIGATION. Standardwert: NONE
Beispiel:
add bot profile profile1 -trapURL www.bottrap1.com trap ON -trapAction RESET
Bind Bot Trap Injection-URL an Bot-Profil
Sie können die Bot Trap Injection-URL konfigurieren und an das Bot-Profil binden. Geben Sie an der Eingabeaufforderung Folgendes ein:
bind bot profile <profile_name> trapInjectionURL –url <url> -enabled ON|OFF -comment <comment>
Hierbei gilt:
URL
. Fordern Sie das URL-Regex-Muster an, für das die Bot-Trap-URL eingefügt wird. Maximale Länge: 127
Beispiel:
bind bot profile profile1 trapInjectionURL –url www.example.com –enabled ON –comment insert a trap URL randomly
Konfigurieren Sie die Länge und das Intervall der Bot-Trap-URL in den
Sie können die URL-Länge der Bot Trap-URL konfigurieren und auch das Intervall für die automatische Generierung der Bot-Trap-URL festlegen. Geben Sie an der Eingabeaufforderung Folgendes ein:
set bot settings -trapURLAutoGenerate ( ON | OFF ) –trapURLInterval <positive_integer> -trapURLLength <positive_integer>
Hierbei gilt:
trapURLInterval
. Zeit in Sekunden, nach der die Bot-Trap-URL aktualisiert wird. Standardwert: 3600, Minimalwert: 300, Maximalwert: 86400
trapURLLength
. Länge der automatisch generierten Bot-Trap-URL. Standardwert: 32, Minimalwert: 10, Maximalwert: 255
Beispiel:
set bot settings -trapURLAutoGenerate ON –trapURLInterval 300 -trapURLLength 60
Konfigurieren Sie die Bot-Trap-URL mit der GUI
- Navigieren Sie zu Sicherheit > Citrix Bot Management > Profile.
- Klicken Sie auf der Seite “ Citrix Bot Management Profiles “ auf Edit, um die Bot-Trap-URL-Technik zu konfigurieren.
-
Geben Sie auf der Seite Citrix Bot-Verwaltungsprofil erstellen die Bot-Trap-URL im Abschnitt “Allgemein” ein.
- Klicken Sie auf der Seite Citrix Bot-Verwaltungsprofil erstellen auf Bot Trap from profile Settings.
-
Legen Sie im Bereich Bot Trap die folgenden Parameter fest.
a. Aktiviert Aktivieren Sie das Kontrollkästchen, um die Bot-Fallen-Erkennung zu aktivieren b. Beschreibung. Kurze Beschreibung der URL c. Konfigurieren Sie Aktionen. Zu ergreifende Aktion für Bot, der durch Bot-Trap-Zugriff erkannt wird.
- Klicken Sie im Abschnitt Trap-Einfüge-URLs konfigurieren auf Hinzufügen.
-
Legen Sie auf der Seite Configure Citrix Bot Management Profile Bot Trap Binding die folgenden Parameter fest.
- Trap-URL. Geben Sie die URL ein, die Sie als Bot Trap-Injection-URL bestätigen möchten.
- Aktiviert Aktivieren oder deaktivieren Sie die Bot Trap Injection-URL
- Kommentieren. Eine kurze Beschreibung der Trap-Injection-URL.
- Klicken Sie im Abschnitt Signatureinstellungen auf Bot-Trap.
-
Legen Sie im Abschnitt Bot-Trap die folgenden Parameter fest:
- Aktiviert Aktivieren Sie das Kontrollkästchen, um die Bot-Trap-Erkennung zu aktivieren.
-
Legen Sie im Abschnitt Konfigurieren die folgenden Parameter fest.
- Aktion. Zu ergreifende Aktion für Bot, der durch Bot-Trap-Zugriff erkannt wird.
- Melden Sie sich Aktivieren oder deaktivieren Sie die Protokollierung für die Bot-Trap-Bindung.
- Klicken Sie auf Aktualisieren und Fertig.
Konfigurieren von Bot Trap-URL-Einstellungen
Führen Sie die folgenden Schritte aus, um die Einstellungen der Bot-Trap-URL zu konfigurieren
- Navigieren Sie zu Sicherheit > Citrix Bot Management.
- Klicken Sie im Detailbereich unter Einstellungen auf Citrix Bot-Verwaltungseinstellungen ändern.
-
Legen Sie unter Citrix Bot-Verwaltungseinstellungen konfigurieren die folgenden Parameter fest.
- Trap-URL-Intervall. Zeit in Sekunden, nach der die Bot-Trap-URL aktualisiert wird.
- Trap-URL-Länge Länge der automatisch generierten Bot-Trap-URL.
- Klicken Sie auf OK und Fertig.
Konfigurieren von CAPTCHA für IP-Reputation und Gerätefingerabdruckerkennung
CAPTCHA ist ein Akronym, das für “Vollständig automatisierter öffentlicher Turing-Test steht, um Computer und Menschen auseinander zu sagen”. CAPTCHA wurde entwickelt, um zu testen, ob ein eingehender Datenverkehr von einem menschlichen Benutzer oder einem automatisierten Bot stammt. CAPTCHA hilft, automatisierte Bots zu blockieren, die Sicherheitsverletzungen für Webanwendungen verursachen. In der ADC-Appliance verwendet CAPTCHA das Challenge-Response-Modul, um festzustellen, ob der eingehende Datenverkehr von einem menschlichen Benutzer und nicht von einem automatisierten Bot stammt.
Konfigurieren der statischen Bot-Signatur über die Citrix ADC GUI
Diese Erkennungstechnik ermöglicht es Ihnen, die Benutzeragent-Informationen aus den Browserdetails zu identifizieren. Basierend auf Benutzeragent-Informationen wird der Bot als schlechter oder guter Bot identifiziert und dann weisen Sie ihm eine Bot-Aktion zu. Befolgen Sie die Schritte zur Konfiguration der statischen Signaturtechnik.
Funktionsweise von CAPTCHA in der Citrix ADC Bot-Verwaltung
In der Citrix ADC Bot-Verwaltung wird die CAPTCHA-Validierung als Richtlinienaktion konfiguriert, die nach der Auswertung der Bot-Richtlinie ausgeführt wird. Die CAPTCHA Aktion ist nur für IP-Reputation und Gerätefingerabdruckerkennung verfügbar. Im Folgenden sind die Schritte, um zu verstehen, wie CAPTCHA funktioniert:
- Wenn während der IP-Reputation oder der Erkennung eines Geräte-Fingerabdruck-Bots eine Sicherheitsverletzung beobachtet wird, sendet die ADC-Appliance eine CAPTCHA-Herausforderung.
- Der Client sendet die CAPTCHA Antwort.
- Die Appliance validiert die CAPTCHA-Antwort, und wenn die CAPTCHA gültig ist, ist die Anforderung zulässig und wird an den Back-End-Server weitergeleitet.
- Wenn die CATCHA-Antwort ungültig ist, sendet die Appliance eine neue CAPTCHA-Herausforderung, bis die maximale Anzahl von Versuchen erreicht ist.
- Wenn die CAPTCHA Antwort auch nach der maximalen Anzahl von Versuchen ungültig ist, wird die Anforderung von der Appliance gelöscht oder an die konfigurierte Fehler-URL weitergeleitet.
- Wenn Sie die Protokollaktion konfiguriert haben, speichert die Appliance die Anforderungsdetails in der Datei ns.log.
Konfigurieren von CAPTCHA Einstellungen über die Citrix ADC GUI
Die Bot-Management-Aktion CAPTCHA wird nur für IP-Reputation und Gerätefingerabdruckerkennung unterstützt. Führen Sie die folgenden Schritte aus, um die CAPTCHA-Einstellungen zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Bot Management und Profile.
- Wählen Sie auf der Seite Citrix Bot Management-Profile ein Profil aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Profile zum Abschnitt Signatureinstellungen und klicken Sie auf CAPTCHA.
- Klicken Sie im Abschnitt CAPTCHA Einstellungen auf Hinzufügen, um CAPTCHA Einstellungen für das Profil zu konfigurieren :
-
Legen Sie auf der Seite Citrix Bot Management CAPTCHA konfigurieren die folgenden Parameter fest.
-
URL. Bot-URL, für die die CAPTCHA Aktion während der IP-Reputation und der Gerätefingerabdruckerkennung angewendet wird.
- Aktiviert Legen Sie diese Option fest, um CAPTCHA Unterstützung zu aktivieren.
- Grace Zeit. Dauer bis keine neue CAPTCHA-Challenge gesendet wird, nachdem die aktuelle gültige CAPTCHA-Antwort empfangen wurde.
- Warte Zeit. Dauer für die ADC-Appliance, um zu warten, bis der Client die CAPTCHA Antwort sendet.
- Zeitraum stummschalten. Dauer, für die der Client, der eine falsche CAPTCHA-Antwort gesendet hat, warten muss, bis er als Nächstes versucht. Während dieser Stummschaltung lässt die ADC-Appliance keine Anfragen zu. Reichweite: 60—900 Sekunden, Empfohlen: 300 Sekunden
- Grenzwert für die Anforderungslänge. Länge der Anforderung, für die die CAPTCHA Challenge an den Client gesendet wird. Wenn die Länge größer als der Schwellenwert ist, wird die Anforderung gelöscht. Der Standardwert beträgt 10 bis 3000 Bytes.
- Wiederholen Sie Versuche. Anzahl der Versuche, die der Client erneut versuchen darf, die CAPTCHA Herausforderung zu lösen. Reichweite: 1—10, Empfohlen: 5.
- Es wird keine Aktion ausgeführt, wenn der Client die CAPTCHA Validierung fehlschlägt.
- Melden Sie sich Legen Sie diese Option fest, um Anforderungsinformationen vom Client zu speichern, wenn die Antwort CAPTCHA fehlschlägt. Die Daten werden in einer
ns.log
Datei gespeichert. - Kommentieren. Eine kurze Beschreibung über die CAPTCHA-Konfiguration.
-
-
Klicken Sie auf OK und Fertig.
- Navigieren Sie zu Sicherheit > Citrix Bot Management > Signaturen.
- Wählen Sie auf der Seite Citrix Bot Management-Signaturen eine Signaturdatei aus, und klicken Sie auf Bearbeiten.
- Wechseln Sie auf der Seite Citrix Bot Management Signature zum Abschnitt Signature Settings, und klicken Sie auf Bot Signatures .
-
Legen Sie im Abschnitt Bot-Signaturen die folgenden Parameter fest:
- Konfigurieren Sie statische Signaturen. Wählen Sie einen statischen Bot-Signaturdatensatz aus, und klicken Sie auf Bearbeiten, um ihm eine Bot-Aktion zuzuweisen.
- Klicken Sie auf OK.
- Klicken Sie auf Signatur aktualisieren.
- Klicken Sie auf Fertig.
Automatische Aktualisierung für Bot-Signaturen
Die statische Bot-Signatur-Technik verwendet eine Signatur-Lookup-Tabelle mit einer Liste guter Bots und schlechter Bots. Die Bots werden basierend auf Benutzer-Agent-Zeichenfolgen und Domänennamen kategorisiert. Wenn die Benutzer-Agent-Zeichenfolge und der Domänenname im eingehenden Bot-Verkehr mit einem Wert in der Nachschlagetabelle übereinstimmen, wird eine konfigurierte Bot-Aktion angewendet. Die Aktualisierungen der Botsignatur werden in der AWS-Cloud gehostet, und die Signatur-Lookup-Tabelle kommuniziert mit der AWS-Datenbank für Signaturaktualisierungen. Der Scheduler für automatische Signaturaktualisierungen wird alle 1 Stunde ausgeführt, um die AWS-Datenbank zu überprüfen und die Signaturtabelle in der Citrix ADC Appliance zu aktualisieren.
Die zu konfigurierende URL für automatische Signaturaktualisierung lautet: https://nsbotsignatures.s3.amazonaws.com/BotSignatureMapping.json
Hinweis:
Sie können auch einen Proxyserver konfigurieren und Signaturen regelmäßig von der AWS-Cloud über den Proxy auf die Appliance aktualisieren. Für die Proxy-Konfiguration müssen Sie die Proxy-IP-Adresse und die Port-Adresse in den Bot-Einstellungen festlegen.
Funktionsweise der automatischen Aktualisierung von Bot-Signaturen
Das folgende Diagramm zeigt, wie die Bot-Signaturen aus der AWS-Cloud abgerufen, auf Citrix ADC aktualisiert und auf Citrix ADM zur Zusammenfassung der Signaturaktualisierung angezeigt werden.
Der automatische Update-Scheduler für Bot-Signatur führt Folgendes aus:
- Ruft die Zuordnungsdatei vom AWS-URI ab.
- Überprüft die neuesten Signaturen in der Zuordnungsdatei mit den vorhandenen Signaturen in der ADC-Appliance.
- Lädt die neuen Signaturen von AWS herunter und überprüft die Signaturintegrität.
- Aktualisiert die vorhandenen Bot-Signaturen mit den neuen Signaturen in der Bot-Signaturdatei.
- Generiert eine SNMP-Warnung und sendet die Signaturaktualisierungszusammenfassung an Citrix ADM.
Automatische Aktualisierung der Bot-Signatur konfigurieren
Führen Sie die folgenden Schritte aus, um die automatische Aktualisierung der Bot-Signatur zu konfigurieren:
Automatische Aktualisierung der Bot-Signatur aktivieren
Sie müssen die Option für die automatische Aktualisierung in den Bot-Einstellungen auf der ADC-Appliance aktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
set bot settings –signatureAutoUpdate ON
Konfigurieren von Proxyserver-Einstellungen (optional)
Wenn Sie über einen Proxyserver auf die AWS-Signaturdatenbank zugreifen, müssen Sie den Proxyserver und den Port konfigurieren.
set bot settings –proxyserver –proxyport
Beispiel:
set bot settings –proxy server 1.1.1.1 –proxyport 1356
Konfigurieren der automatischen Bot-Signaturaktualisierung mit der Citrix ADC GUI
Führen Sie die folgenden Schritte aus, um die automatische Aktualisierung der Bot-Signatur zu konfigurieren:
- Navigieren Sie zu Sicherheit > Citrix Bot Management.
- Klicken Sie im Detailbereich unter Einstellungen auf Citrix Bot-Verwaltungseinstellungen ändern.
-
Aktivieren Sie unter Citrix Bot Management Settings konfigurierendas Kontrollkästchen Signatur automatisch aktualisieren .
- Klicken Sie auf OK und schließen.
Bot-Management-Profil erstellen
Ein Bot-Profil ist eine Sammlung von Bot-Management-Einstellungen, die zum Erkennen des Bot-Typs verwendet werden. In einem Profil bestimmen Sie, wie die Web App Firewall jeden ihrer Filter (oder Prüfungen) auf Bot-Datenverkehr auf Ihre Websites und Antworten von ihnen anwendet.
Führen Sie die folgenden Schritte aus, um das Bot-Profil zu konfigurieren:
- Navigieren Sie zu Sicherheit > Citrix Bot Management > Profile.
- Klicken Sie im Detailbereich auf Hinzufügen.
-
Legen Sie auf der Seite Citrix Bot-Verwaltungsprofil erstellen die folgenden Parameter fest.
- Name. Name des Bot-Profils.
- Unterschrift. Name der Bot-Signaturdatei.
- Fehler-URL. URL für Weiterleitungen.
- Kommentieren. Kurze Beschreibung des Profils.
- Klicken Sie auf Erstellen und Schließen.
Bot-Richtlinie erstellen
Die Bot-Richtlinie steuert den Datenverkehr, der zum Bot-Managementsystem geht, und steuert auch die Bot-Protokolle, die an den Auditlog-Server gesendet werden. Folgen Sie dem Verfahren, um die Bot-Richtlinie zu konfigurieren.
- Navigieren Sie zu Sicherheit > Citrix Bot Management > Bot-Richtlinien .
- Klicken Sie im Detailbereich auf Hinzufügen.
-
Legen Sie auf der Seite Citrix Bot-Verwaltungsrichtlinie erstellen die folgenden Parameter fest.
- Name. Name der Bot-Richtlinie.
- Ausdruck. Geben Sie den Richtlinienausdruck oder die Regel direkt in den Textbereich ein.
- Bot-Profil. Bot-Profil, um die Bot-Richtlinie anzuwenden.
- Nicht definierte Aktion. Wählen Sie eine Aktion aus, die Sie zuweisen möchten.
- Kommentieren. Kurze Beschreibung der Richtlinie.
- Aktion protokollieren. Überwachungsprotokollnachrichtenaktion zum Protokollieren des Bot-Datenverkehrs Weitere Informationen zur Überwachungsprotokollaktion finden Sie unter Überwachungsprotokollierung.
- Klicken Sie auf Erstellen und Schließen.
Bot-Transaktionen pro Sekunde (TPS)
Die Transactions Per Second (TPS) Bot-Technik erkennt eingehenden Datenverkehr als Bot, wenn die Anzahl der Requests pro Sekunde (RPS) und der prozentuale Anstieg des RPS den konfigurierten Schwellenwert überschreitet. Die Erkennungstechnik schützt Ihre Webanwendungen vor automatisierten Bots, die Web-Scraping-Aktivitäten, Brute-Forcing-Anmeldungen und anderen bösartigen Angriffen verursachen können.
Hinweis:
Die Bot-Technik erkennt einen eingehenden Traffic nur dann als Bot, wenn beide Parameter konfiguriert sind und wenn beide Werte über den Schwellenwert hinausgehen. Betrachten wir ein Szenario, in dem die Appliance viele Anfragen von einer bestimmten URL empfängt und Sie möchten, dass die Citrix ADC Bot-Verwaltung erkennt, ob es einen Bot-Angriff gibt. Die TPS-Erkennungstechnik untersucht die Anzahl der Anfragen (konfigurierter Wert), die innerhalb von 1 Sekunde von der URL kommen, und die prozentuale Erhöhung (konfigurierter Wert) der Anzahl der Anfragen, die innerhalb von 30 Minuten empfangen werden. Wenn die Werte den Schwellenwert überschreiten, wird der Datenverkehr als Bot betrachtet, und die Appliance führt die konfigurierte Aktion aus.
Konfigurieren von Bot-Transaktionen pro Sekunde (TPS)
Um TPS zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
- Bot-TPS aktivieren
- Binden von TPS-Einstellungen an Bot-Management-Profil
Binden von TPS-Einstellungen an Bot-Management-Profil
Nachdem Sie die Bot-TPS-Funktion aktiviert haben, müssen Sie die TPS-Einstellungen an das Bot-Verwaltungsprofil binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind bot profile <name>… (-tps [-type ( SourceIP | GeoLocation | RequestURL | Host )] [-threshold <positive_integer>] [-percentage <positive_integer>] [-action ( none | log | drop | redirect | reset | mitigation )] [-logMessage <string>])
Beispiel:
bind bot profile profile1 -tps -type RequestURL -threshold 1 -percentage 100000 -action drop -logMessage log
Bot-Transaktion pro Sekunde (TPS) aktivieren
Bevor Sie beginnen können, müssen Sie sicherstellen, dass die Bot-TPS-Funktion auf der Appliance aktiviert ist. Geben Sie an der Eingabeaufforderung Folgendes ein:
set bot profile profile1 –enableTPS ON
Konfigurieren von Bot-Transaktionen pro Sekunde (TPS) über die Citrix ADC GUI
Führen Sie die folgenden Schritte aus, um Bot-Transaktionen pro Sekunde zu konfigurieren:
- Navigieren Sie zu Sicherheit > Citrix Bot Management > Profile.
- Wählen Sie auf der Seite Citrix Bot Management-Profile ein Profil aus, und klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite Citrix Bot Management-Profil erstellen im Abschnitt Signatureinstellungen auf TPS.
-
Aktivieren Sie im Abschnitt TPS das Feature, und klicken Sie auf Hinzufügen.
-
Legen Sie auf der Seite Citrix Bot Management Profile TPS-Bindung konfigurieren die folgenden Parameter fest.
-
Geben Sie ein. Eingabetypen, die durch die Erkennungstechnik zulässig sind. Mögliche Werte: SOURCE IP, GEOLOCATION, HOST, URL.
SOURCE_IP — TPS basierend auf der Client-IP-Adresse.
GEOLOCATION — TPS basierend auf dem geografischen Standort des Clients.
HOST - TPS basierend auf Clientanforderungen, die an eine bestimmte IP-Adresse des Back-End-Servers weitergeleitet werden.
URL — TPS basierend auf Clientanforderungen, die von einer bestimmten URL stammen.
-
Feste Schwelle. Maximale Anzahl von Anforderungen, die von einem TPS-Eingabetyp innerhalb von 1 Sekunde zulässig sind.
-
Prozentualer Schwellenwert. Maximale prozentuale Erhöhung der Anforderungen von einem TPS-Eingabetyp innerhalb von 30 Minuten Zeitintervall.
-
Aktion. Zu ergreifende Aktion für Bot, der durch TPS-Bindung erkannt wird.
-
Melden Sie sich Aktivieren oder deaktivieren Sie die Protokollierung für die TPS-Bindung.
-
Protokollmeldung. Meldung für Bot, der von der TPS-Bindung erkannt wurde, zu protokollieren. Maximale Länge: 255.
-
Kommentare. Eine kurze Beschreibung der TPS-Konfiguration. Maximale Länge: 255
-
- Klicken Sie auf OK und dann auf Schließen.
Teilen
Teilen
In diesem Artikel
- So aktualisieren Sie Ihre Appliance auf Citrix ADC CLI-basierte Bot-Management-Konfiguration
- Konfigurieren der Citrix ADC CLI-basierten Botverwaltung
- Konfigurieren der Bot-Verwaltung mit der Citrix ADC GUI
- Konfigurieren von Bot-Management-Einstellungen für Geräte-Fingerabdrucktechnik
- Konfigurieren der Bot-Zulassungsliste über die Citrix ADC GUI
- Konfigurieren der Bot-Sperrliste über die Citrix ADC GUI
- Konfigurieren der IP-Reputation über die Citrix ADC GUI
- Konfigurieren des Grenzwerts für die Botrate über die Citrix ADC GUI
- Konfigurieren der Geräte-Fingerabdruck-Technik mit Citrix ADC GUI
- Konfigurieren der Geräte-Fingerabdruck-Technik für mobile (Android) Anwendungen
- Funktionsweise der Geräte-Fingerabdruck-Technik für mobile Anwendungen
- Konfigurieren der Bot-Fallen-Technik
- Konfigurieren von CAPTCHA für IP-Reputation und Gerätefingerabdruckerkennung
- Konfigurieren der statischen Bot-Signatur über die Citrix ADC GUI
- Bot-Management-Profil erstellen
- Bot-Richtlinie erstellen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.