Citrix 应用交付控制器 VPX 在 Azure 上的部署指南

概述

Citrix ADC 是一种应用交付和负载均衡解决方案，无论 Web、传统和云原生应用程序托管在哪里，它都能为这些应用程序提供高质量的用户体验。它具有多种外形规格和部署选项，不会将用户锁定到单一配置或云中。池化容量许可支持在云部署之间移动容量。

作为服务和应用交付领域无可争议的领导者，Citrix ADC 部署在全球数千个网络中，以优化、保护和控制所有企业和云服务的交付。Citrix ADC 直接部署在 Web 和数据库服务器前端，将高速负载均衡和内容切换、HTTP 压缩、内容缓存、SSL 加速、应用程序流可见性以及强大的应用程序防火墙结合到一个集成且易于使用的平台中。通过端到端监控，大大简化了满足 SLA 的过程，该监控将网络数据转化为可操作的商业智能。Citrix ADC 允许使用简单的声明式策略引擎定义和管理策略，无需编程专业知识。

Citrix 应用交付控制器 VPX

Citrix ADC VPX 产品是一种虚拟设备，可以托管在各种虚拟化和云平台上。

本部署指南重点介绍在 Azure 上部署 Citrix ADC VPX。

微软蔚蓝

• Microsoft Azure 是一个不断扩展的云计算服务集，旨在帮助组织应对业务挑战。Azure 让用户可以自由地使用他们偏好的工具和框架，在庞大的全球网络上构建、管理和部署应用程序。借助 Azure，用户可以：

• 通过 Microsoft 的持续创新面向未来，以支持他们当前的开发以及他们未来的产品愿景。

• 在本地、云端和边缘无缝运行混合云 — Azure 满足用户在任何地方的需求。

• 凭借 Azure 对开源的承诺以及对所有语言和框架的支持，按照自己的方式构建，让用户可以自由地按照自己的意愿构建和部署。

• 从头开始信任其云的安全性 — 由专家团队提供支持，并具有主动的、行业领先的合规性，受到企业、政府和初创公司的信任。

微软 Azure 术语

以下是本文档中使用的用户必须熟悉的关键术语的简要说明：

• Azure 负载均衡器 – Azure 负载均衡器是一种资源，用于在网络中的计算机之间分配传入流量。流量在负载均衡器集中定义的虚拟机之间分配。负载均衡器可以是外部的或面向 Internet 的，也可以是内部的。

• Azure 资源管理器 (ARM) – ARM 是 Azure 中服务的新管理框架。Azure 负载均衡器使用基于 ARM 的 API 和工具进行管理。

• 后端地址池 – 这些是与虚拟机 NIC 关联的 IP 地址，负载将分配到这些 NIC。

• BLOB - 二进制大对象 – 可在 Azure 存储中存储的任何二进制对象，例如文件或图像。

• 前端 IP 配置 – Azure 负载均衡器可以包含一个或多个前端 IP 地址，也称为虚拟 IP (VIP)。这些 IP 地址用作流量的入口。

• 实例级公共 IP (ILPIP) – ILPIP 是用户可以直接分配给虚拟机或角色实例的公共 IP 地址，而不是分配给虚拟机或角色实例所在的云服务。这不会取代分配给其云服务的 VIP（虚拟 IP）。相反，它是一个额外的 IP 地址，可用于直接连接到虚拟机或角色实例。

注意：

过去，ILPIP 被称为 PIP，代表公共 IP。

• 入站 NAT 规则 – 这包含将负载均衡器上的公共端口映射到后端地址池中特定虚拟机的端口的规则。

• IP 配置 - 它可以定义为与单个 NIC 关联的 IP 地址对（公共 IP 和私有 IP）。在 IP 配置中，公共 IP 地址可以为 NULL。每个 NIC 可以关联多个 IP 配置，最多可达 255 个。

• 负载均衡规则 – 一种规则属性，用于将给定的前端 IP 和端口组合映射到一组后端 IP 地址和端口组合。通过负载均衡器资源的单个定义，用户可以定义多个负载均衡规则，每个规则都反映了与虚拟机关联的前端 IP 和端口以及后端 IP 和端口的组合。

• 网络安全组 (NSG) – NSG 包含一个访问控制列表 (ACL) 规则列表，这些规则允许或拒绝虚拟网络中虚拟机实例的网络流量。NSG 可以与子网或该子网内的单个虚拟机实例关联。当 NSG 与子网关联时，ACL 规则适用于该子网中的所有虚拟机实例。此外，通过将 NSG 直接关联到单个虚拟机，可以进一步限制流向该虚拟机的流量。

• 私有 IP 地址 – 用于 Azure 虚拟网络内的通信，以及当使用 VPN 网关将用户网络扩展到 Azure 时，用于用户本地网络。私有 IP 地址允许 Azure 资源通过 VPN 网关或 ExpressRoute 线路与虚拟网络或本地网络中的其他资源通信，而无需使用可通过 Internet 访问的 IP 地址。在 Azure 资源管理器部署模型中，私有 IP 地址与以下类型的 Azure 资源关联：虚拟机、内部负载均衡器 (ILB) 和应用程序网关。

• 探测 – 这包含用于检查后端地址池中虚拟机实例可用性的运行状况探测。如果某个虚拟机在一段时间内未响应运行状况探测，则会将其从流量服务中移除。探测使用户能够跟踪虚拟实例的运行状况。如果运行状况探测失败，虚拟实例将自动从轮换中移除。

• 公共 IP 地址 (PIP) – PIP 用于与 Internet 通信，包括 Azure 面向公众的服务，并与虚拟机、面向 Internet 的负载均衡器、VPN 网关和应用程序网关关联。

• 区域 - 地理区域内不跨越国界且包含一个或多个数据中心的区域。定价、区域服务和产品类型在区域级别公开。一个区域通常与另一个区域配对，这两个区域之间可能相距数百英里，以形成区域对。区域对可用作灾难恢复和高可用性场景的机制。通常也称为位置。

• 资源组 - 资源管理器中的一个容器，用于存放应用程序的相关资源。资源组可以包含应用程序的所有资源，也可以只包含那些逻辑上分组的资源。

• 存储帐户 – Azure 存储帐户允许用户访问 Azure 存储中的 Azure Blob、队列、表和文件服务。用户存储帐户为用户 Azure 存储数据对象提供唯一的命名空间。

• 虚拟机 – 运行操作系统的物理计算机的软件实现。多台虚拟机可以同时在同一硬件上运行。在 Azure 中，虚拟机有多种大小可供选择。

• 虚拟网络 - Azure 虚拟网络是云中用户网络的表示。它是专用于用户订阅的 Azure 云的逻辑隔离。用户可以完全控制此网络中的 IP 地址块、DNS 设置、安全策略和路由表。用户还可以将其 VNet 进一步细分为子网，并启动 Azure IaaS 虚拟机和云服务（PaaS 角色实例）。此外，用户可以使用 Azure 中提供的连接选项之一将虚拟网络连接到其本地网络。本质上，用户可以将他们的网络扩展到 Azure，完全控制 IP 地址块，并受益于 Azure 提供的企业级规模。

Citrix Web 应用防火墙 在 微软 Azure 上的逻辑流程

图 1: Citrix Web 应用防火墙 在 Azure 上的逻辑图

逻辑流程

Web 应用程序防火墙可以作为第 3 层网络设备或第 2 层网络桥接安装在客户服务器和客户用户之间，通常位于客户公司的路由器或防火墙之后。它必须安装在能够拦截用户希望保护的 Web 服务器与用户访问这些 Web 服务器所用的集线器或交换机之间流量的位置。然后，用户配置网络，将请求发送到 Web 应用程序防火墙，而不是直接发送到其 Web 服务器；将响应发送到 Web 应用程序防火墙，而不是直接发送到其用户。Web 应用程序防火墙在将流量转发到最终目的地之前对其进行过滤，同时使用其内部规则集以及用户添加和修改的内容。它会阻止或消除任何被检测为有害的活动，然后将剩余流量转发到 Web 服务器。上图（图 1）提供了过滤过程的概述。

注意： 该图省略了将策略应用于传入流量的部分。它说明了一种安全配置，其中策略是处理所有请求。此外，在此配置中，已配置签名对象并将其与配置文件关联，并且已在配置文件中配置安全检查。如图所示，当用户请求受保护网站上的 URL 时，Web 应用程序防火墙首先检查请求以确保它不匹配签名。如果请求匹配签名，Web 应用程序防火墙会显示错误对象（位于 Web 应用程序防火墙设备上的网页，用户可以使用导入功能进行配置）或将请求转发到指定的错误 URL（错误页面）。

如果请求通过签名检查，Web 应用程序防火墙将应用已启用的请求安全检查。请求安全检查会验证请求是否适合用户网站或 Web 服务，并且不包含可能构成威胁的材料。例如，安全检查会检查请求中是否存在表明其可能属于意外类型、请求意外内容或包含意外且可能恶意 Web 表单数据、SQL 命令或脚本的迹象。如果请求未能通过安全检查，Web 应用程序防火墙会清理请求并将其发送回 Citrix ADC 设备（或 Citrix ADC 虚拟设备），或者显示错误对象。如果请求通过安全检查，它将被发送回 Citrix ADC 设备，该设备完成任何其他处理并将请求转发到受保护的 Web 服务器。

当网站或 Web 服务向用户发送响应时，Web 应用程序防火墙会应用已启用的响应安全检查。响应安全检查会检查响应中是否存在敏感私人信息泄露、网站篡改迹象或其他不应存在的内容。如果响应未能通过安全检查，Web 应用程序防火墙会删除不应存在的内容或阻止响应。如果响应通过安全检查，它将被发送回 Citrix ADC 设备，该设备将其转发给用户。

用例

与需要将每个服务部署为单独虚拟设备的替代解决方案相比，Azure 上的 Citrix ADC 将 L4 负载均衡、L7 流量管理、服务器卸载、应用程序加速、应用程序安全以及其他基本应用程序交付功能集成到一个 VPX 实例中，可通过 Azure Marketplace 方便地获取。此外，一切都由单一策略框架管理，并使用与管理本地 Citrix ADC 部署相同的强大工具集进行管理。最终结果是，Azure 上的 Citrix ADC 实现了多个引人注目的用例，这些用例不仅支持当今企业的即时需求，而且还支持从传统计算基础设施到企业云数据中心的持续演进。

部署类型

多网卡多 IP 部署（三网卡部署）

• 典型的部署方案

  • 通过 StyleBook 实现驱动

  • 结合 ADM

    • 结合 GSLB（Azure 流量管理 (TM)，无域名注册）

    • 许可 - 池化/市场

• 应用场景

  • 多网卡多 IP（三网卡）部署用于实现数据和管理流量的真正隔离。

  • 多网卡多 IP（三网卡）部署还能提高 ADC 的规模和性能。

  • 多网卡多 IP（三网卡）部署用于吞吐量通常为 1 Gbps 或更高的网络应用程序，建议采用三网卡部署。

用于高可用性 (HA) 的多网卡多 IP（三网卡）部署

如果客户部署到生产环境，并且安全性、冗余、可用性、容量和可扩展性至关重要，他们可能会使用三网卡部署。对于用户而言，这种部署方法的复杂性和易管理性并非关键问题。

Azure 资源管理器模板部署

如果客户正在自定义部署或自动化部署，他们将使用 ARM（Azure 资源管理器）模板进行部署。

ARM (Azure 资源管理器) 模板

Citrix ADC ARM (Azure 资源管理器) 模板的 GitHub 存储库托管着用于在 Microsoft Azure 云服务中部署 Citrix ADC 的 Citrix ADC 自定义模板。此存储库中的所有模板均由 Citrix ADC 工程团队开发和维护。

此存储库中的每个模板都附带了描述模板用法和架构的文档。这些模板旨在规范 Citrix ADC VPX 的推荐部署架构，或向用户介绍 Citrix ADC，或演示特定功能/版本/选项。用户可以重用/修改或增强这些模板，以满足其特定的生产和测试需求。大多数模板需要足够的 portal.azure.com 订阅才能创建资源和部署模板。 Citrix ADC VPX Azure Resource Manager (ARM) 模板旨在确保以简单一致的方式部署独立的 Citrix ADC VPX。这些模板通过内置冗余提高了可靠性和系统可用性。这些 ARM 模板支持自带许可证 (BYOL) 或按小时计费的选择。选择方式在模板描述中提及或在模板部署期间提供。 有关如何使用 ARM (Azure Resource Manager) 模板在 Microsoft Azure 上预配 Citrix ADC VPX 实例的更多信息，请访问：Citrix ADC Azure 模板。

有关如何在微软 Azure 上部署 Citrix ADC VPX 实例的更多信息，请参阅：在微软 Azure 上部署 Citrix ADC VPX 实例。

有关 Citrix ADC VPX 实例如何在 Azure 上工作的更多信息，请访问：Citrix ADC VPX 实例如何在 Azure 上工作。

部署步骤

当用户在 Microsoft Azure Resource Manager (ARM) 上部署 Citrix ADC VPX 实例时，他们可以利用 Azure 云计算功能，并使用 Citrix ADC 负载均衡和流量管理功能来满足其业务需求。用户可以在 Azure Resource Manager 上部署 Citrix ADC VPX 实例，既可以作为独立实例，也可以作为活动-备用模式下的高可用性对。

用户可以通过以下两种方式之一在 Microsoft Azure 上部署 Citrix ADC VPX 实例：

• 通过 Azure 应用商店。Citrix ADC VPX 虚拟设备作为映像在 Microsoft Azure 应用商店中提供。Azure 资源管理器模板发布在 Azure 应用商店中，可用于以独立和 HA 对部署方式部署 Citrix ADC。

• 使用 GitHub 上提供的 Citrix ADC Azure 资源管理器 (ARM) JSON 模板。有关更多信息，请参阅 Citrix ADC 解决方案模板 的 GitHub 存储库。

选择正确的 Azure 实例

Azure 上的 VPX 虚拟设备可以部署在具有两个或更多核心以及超过 2 GB 内存的任何实例类型上。下表列出了 ADC VPX 许可证的推荐实例类型：

确定了部署所需的许可证和实例类型后，用户可以使用推荐的多网卡多 IP 架构在 Azure 上预配 Citrix ADC VPX 实例。

多网卡多 IP 架构（三网卡）

在此部署类型中，用户可以将多个网络接口 (NIC) 附加到 VPX 实例。任何 NIC 都可以有一个或多个 IP 配置，即分配给它的静态或动态公共和私有 IP 地址。多网卡架构可用于独立部署和 HA 对部署。可以使用以下 ARM 模板：

• Citrix ADC 独立版：ARM 模板 - 独立版 3 网卡

• Citrix ADC 高可用性对：ARM 模板 - 3 网卡高可用性对

请参阅以下使用案例：

• 使用多个 IP 地址和 NIC 配置高可用性设置

• 使用 PowerShell 命令配置具有多个 IP 地址和 NIC 的高可用性设置

Citrix ADM Deployment Architecture

The following image provides an overview of how Citrix ADM connects with Azure to provision Citrix ADC VPX instances in Microsoft Azure.

用户需要三个子网才能在 Microsoft Azure 中预置和管理 Citrix ADC VPX 实例。必须为每个子网创建一个安全组。网络安全组 (NSG) 中指定的规则管理跨子网的通信。

Citrix ADM 服务代理可帮助用户预置和管理 Citrix ADC VPX 实例。

配置具有多个 IP 地址和 NIC 的高可用性设置

在 Microsoft Azure 部署中，通过使用 Azure 负载均衡器 (ALB) 实现两个 Citrix ADC VPX 实例的高可用性配置。这是通过在 ALB 上配置运行状况探测来实现的，该探测通过每 5 秒向主实例和辅助实例发送运行状况探测来监视每个 VPX 实例。

在此设置中，只有主节点响应运行状况探测，辅助节点不响应。一旦主节点向运行状况探测发送响应，ALB 就会开始向实例发送数据流量。如果主实例连续两次未响应运行状况探测，ALB 将不会把流量重定向到该实例。在故障转移时，新的主节点开始响应运行状况探测，ALB 会将流量重定向到它。标准 VPX 高可用性故障转移时间为三秒。流量切换可能发生的最大故障转移时间为 13 秒。

用户可以在 Azure 上以主动-被动高可用性 (HA) 设置部署一对具有多个 NIC 的 Citrix ADC VPX 实例。每个 NIC 可以包含多个 IP 地址。

针对多 NIC 高可用性部署，有以下选项：

• 使用 Azure 可用性集实现高可用性

• 使用 Azure 可用性区域实现高可用性

有关 Azure 可用性集和可用性区域的更多信息，请参阅 Azure 文档 管理 Linux 虚拟机可用性。

使用可用性集实现高可用性

使用可用性集的高可用性设置必须满足以下要求：

• HA 独立网络配置 (INC) 配置

• 直连服务器返回 (DSR) 模式下的 Azure 负载均衡器 (ALB)

所有流量都通过主节点。辅助节点保持待机模式，直到主节点发生故障。

注意：

为了使 Citrix VPX 在 Azure 云上实现高可用性部署，用户需要一个可在两个 VPX 节点之间移动的浮动公共 IP (PIP)。Azure 负载均衡器 (ALB) 提供该浮动 PIP，该 PIP 在故障转移时会自动移动到第二个节点。

在主动-被动部署中，ALB 前端公共 IP (PIP) 地址作为 VIP 地址添加到每个 VPX 节点中。在 HA-INC 配置中，VIP 地址是浮动的，SNIP 地址是实例特定的。

用户可以通过以下两种方式部署主动-被动高可用性模式的 VPX 对：

• Citrix ADC VPX 标准高可用性模板：使用此选项可配置具有三个子网和六个 NIC 的默认选项的 HA 对。

• Windows PowerShell 命令：使用此选项可根据您的子网和 NIC 要求配置 HA 对。

本节介绍如何使用 Citrix 模板在主动-被动 HA 设置中部署 VPX 对。如果用户希望使用 PowerShell 命令进行部署，请参阅 使用 PowerShell 命令配置具有多个 IP 地址和 NIC 的高可用性设置。

使用 Citrix 高可用性模板配置 HA-INC 节点

用户可以使用标准模板以 HA-INC 模式快速高效地部署一对 VPX 实例。该模板创建两个节点，具有三个子网和六个 NIC。这些子网用于管理、客户端和服务器端流量，每个子网为两个 VPX 实例各有两个 NIC。

完成以下步骤以启动模板并使用 Azure 可用性集部署高可用性 VPX 对。

1. 从 Azure Marketplace 中，选择并启动 Citrix 解决方案模板。模板随即显示。

2. 确保部署类型为 Resource Manager，然后选择 创建。

3. “基本信息”页面出现。创建资源组并选择“确定”。

4. “常规设置”页面出现。输入详细信息并选择“确定”。

5. “网络设置”页面出现。检查 VNet 和子网配置，编辑所需设置，然后选择“确定”。

6. “摘要”页面出现。查看配置并进行相应编辑。选择“确定”以确认。

7. “购买”页面出现。选择“购买”以完成部署。

Azure 资源组可能需要一些时间才能使用所需配置创建完成。完成后，在 Azure 门户中选择“资源组”以查看配置详细信息，例如 LB 规则、后端池、运行状况探测等。高可用性对显示为 ns-vpx0 和 ns-vpx1。

如果 HA 设置需要进一步修改，例如创建更多安全规则和端口，用户可以从 Azure 门户进行操作。

接下来，用户需要在主节点上使用 ALB 的前端公共 IP (PIP) 地址配置负载均衡虚拟服务器。要查找 ALB PIP，请选择 ALB > 前端 IP 配置。

请参阅“资源”部分，了解有关如何配置负载均衡虚拟服务器的更多信息。

资源：

以下链接提供了有关 HA 部署和虚拟服务器配置的其他信息：

• 在不同子网中配置高可用性节点

• 设置基本负载均衡

相关资源：

• 使用 PowerShell 命令配置具有多个 IP 地址和 NIC 的高可用性设置

• 在主动-备用高可用性设置上配置 GSLB

使用可用性区域实现高可用性

Azure 可用性区域是 Azure 区域内故障隔离的位置，提供冗余电源、冷却和网络，并提高弹性。只有特定的 Azure 区域支持可用性区域。有关更多信息，请参阅 Azure 文档《Azure 中的可用性区域》：在主动-备用高可用性设置上配置 GSLB。

用户可以通过使用 Azure Marketplace 中提供的名为“NetScaler 13.0 高可用性（使用可用性区域）”的模板，以高可用性模式部署 VPX 对。

完成以下步骤以启动模板并使用 Azure 可用性区域部署高可用性 VPX 对。

1. From Azure Marketplace, select and initiate the Citrix solution template.

2. 确保部署类型为 Resource Manager，然后选择“创建”。

3. “基本信息”页面出现。输入详细信息，然后单击“确定”。

注意： 确保选择了支持可用性区域的 Azure 区域。有关支持可用性区域的区域的更多信息，请参阅 Azure 文档《Azure 中的可用性区域》：Azure 中的区域和可用性区域。

1. “常规设置”页面出现。输入详细信息，然后选择“确定”。

2. “网络设置”页面出现。检查 VNet 和子网配置，编辑所需设置，然后选择“确定”。

3. “摘要”页面出现。查看配置并进行相应编辑。选择“确定”以确认。

4. “购买”页面出现。选择“购买”以完成部署。

Azure 资源组可能需要一些时间才能使用所需的配置创建。完成后，在 Azure 门户中选择“资源组”以查看配置详细信息，例如 LB 规则、后端池、运行状况探测等。高可用性对显示为 ns-vpx0 和 ns-vpx1。此外，用户可以在“位置”列下看到位置。

如果 HA 设置需要进一步修改，例如创建更多安全规则和端口，用户可以从 Azure 门户进行操作。

有关在 微软 Azure 上预配 Citrix ADC VPX 实例的更多详细信息，请参阅：在 微软 Azure 上预配 Citrix ADC VPX 实例。

Citrix 应用程序交付管理

Citrix Application Delivery Management Service (Citrix ADM) provides an easy and scalable solution to manage Citrix ADC deployments that include Citrix ADC MPX, Citrix ADC VPX, Citrix Gateway, Citrix Secure Web Gateway™, Citrix ADC SDX, Citrix ADC CPX, and Citrix SD-WAN appliances that are deployed on-premises or on the cloud.

用户可以使用此云解决方案，通过单一、统一且集中的云端控制台来管理、监控和故障排除整个全球应用程序交付基础架构。Citrix ADM 服务提供了快速设置、部署和管理 Citrix ADC 部署中的应用程序交付所需的所有功能，并提供丰富的应用程序运行状况、性能和安全性分析。

Citrix ADM 服务提供以下优势：

• 敏捷 – 易于操作、更新和使用。Citrix ADM 服务的服务模型可通过云端获取，使其易于操作、更新和使用 Citrix ADM 服务提供的功能。更新频率与自动化更新功能相结合，可快速增强用户的 Citrix ADC 部署。

• 更快的价值实现时间 – 更快地实现业务目标。与传统的本地部署不同，用户只需点击几下即可使用其 Citrix ADM 服务。用户不仅节省了安装和配置时间，还避免了在潜在错误上浪费时间和资源。

• 多站点管理 – 跨多站点数据中心实例的单一管理界面。借助 Citrix ADM 服务，用户可以管理和监控各种部署类型的 Citrix ADC。用户可以对部署在本地和云端的 Citrix ADC 进行一站式管理。

• 运营效率 – 优化和自动化方式，以实现更高的运营生产力。借助 Citrix ADM 服务，通过节省用户在维护和升级传统硬件部署方面的时间、金钱和资源，降低了用户的运营成本。

Citrix ADM 服务的工作原理

Citrix ADM 服务作为一项服务在 Citrix Cloud 上提供。用户注册 Citrix Cloud 并开始使用该服务后，请在用户网络环境中安装代理或在实例中启动内置代理。然后，将用户想要管理的实例添加到该服务。

代理可在 Citrix ADM 服务与用户数据中心中的托管实例之间实现通信。代理从用户网络中的托管实例收集数据并将其发送到 Citrix ADM 服务。

当用户将实例添加到 Citrix ADM 服务时，它会隐式地将自身添加为陷阱目标并收集实例的清单。

该服务收集实例详细信息，例如：

• 主机名

• 软件版本

• 运行和保存的配置

• 数字证书

• 在实例上配置的实体，以及其他相关项。

Citrix ADM Service 会定期轮询托管实例以收集信息。

下图详细说明了服务、代理和实例之间是如何进行通信的：

文档使用指南

Citrix ADM Service 文档包含有关如何开始使用该服务、该服务支持的功能列表以及此服务解决方案特有的配置的信息。

思杰 ADC WAF 和 OWASP 十大安全漏洞 – 2017

开放式Web应用程序安全项目：OWASP 发布了 2017 年 OWASP 十大 Web 应用程序安全漏洞。此列表记录了最常见的 Web 应用程序漏洞，是评估 Web 安全性的绝佳起点。在此，我们详细介绍了如何配置 Citrix ADC Web 应用程序防火墙 (WAF) 以缓解这些缺陷。WAF 作为集成模块在 Citrix ADC（高级版）和全系列设备中提供。

完整的 OWASP 十大安全漏洞文档可在 OWASP Top Ten 获取。

A1:2017- 注入

注入缺陷（例如 SQL、NoSQL、OS 和 LDAP 注入）发生在不受信任的数据作为命令或查询的一部分发送到解释器时。攻击者的恶意数据可以欺骗解释器运行意外命令或在未经适当授权的情况下访问数据。

ADC WAF 防护功能

• SQL 注入防护功能可抵御常见的注入攻击。可以上传自定义注入模式，以抵御包括 XPath 和 LDAP 在内的任何类型的注入攻击。这适用于 HTML 和 XML 有效负载。

• 自动更新签名功能可确保注入签名始终保持最新。

• 字段格式保护功能允许管理员将任何用户参数限制为正则表达式。例如，您可以强制邮政编码字段仅包含整数，甚至是 5 位整数。

• 表单字段一致性：根据用户会话表单签名验证每个提交的用户表单，以确保所有表单元素的有效性。

• 缓冲区溢出检查可确保 URL、标头和 Cookie 处于正确限制内，从而阻止任何注入大型脚本或代码的尝试。

A2:2017 – 身份验证失效

与身份验证和会话管理相关的应用程序功能通常实施不正确，这使得攻击者可以泄露密码、密钥或会话令牌，或者利用其他实施缺陷暂时或永久地冒充其他用户的身份。

ADC WAF 保护功能

• Citrix ADC AAA 模块执行用户身份验证，并为后端应用程序提供单点登录功能。它集成到 Citrix ADC AppExpert 策略引擎中，以允许基于用户和组信息的自定义策略。

• 利用 SSL 卸载和 URL 转换功能，防火墙还可以帮助站点使用安全的传输层协议，以防止网络嗅探窃取会话令牌。

• 可以采用 Cookie 代理和 Cookie 加密来完全缓解 Cookie 窃取。

A3:2017 - 敏感数据泄露

许多 Web 应用程序和 API 未能妥善保护敏感数据，例如财务、医疗保健和 PII。攻击者可能会窃取或修改这些保护不力的数据，以进行信用卡欺诈、身份盗用或其他犯罪。敏感数据在没有额外保护（例如静态或传输中的加密）的情况下可能会受到损害，并且在与浏览器交换时需要采取特殊预防措施。

ADC WAF 保护功能

• 应用程序防火墙可保护应用程序免受信用卡详细信息等敏感数据泄露。

• 可以将敏感数据配置为安全商务保护中的安全对象，以避免泄露。

• Cookie 中的任何敏感数据都可以通过 Cookie 代理和 Cookie 加密进行保护。

A4:2017 可扩展标记语言外部实体 (XXE)

许多较旧或配置不当的 XML 处理器会评估 XML 文档中的外部实体引用。外部实体可用于使用文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击来泄露内部文件。

ADC WAF 保护功能

• 除了检测和阻止可用于攻击基于 XML 的应用程序的常见应用程序威胁（即跨站点脚本、命令注入等）之外。

• ADC 应用程序防火墙包含一套丰富的 XML 特定安全保护。其中包括用于彻底验证 SOAP 消息和 XML 有效负载的架构验证，以及用于阻止包含恶意可执行文件或病毒的附件的强大 XML 附件检查。

• 自动流量检查方法可阻止针对获取访问权限的 URL 和表单上的 XPath 注入攻击。

• ADC 应用防火墙还可以阻止各种 DoS 攻击，包括外部实体引用、递归扩展、过度嵌套以及包含长属性或多个属性和元素的恶意消息。

A5:2017 访问控制失效

对经过身份验证的用户可以执行的操作的限制通常未得到正确执行。攻击者可以利用这些缺陷来访问未经授权的功能和数据，例如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。

ADC WAF 保护措施

• 支持所有应用程序流量的身份验证、授权和审计的 AAA 功能允许站点管理员使用 ADC 设备管理访问控制。

• ADC 设备 AAA 模块中的授权安全功能使设备能够验证每个用户应被允许访问受保护服务器上的哪些内容。

• 表单字段一致性：如果对象引用作为隐藏字段存储在表单中，那么使用表单字段一致性，您可以验证这些字段在后续请求中未被篡改。

• Cookie 代理和 Cookie 一致性：存储在 Cookie 值中的对象引用可以通过这些保护措施进行验证。

• 使用 URL 闭包启动 URL 检查：允许用户访问预定义的 URL 允许列表。URL 闭包会构建用户会话期间在有效响应中看到的所有 URL 的列表，并在该会话期间自动允许访问这些 URL。

A6:2017 - 安全配置错误

安全配置错误是最常见的问题。这通常是由于不安全的默认配置、不完整或临时配置、开放的云存储、配置错误的 HTTP 标头以及包含敏感信息的详细错误消息造成的。所有操作系统、框架、库和应用程序不仅必须安全配置，而且必须及时修补和升级。

ADC WAF 保护措施

• 应用防火墙生成的 PCI-DSS 报告记录了防火墙设备上的安全设置。

• 扫描工具的报告被转换为 ADC WAF 签名，以处理安全配置错误。

• ADC WAF 支持 Cenzic 扫描器、IBM AppScan（企业版和标准版）扫描器、Qualys 扫描器、TrendMicro 扫描器、WhiteHat 扫描器以及自定义漏洞扫描报告。

A7:2017 - 跨站脚本 (XSS)

当应用程序在没有适当验证或转义的情况下在新网页中包含不可信数据，或者使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有网页中的用户提供数据时，就会出现 XSS 漏洞。XSS 允许攻击者在受害者的浏览器中运行脚本，从而劫持用户会话、篡改网站或将用户重定向到恶意站点。

ADC WAF 保护措施

• XSS 保护可抵御常见的 XSS 攻击。可以上传自定义 XSS 模式以修改允许的标签和属性的默认列表。ADC WAF 使用允许的 HTML 属性和标签的白名单来检测 XSS 攻击。这适用于 HTML 和 XML 有效负载。

• ADC WAF 阻止 OWASP XSS 过滤器评估备忘单中列出的所有攻击。

• 字段格式检查可防止攻击者发送不适当的 Web 表单数据，这可能是一种潜在的 XSS 攻击。

• 表单字段一致性。

A8:2017 - 不安全的反序列化

不安全的反序列化通常会导致远程代码执行。即使反序列化漏洞不会导致远程代码执行，它们也可以用于执行攻击，包括重放攻击、注入攻击和权限提升攻击。

ADC WAF 保护措施

• 使用自定义签名的 JSON 有效负载检查。

• XML 安全：防止 XML 拒绝服务 (xDoS)、XML SQL 和 Xpath 注入以及跨站脚本、格式检查、WS-I 基本配置文件合规性、XML 附件检查。

• 可以使用字段格式检查、Cookie 一致性和字段一致性。

A9:2017 - 使用具有已知漏洞的组件

组件（例如库、框架和其他软件模块）与应用程序以相同的权限运行。如果易受攻击的组件被利用，此类攻击可能导致严重数据丢失或服务器被接管。使用具有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御，并导致各种攻击和影响。

ADC Web 应用防火墙 保护

• Citrix 建议保持第三方组件为最新版本。

• 转换为 ADC 签名的漏洞扫描报告可用于虚拟修补这些组件。

• 可使用适用于这些易受攻击组件的应用程序防火墙模板。

• 自定义签名可以与防火墙绑定以保护这些组件。

A10:2017 - 日志记录和监控不足

日志记录和监控不足，加上与事件响应的集成缺失或无效，使得攻击者能够进一步攻击系统、维持持久性、转向更多系统，并篡改、提取或销毁数据。大多数泄露研究表明，检测到泄露的时间超过 200 天，通常由外部方而非内部流程或监控检测到。

ADC WAF 保护功能

• 当为安全检查或签名启用日志操作时，生成的日志消息会提供有关应用程序防火墙在保护您的网站和应用程序时观察到的请求和响应的信息。

• 应用程序防火墙提供了便利，可利用内置的 ADC 数据库来识别恶意请求所源自的 IP 地址对应的位置信息。

• 默认格式 (PI) 表达式提供了灵活性，可以自定义日志中包含的信息，并可以选择在应用程序防火墙生成的日志消息中添加要捕获的特定数据。

• 应用程序防火墙支持 CEF 日志。

应用程序安全保护

思杰应用交付管理 (ADM)

Citrix 应用交付管理服务 (Citrix ADM) 提供了一个可扩展的解决方案，用于管理 Citrix 应用交付控制器部署，其中包括 Citrix 应用交付控制器 MPX、Citrix 应用交付控制器 VPX、Citrix Gateway、Citrix Secure Web™ Gateway、Citrix 应用交付控制器 SDX、Citrix 应用交付控制器 CPX 和 Citrix SD-WAN 设备，这些设备可部署在本地或云端。

Citrix ADM 应用程序分析和管理功能

下面列出并总结了对 ADM 在应用程序安全中的作用至关重要的主要功能。

应用程序分析和管理

Citrix ADM 的应用程序分析和管理功能强化了以应用程序为中心的方法，以帮助用户应对各种应用程序交付挑战。这种方法使用户能够了解应用程序的运行状况评分，帮助用户确定安全风险，并帮助用户检测应用程序流量中的异常并采取纠正措施。在应用程序安全的这些作用中，最重要的是应用程序安全分析：

• 应用程序安全分析：应用程序安全分析。应用程序安全控制板提供了用户应用程序安全状态的整体视图。例如，它显示了关键安全指标，例如安全违规、签名违规、威胁指数。应用程序安全控制板还显示了针对发现的 Citrix ADC 实例的攻击相关信息，例如 SYN 攻击、小窗口攻击和 DNS 洪水攻击。

样式手册

StyleBook 简化了为用户应用程序管理复杂 Citrix ADC 配置的任务。StyleBook 是用户可用于创建和管理 Citrix ADC 配置的模板。在此，用户主要关注用于部署 Web 应用程序防火墙的 StyleBook。有关 StyleBook 的更多信息，请参阅：StyleBook。

分析

提供了一种简单且可扩展的方式来深入了解 Citrix ADC 实例数据的各种见解，以描述、预测和改进应用程序性能。用户可以同时使用一个或多个分析功能。在应用程序安全的这些作用中，最重要的是：

• 安全洞察：安全洞察。提供了一个单一窗格解决方案，可帮助用户评估用户应用程序安全状态并采取纠正措施来保护用户应用程序。

• Bot 洞察

• 有关分析的更多信息，请参阅分析：分析。

对 ADM 功能很重要的其他功能包括：

事件管理

事件表示托管 Citrix ADC 实例上发生的事件或错误。例如，当系统故障或配置更改时，Citrix ADM 上会生成并记录一个事件。以下是用户可以使用 Citrix ADM 配置或查看的相关功能：

• 创建事件规则：创建事件规则

• 查看和导出系统日志消息：查看和导出系统日志消息

有关事件管理的更多信息，请参阅：事件。

实例管理

Enables users to manage the Citrix ADC, Citrix Gateway, Citrix Secure Web Gateway, and Citrix SD-WAN instances. For more information on instance management, see: Adding Instances.

许可证管理

允许用户通过将 Citrix ADM 配置为许可证管理器来管理 Citrix ADC 许可证。

• Citrix ADC 池化容量：池化容量。一个通用许可证池，用户 Citrix ADC 实例可以从中签出单个实例许可证以及所需的带宽。当实例不再需要这些资源时，它会将它们签回通用池，从而使资源可供需要它们的其他实例使用。

• Citrix ADC VPX 签入和签出许可：Citrix ADC VPX 签入和签出许可。Citrix ADM 按需将许可证分配给 Citrix ADC VPX 实例。当 Citrix ADC VPX 实例预配时，Citrix ADC VPX 实例可以从 Citrix ADM 签出许可证；当实例被删除或销毁时，可以将其许可证签回 Citrix ADM。

• 有关许可证管理的更多信息，请参阅：池化容量。

配置管理

Citrix ADM 允许用户创建配置作业，帮助他们在多个实例上轻松执行配置任务，例如创建实体、配置功能、复制配置更改、系统升级以及其他维护活动。配置作业和模板将最重复的管理任务简化为 Citrix ADM 上的单个任务。有关配置管理的更多信息，请参阅配置作业：配置作业。

配置审计

使用户能够监控并识别跨用户实例配置中的异常情况。

• 配置建议：获取网络配置建议。允许用户识别任何配置异常。

• 审计模板：创建审计模板。允许用户监控特定配置中的更改。

• 有关配置审计的更多信息，请参阅：配置审计。

签名提供了以下部署选项，以帮助用户优化其应用程序的保护效果：

• 负安全模型：通过负安全模型，用户可以采用一套丰富的预配置签名规则，利用模式匹配的强大功能来检测攻击并防范应用程序漏洞。用户只阻止不希望的内容，并允许其余内容。用户可以根据用户应用程序的特定安全需求添加自己的签名规则，以设计自己的定制安全解决方案。

• 混合安全模型：除了使用签名之外，用户还可以使用正安全检查来创建最适合用户应用程序的配置。使用签名阻止用户不希望的内容，并使用正安全检查强制执行允许的内容。

为了使用签名保护用户应用程序，用户必须配置一个或多个配置文件来使用其签名对象。在混合安全配置中，用户签名对象中的 SQL 注入和跨站点脚本模式以及 SQL 转换规则不仅由签名规则使用，还由使用签名对象的 Web 应用程序防火墙配置文件中配置的正安全检查使用。

Web 应用程序防火墙检查流向用户受保护网站和 Web 服务的流量，以检测与签名匹配的流量。仅当规则中的每个模式都与流量匹配时，才会触发匹配。发生匹配时，将调用规则的指定操作。当请求被阻止时，用户可以显示错误页面或错误对象。日志消息可以帮助用户识别针对用户应用程序发起的攻击。如果用户启用统计信息，Web 应用程序防火墙会维护与 Web 应用程序防火墙签名或安全检查匹配的请求数据。

如果流量同时匹配签名和正安全检查，则会强制执行两种操作中限制性更强的一种。例如，如果请求匹配阻止操作被禁用的签名规则，但该请求也匹配阻止操作为阻止的 SQL 注入正安全检查，则该请求将被阻止。在这种情况下，尽管请求被 SQL 注入检查阻止，但签名违规可能会记录为 <not blocked>。

自定义：如有必要，用户可以向签名对象添加自己的规则。用户还可以自定义 SQL/XSS 模式。根据用户应用程序的特定安全需求添加自己的签名规则的选项，使用户能够灵活地设计自己的定制安全解决方案。用户只阻止不希望的内容，并允许其余内容。指定位置的特定快速匹配模式可以显著减少处理开销以优化性能。用户可以添加、修改或删除 SQL 注入和跨站点脚本模式。内置的 RegEx 和表达式编辑器可帮助用户配置用户模式并验证其准确性。

用例

与需要将每个服务部署为单独虚拟设备的替代解决方案相比，AWS 上的 Citrix ADC 将 L4 负载均衡、L7 流量管理、服务器卸载、应用程序加速、应用程序安全、灵活许可和其他基本应用程序交付功能结合在一个 VPX 实例中，可通过 AWS Marketplace 方便地获取。此外，所有功能都由单一策略框架管理，并使用与管理本地 Citrix ADC 部署相同的强大工具集进行管理。最终结果是，AWS 上的 Citrix ADC 实现了几个引人注目的用例，这些用例不仅支持当今企业的即时需求，而且还支持从传统计算基础设施到企业云数据中心的持续演进。

思杰 Web 应用程序防火墙 (WAF)

Citrix Web 应用程序防火墙 (WAF) 是一种企业级解决方案，为现代应用程序提供最先进的保护。Citrix WAF 缓解针对面向公众资产（包括网站、Web 应用程序和 API）的威胁。Citrix WAF 包括基于 IP 信誉的过滤、机器人缓解、OWASP Top 10 应用程序威胁保护、第 7 层 DDoS 保护等。还包括强制认证、强大的 SSL/TLS 密码、TLS 1.3、速率限制和重写策略等选项。Citrix WAF 结合使用基本和高级 WAF 保护，以无与伦比的易用性为您的应用程序提供全面保护。启动和运行只需几分钟。此外，Citrix WAF 使用一种称为动态分析的自动化学习模型，为用户节省了宝贵时间。通过自动学习受保护应用程序的工作方式，Citrix WAF 即使在开发人员部署和更改应用程序时也能适应应用程序。Citrix WAF 有助于符合所有主要监管标准和机构，包括 PCI-DSS、HIPAA 等。借助我们的 CloudFormation 模板，快速启动和运行从未如此简单。通过自动扩缩，用户可以放心，即使流量增加，其应用程序也能保持受保护。

Web 应用程序防火墙部署策略

部署 Web 应用程序防火墙的第一步是评估哪些应用程序或特定数据需要最大程度的安全保护，哪些漏洞较少，以及哪些可以安全地绕过安全检查。这有助于用户制定最佳配置，并设计适当的策略和绑定点来隔离流量。例如，用户可能希望配置一个策略来绕过对静态 Web 内容（如图像、MP3 文件和电影）请求的安全检查，并配置另一个策略来对动态内容请求应用高级安全检查。用户可以使用多个策略和配置文件来保护同一应用程序的不同内容。

下一步是确定部署基线。首先创建一个虚拟服务器，并通过它运行测试流量，以了解流经用户系统的流量速率和数量。

然后，部署 Web 应用程序防火墙。使用 Citrix ADM 和 Web 应用程序防火墙 StyleBook 配置 Web 应用程序防火墙。有关详细信息，请参阅本指南下面的 StyleBook 部分。

在部署并使用 Web 应用程序防火墙 StyleBook 配置 Web 应用程序防火墙后，下一步有用的操作是实施 Citrix ADC WAF 和 OWASP Top Ten。

最后，Web 应用程序防火墙的三种保护措施对常见的 Web 攻击类型特别有效，因此比其他任何保护措施都更常用。因此，它们应在初始部署中实施。它们是：

• HTML 跨站点脚本。检查请求和响应中是否存在尝试访问或修改与脚本所在网站不同的网站内容的脚本。当此检查发现此类脚本时，它会在将请求或响应转发到其目标之前使脚本无害，或者阻止连接。

• HTML SQL 注入。检查包含表单字段数据的请求，以查找尝试将 SQL 命令注入 SQL 数据库的行为。当此检查检测到注入的 SQL 代码时，它会阻止请求，或者在将请求转发到 Web 服务器之前使注入的 SQL 代码无害。

注意： 如果以下两个条件都适用于用户配置，则用户应确保您的 Web 应用程序防火墙已正确配置：

• 如果用户启用 HTML 跨站点脚本检查或 HTML SQL 注入检查（或两者），并且

• 用户受保护的网站接受文件上传或包含可能包含大量 POST 正文数据的 Web 表单。

有关配置 Web 应用程序防火墙以处理此情况的更多信息，请参阅配置应用程序防火墙：配置 Web 应用程序防火墙。

• 缓冲区溢出。检查请求以检测尝试在 Web 服务器上导致缓冲区溢出的行为。

配置 Web 应用程序防火墙 (WAF)

以下步骤假定 WAF 已经启用，并且处于正常运行状态。

Citrix 建议用户使用 Web 应用程序防火墙 StyleBook 配置 WAF。大多数用户认为这是配置 Web 应用程序防火墙最简单的方法，并且它旨在防止错误。GUI 和命令行界面都适用于经验丰富的用户，主要用于修改现有配置或使用高级选项。

SQL 注入

应用程序防火墙 HTML SQL 注入检查提供特殊防御，以防止注入可能破坏用户应用程序安全性的未经授权的 SQL 代码。Citrix Web Application Firewall 在三个位置检查请求负载中注入的 SQL 代码：1) POST 正文，2) 标头，和 3) Cookie。

默认的关键字和特殊字符集提供了常用于发起 SQL 攻击的已知关键字和特殊字符。用户还可以添加新模式，并可以编辑默认集以自定义 SQL 检查。

可以为 SQL 注入处理配置多个参数。用户可以检查 SQL 通配符。用户可以更改 SQL 注入类型，并选择 4 个选项之一（SQLKeyword、SQLSplChar、SQLSplCharANDKeyword、SQLSplCharORKeyword）来指示在处理负载时如何评估 SQL 关键字和 SQL 特殊字符。SQL 注释处理参数 为用户提供了一个选项，用于指定在 SQL 注入检测期间需要检查或豁免的注释类型。

用户可以部署放宽规则以避免误报。学习引擎可以提供配置放宽规则的建议。

以下选项可用于为用户应用程序配置优化的 SQL 注入保护：

阻止 — 如果用户启用阻止，则仅当输入与 SQL 注入类型规范匹配时，才会触发阻止操作。例如，如果将 SQLSplCharANDKeyword 配置为 SQL 注入类型，则即使在输入中检测到 SQL 特殊字符，如果请求不包含关键字，也不会被阻止。如果 SQL 注入类型设置为 SQLSplChar 或 SQLSplCharORKeyword，则此类请求将被阻止。

日志 — 如果用户启用日志功能，SQL 注入检查会生成日志消息，指示其采取的操作。如果禁用阻止，则会为检测到 SQL 违规的每个输入字段生成单独的日志消息。但是，当请求被阻止时，只生成一条消息。同样，即使 SQL 特殊字符在多个字段中被转换，转换操作也会为每个请求生成一条日志消息。用户可以监视日志，以确定对合法请求的响应是否被阻止。日志消息数量的大幅增加可能表明有人试图发起攻击。

统计信息 — 如果启用，统计信息功能会收集有关违规和日志的统计信息。统计计数器中意外的激增可能表明用户应用程序正在遭受攻击。如果合法请求被阻止，用户可能需要重新检查配置，以查看是否需要配置新的放宽规则或修改现有规则。

学习 — 如果用户不确定哪些 SQL 放宽规则最适合其应用程序，他们可以使用学习功能根据学习到的数据生成建议。Web 应用程序防火墙学习引擎监视流量，并根据观察到的值提供 SQL 学习建议。为了在不影响性能的情况下获得最佳效益，用户可能希望在短时间内启用学习选项以获取具有代表性的规则样本，然后部署规则并禁用学习。

转换 SQL 特殊字符 — Web 应用程序防火墙将三个字符（单引号 (‘)、反斜杠 () 和分号 (;)）视为 SQL 安全检查处理的特殊字符。SQL 转换功能会修改 HTML 请求中的 SQL 注入代码，以确保请求无害。然后将修改后的 HTML 请求发送到服务器。所有默认转换规则都在 /netscaler/default_custom_settings.xml 文件中指定。

• 转换操作通过对请求进行以下更改来使 SQL 代码失效：

• 单引号 (‘) 转换为双引号 (“)。

• 反斜杠 () 转换为双反斜杠 ()。

• 分号 (;) 完全删除。

这三个字符（特殊字符串）是向 SQL 服务器发出命令所必需的。除非 SQL 命令以特殊字符串开头，否则大多数 SQL 服务器会忽略该命令。因此，当启用转换时，Web 应用程序防火墙执行的更改可防止攻击者注入活动的 SQL。进行这些更改后，请求可以安全地转发到受用户保护的网站。当受用户保护的网站上的 Web 表单可以合法地包含 SQL 特殊字符串，但 Web 表单不依赖于特殊字符串才能正常运行时，用户可以禁用阻止并启用转换，以防止阻止合法的 Web 表单数据，同时不降低 Web 应用程序防火墙为受用户保护的网站提供的保护。

转换操作独立于SQL 注入类型设置。如果启用了转换，并且 SQL 注入类型指定为 SQL 关键字，则即使请求不包含任何关键字，SQL 特殊字符也会被转换。

提示： 用户通常会启用转换或阻止，但不会同时启用两者。如果启用了阻止操作，它将优先于转换操作。如果用户启用了阻止，则启用转换是多余的。

检查 SQL 通配符—通配符可用于扩展 SQL SELECT 语句的选择范围。这些通配符运算符可与 LIKE 和 NOT LIKE 运算符一起使用，以将值与相似值进行比较。百分号 (%) 和下划线 (_) 字符常被用作通配符。百分号类似于 MS-DOS 中使用的星号 (*) 通配符，用于匹配字段中的零个、一个或多个字符。下划线类似于 MS-DOS 问号 (?) 通配符。它匹配表达式中的单个数字或字符。

例如，用户可以使用以下查询进行字符串搜索，以查找所有名称中包含字符 D 的客户。

SELECT * from customer WHERE name like “%D%”:

以下示例结合了运算符，以查找第二个和第三个位置为 0 的任何薪资值。

SELECT * from customer WHERE salary like ‘_00%’:

不同的 DBMS 供应商通过添加额外的运算符扩展了通配符。Citrix Web Application Firewall 可以防御通过注入这些通配符发起的攻击。5 个默认通配符是百分号 (%)、下划线 (_)、插入符号 (^) 和左方括号 ([), and closing bracket (])。此保护适用于 HTML 和 XML 配置文件。

默认通配符是 *Default Signatures 中指定的一系列字面量：

• <通配符 type=” 字面量”>%</wildchar>

• <通配符 type=”字面量”>_</wildchar>

• <wildchar type=”LITERAL”>^</wildchar>

• <通配符 类型=”字面量”>[</wildchar>

• <通配符 类型=”字面量”>]</wildchar>

攻击中的通配符可以是 PCRE，例如 [^A-F]。Web Application Firewall 也支持 PCRE 通配符，但上述字面通配符足以阻止大多数攻击。

注意： SQL 通配符检查与 SQL 特殊字符检查不同。必须谨慎使用此选项，以避免误报。

检查包含 SQL 注入类型的请求 — Web 应用程序防火墙提供 4 种选项，可根据应用程序的个性化需求，实施所需严格程度的 SQL 注入检查。请求将根据注入类型规范进行检查，以检测 SQL 违规。这 4 种 SQL 注入类型选项是：

• SQL 特殊字符和关键字 — 输入中必须同时存在 SQL 关键字和 SQL 特殊字符才能触发 SQL 违规。此限制最少的设置也是默认设置。

• SQL 特殊字符 — 输入中必须至少存在一个特殊字符才能触发 SQL 违规。

• SQL 关键字 — 输入中必须至少存在一个指定的 SQL 关键字才能触发 SQL 违规。请务必仔细考虑后再选择此选项。为避免误报，请确保输入中不应包含任何关键字。

• SQL 特殊字符或关键字 — 输入中必须存在关键字或特殊字符字符串才能触发安全检查违规。

提示： 如果用户将 Web 应用程序防火墙配置为检查包含 SQL 特殊字符的输入，则 Web 应用程序防火墙会跳过不包含任何特殊字符的 Web 表单字段。由于大多数 SQL 服务器不处理前面没有特殊字符的 SQL 命令，因此启用此选项可以显著减少 Web 应用程序防火墙的负载并加快处理速度，同时不会使用户受保护的网站面临风险。

SQL 注释处理 — 默认情况下，Web 应用程序防火墙会检查所有 SQL 注释中是否存在注入的 SQL 命令。然而，许多 SQL 服务器会忽略注释中的任何内容，即使前面有 SQL 特殊字符也是如此。为了加快处理速度，如果您的 SQL 服务器忽略注释，您可以配置 Web 应用程序防火墙在检查注入的 SQL 请求时跳过注释。SQL 注释处理选项包括：

• ANSI — 跳过 ANSI 格式的 SQL 注释，这些注释通常由基于 UNIX 的 SQL 数据库使用。例如：

  • /–（两个连字符）— 这是一个以两个连字符开头并以行尾结束的注释。

  • {} — 大括号（大括号括住注释。{ 在注释之前，} 在注释之后。大括号可以分隔单行或多行注释，但注释不能嵌套）

  • /*/：C 风格注释（不允许嵌套注释）。请注意，/! <以斜杠后跟星号和感叹号开头的注释不是注释 > */

  • MySQL 服务器支持 C 风格注释的一些变体。通过使用以下形式的注释，这些变体使用户能够编写包含 MySQL 扩展但仍可移植的代码：[/*! MySQL-specific code */]

  • .#: MySQL 注释：这是一个以 # 字符开头并以行尾结束的注释

• 嵌套 — 跳过嵌套的 SQL 注释，这些注释通常由 Microsoft SQL Server 使用。例如；–（两个连字符）和 /**/（允许嵌套注释）

• ANSI/嵌套 — 跳过同时符合 ANSI 和嵌套 SQL 注释标准的注释。仅符合 ANSI 标准或仅符合嵌套标准的注释仍会检查是否存在注入的 SQL。

• 检查所有注释 — 检查整个请求中是否存在注入的 SQL，不跳过任何内容。这是默认设置。

提示： 通常，除非后端数据库运行在 Microsoft SQL Server 上，否则用户不应选择“嵌套”或“ANSI/嵌套”选项。大多数其他类型的 SQL 服务器软件不识别嵌套注释。如果发往其他类型 SQL 服务器的请求中出现嵌套注释，则可能表明有人试图破坏该服务器的安全性。

检查请求标头 — 如果用户除了检查表单字段中的输入外，还想检查请求标头是否存在 HTML SQL 注入攻击，请启用此选项。如果用户使用 GUI，可以在 Web Application Firewall 配置文件的“高级设置”->“配置文件设置”窗格中启用此参数。

注意： 如果用户启用“检查请求标头”标志，他们可能需要为 User-Agent 标头配置一个放宽规则。SQL 关键字 like 和 SQL 特殊字符分号 (;) 的存在可能会触发误报并阻止包含此标头的请求。 警告： 如果用户同时启用请求标头检查和转换，则标头中找到的任何 SQL 特殊字符也会被转换。Accept、Accept-Charset、Accept-Encoding、Accept-Language、Expect 和 User-Agent 标头通常包含分号 (;) 。同时启用请求标头检查和转换可能会导致错误。

InspectQueryContentTypes — 如果用户希望检查请求查询部分中是否存在针对特定内容类型的 SQL 注入攻击，请配置此选项。如果用户使用 GUI，可以在 Application Firewall 配置文件的“高级设置”->“配置文件设置”窗格中配置此参数。

跨站点脚本

HTML 跨站点脚本 (cross-site scripting) 检查会检查用户请求的标头和 POST 正文，以查找可能的跨站点脚本攻击。如果发现跨站点脚本，它会修改（转换）请求以使攻击无害，或者阻止请求。

注意： HTML 跨站点脚本 (cross-site scripting) 检查仅适用于内容类型、内容长度等。它不适用于 cookie。另请确保在用户 Web 应用防火墙配置文件中启用“checkRequestHeaders”选项。

为了防止用户受保护网站上的脚本被滥用以破坏用户网站的安全性，HTML 跨站点脚本检查会阻止违反同源规则的脚本。同源规则规定脚本不应访问或修改除其所在服务器之外的任何服务器上的内容。任何违反同源规则的脚本都称为跨站点脚本，而使用脚本访问或修改其他服务器上内容的做法称为跨站点脚本。跨站点脚本之所以是一个安全问题，是因为允许跨站点脚本的 Web 服务器可能会受到攻击，攻击脚本并非位于该 Web 服务器上，而是位于不同的 Web 服务器上，例如攻击者拥有和控制的 Web 服务器。

不幸的是，许多公司拥有大量违反同源规则的 JavaScript 增强型 Web 内容。如果用户在此类站点上启用 HTML 跨站点脚本检查，他们必须生成适当的例外，以使检查不会阻止合法活动。

Web Application Firewall 提供了多种操作选项来实现 HTML 跨站点脚本保护。除了“阻止”、“日志”、“统计”和“学习”操作外，用户还可以选择“转换跨站点脚本”，通过对提交请求中的脚本标签进行实体编码来使攻击无害。用户可以配置“检查完整 URL”以用于跨站点脚本参数，以指定他们是否不仅要检查查询参数，还要检查整个 URL 以检测跨站点脚本攻击。用户可以配置 InspectQueryContentTypes 参数，以检查请求查询部分中是否存在针对特定内容类型的跨站点脚本攻击。

用户可以部署放宽规则以避免误报。Web Application Firewall 学习引擎可以提供配置放宽规则的建议。

以下选项可用于为用户应用程序配置优化的 HTML 跨站点脚本保护：

• 阻止 — 如果用户启用阻止，则在请求中检测到跨站点脚本标签时会触发阻止操作。

• 日志 — 如果用户启用日志功能，HTML 跨站脚本检查会生成日志消息，指示其所采取的操作。如果禁用阻止，则对于检测到跨站脚本违规的每个标头或表单字段，都会生成单独的日志消息。但是，当请求被阻止时，只生成一条消息。同样，即使跨站脚本标签在多个字段中被转换，转换操作也会为每个请求生成一条日志消息。用户可以监控日志，以确定对合法请求的响应是否被阻止。日志消息数量的大幅增加可能表明存在发起攻击的企图。

• 统计信息 — 如果启用，统计信息功能会收集有关违规和日志的统计信息。统计计数器意外激增可能表明用户应用程序正在遭受攻击。如果合法请求被阻止，用户可能需要重新审视配置，以确定是否必须配置新的放宽规则或修改现有规则。

• 学习 — 如果用户不确定哪些放宽规则可能最适合其应用程序，他们可以使用学习功能根据学习到的数据生成 HTML 跨站脚本规则建议。Web 应用防火墙学习引擎监控流量并根据观察到的值提供学习建议。为了在不影响性能的情况下获得最佳效益，用户可能希望在短时间内启用学习选项，以获取规则的代表性样本，然后部署规则并禁用学习。

• 转换跨站脚本 — 如果启用，Web 应用防火墙会对与 HTML 跨站脚本检查匹配的请求进行以下更改：

  • 左尖括号 (<) 转换为 HTML 字符实体等效项 (<)

  • 右尖括号 (>) 转换为 HTML 字符实体等效项 (>)

这可确保浏览器不会解释不安全的 HTML 标签（例如 <script>），从而运行恶意代码。如果用户同时启用请求标头检查和转换，则请求标头中找到的任何特殊字符也会按上述方式修改。如果用户受保护网站上的脚本包含跨站脚本功能，但用户网站不依赖这些脚本正常运行，则用户可以安全地禁用阻止并启用转换。此配置可确保不会阻止任何合法的 Web 流量，同时阻止任何潜在的跨站脚本攻击。

• 检查完整 URL 中的跨站脚本 — 如果启用完整 URL 检查，Web 应用防火墙会检查整个 URL 中的 HTML 跨站脚本攻击，而不是仅检查 URL 的查询部分。

• 检查请求标头 — 如果启用请求标头检查，Web 应用防火墙会检查请求标头中的 HTML 跨站脚本攻击，而不是仅检查 URL。如果用户使用 GUI，他们可以在 Web 应用防火墙配置文件的“设置”选项卡中启用此参数。

• InspectQueryContentTypes — 如果配置了请求查询检查，应用防火墙会检查请求查询中特定内容类型的跨站脚本攻击。如果用户使用 GUI，他们可以在应用防火墙配置文件的“设置”选项卡中配置此参数。

重要提示： 作为流式传输更改的一部分，Web 应用防火墙对跨站脚本标签的处理方式已更改。在早期版本中，存在左括号 (<)、右括号 (>) 或左右括号 (<>) 都会被标记为跨站脚本违规。在包含请求端流式传输支持的版本中，此行为已更改。只有右括号字符 (>) 不再被视为攻击。即使存在左括号字符 (<)，请求也会被阻止，并被视为攻击。跨站脚本攻击会被标记。

缓冲区溢出检查

缓冲区溢出检查可检测尝试在 Web 服务器上导致缓冲区溢出的行为。如果 Web 应用防火墙检测到 URL、Cookie 或标头长度超过配置长度，它会阻止该请求，因为这可能导致缓冲区溢出。

缓冲区溢出检查可防止针对不安全的操作系统或 Web 服务器软件的攻击，这些软件在接收到超出其处理能力的数据字符串时可能会崩溃或行为异常。正确的编程技术通过检查传入数据并拒绝或截断过长字符串来防止缓冲区溢出。然而，许多程序不会检查所有传入数据，因此容易受到缓冲区溢出攻击。这个问题尤其影响旧版本的 Web 服务器软件和操作系统，其中许多仍在被使用。

缓冲区溢出安全检查允许用户配置“阻止”、“日志”和“统计信息”操作。此外，用户还可以配置以下参数：

• 最大 URL 长度。Web Application Firewall 允许的请求 URL 的最大长度。URL 长度超过此值的请求将被阻止。可能的值：0–65535。默认值：1024

• 最大 Cookie 长度。Web Application Firewall 允许的请求中所有 Cookie 的最大长度。Cookie 长度超过此值的请求将触发违规。可能的值：0–65535。默认值：4096

• 最大标头长度。Web Application Firewall 允许的 HTTP 标头的最大长度。标头长度超过此值的请求将被阻止。可能的值：0–65535。默认值：4096

• 查询字符串长度。传入请求中查询字符串允许的最大长度。查询长度超过此值的请求将被阻止。可能的值：0–65535。默认值：1024

• 总请求长度。传入请求允许的最大请求长度。长度超过此值的请求将被阻止。可能的值：0–65535。默认值：24820

虚拟修补/签名

签名提供特定的、可配置的规则，以简化保护用户网站免受已知攻击的任务。签名表示一种模式，该模式是针对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。一套丰富的预配置内置或原生规则提供了一种易于使用的安全解决方案，利用模式匹配的强大功能来检测攻击并防范应用程序漏洞。

用户可以创建自己的签名，也可以使用内置模板中的签名。Web Application Firewall 有两个内置模板：

• 默认签名：此模板包含一个预配置的列表，其中包含 1,300 多个签名，以及完整的 SQL 注入关键字、SQL 特殊字符串、SQL 转换规则和 SQL 通配符列表。它还包含用于跨站点脚本的拒绝模式，以及用于跨站点脚本的允许属性和标签。这是一个只读模板。用户可以查看内容，但不能在此模板中添加、编辑或删除任何内容。要使用它，用户必须创建一个副本。在自己的副本中，用户可以启用他们希望应用于其流量的签名规则，并指定当签名规则匹配流量时要执行的操作。

这些签名源自 SNORT 发布的规则：SNORT，SNORT 是一个开源入侵防御系统，能够执行实时流量分析以检测各种攻击和探测。

• *XPath 注入模式：此模板包含一组预配置的文字和 PCRE 关键字以及特殊字符串，用于检测 XPath（XML 路径语言）注入攻击。

空白签名：除了复制内置的默认签名模板外，用户还可以使用空白签名模板来创建签名对象。用户使用空白签名选项创建的签名对象不包含任何原生签名规则，但与默认模板一样，它包含所有 SQL/XSS 内置实体。

外部格式签名：Web Application Firewall 还支持外部格式签名。用户可以使用 Citrix Web Application Firewall 支持的 XSLT 文件导入第三方扫描报告。针对选定的扫描工具提供了一组内置 XSLT 文件，用于将外部格式文件转换为原生格式（请参阅本节后面列出的内置 XSLT 文件）。

虽然签名有助于用户降低暴露漏洞的风险，并在追求效率的同时保护用户关键任务 Web 服务器，但签名确实会带来额外的 CPU 处理成本。

根据用户应用程序需求选择正确的签名非常重要。仅启用与客户应用程序/环境相关的签名。

Citrix 在超过 10 种不同的平台/操作系统/技术类别中提供签名。

签名规则数据库非常庞大，因为攻击信息多年来一直在积累。因此，大多数旧规则可能不适用于所有网络，因为软件开发人员可能已经修补了它们，或者客户正在运行更新的操作系统版本。

安全特征码更新

Citrix Web Application Firewall 支持签名的自动和手动更新。 我们还建议启用签名的自动更新以保持最新。

这些签名文件托管在 AWS 环境中，因此允许网络防火墙出站访问 NetScaler® IP 以获取最新的签名文件非常重要。在处理实时流量时，更新 ADC 上的签名不会产生任何影响。

应用程序安全分析

“应用程序安全仪表板”提供了用户应用程序安全状态的整体视图。例如，它显示了关键安全指标，如安全违规、签名违规和威胁指数。应用程序安全仪表板还显示了针对发现的 Citrix ADC 实例的攻击相关信息，例如 SYN 攻击、小窗口攻击和 DNS 泛洪攻击。

注意：要查看应用程序安全仪表板的指标，应在用户希望监控的 Citrix ADC 实例上启用 AppFlow® for Security insight。

要在应用程序安全仪表板上查看 Citrix ADC 实例的安全指标：

1. 使用管理员凭据登录 Citrix ADM。

2. 导航到应用程序 > 应用程序安全仪表板，然后从“设备”列表中选择实例 IP 地址。

用户可以通过单击图表上绘制的气泡，进一步深入查看应用程序安全调查器上报告的差异。

ADM 上的集中学习

Citrix Web 应用防火墙 (WAF) 保护用户 Web 应用程序免受 SQL 注入和跨站点脚本 (XSS) 等恶意攻击。为防止数据泄露并提供正确的安全保护，用户必须监控其流量以发现威胁和有关攻击的实时可操作数据。有时，报告的攻击可能是误报，需要将其作为例外情况提供。

Citrix ADM 上的集中学习是一种重复模式过滤器，可让 WAF 学习用户 Web 应用程序的行为（正常活动）。根据监控，引擎会为应用于 HTTP 流量的每个安全检查生成建议规则或例外列表。

使用学习引擎部署放宽规则，比手动逐一配置所需的放宽规则要容易得多。

要部署学习功能，用户必须首先在用户 Citrix ADC 设备上配置 Web 应用防火墙配置文件（一组安全设置）。有关详细信息，请参阅创建 Web 应用防火墙配置文件：创建 Web 应用防火墙配置文件。

Citrix ADM 为每个安全检查生成例外（放宽）列表。作为管理员，用户可以在 Citrix ADM 中查看例外列表，并决定部署或跳过。

使用 Citrix ADM 中的 WAF 学习功能，用户可以：

• 配置具有以下安全检查的学习配置文件

  • 缓冲区溢出

  • HTML 跨站点脚本

    注意： 跨站点脚本的位置限制仅为 FormField。

  • 网页 SQL 注入

    注意：

    对于 HTML SQL 注入检查，用户必须在 Citrix ADC 实例中配置 set -sqlinjectionTransformSpecialChars ON 和 set -sqlinjectiontype sqlspclcharorkeywords。

• 检查 Citrix ADM 中的放宽规则并决定采取必要操作（部署或跳过）

• 通过电子邮件、Slack 和 ServiceNow 获取通知

• 使用仪表板查看放宽详情

要在 Citrix ADM 中使用 WAF 学习功能：

1. 配置学习配置文件：配置学习配置文件

2. 查看放宽规则：查看放宽规则和空闲规则

3. 使用 WAF 学习仪表板：查看 WAF 学习仪表板

样式簿

Citrix Web Application Firewall 是一种 Web 应用程序防火墙 (WAF)，可保护 Web 应用程序和站点免受已知和未知攻击，包括所有应用层和零日威胁。

Citrix ADM 现在提供了一个默认的 StyleBook，用户可以使用它更方便地在 Citrix ADC 实例上创建应用程序防火墙配置。

部署应用程序防火墙配置

以下任务可帮助您在业务网络中的 Citrix ADC 实例上部署负载平衡配置以及应用程序防火墙和 IP 信誉策略。

创建包含应用程序防火墙设置的 LB 配置

在 Citrix ADM 中，导航到 应用程序 > 配置 > 样式簿。 “样式簿”页面显示 Citrix 中所有可供客户使用的样式簿。

• ADM。向下滚动并找到包含应用程序防火墙策略和 IP 信誉策略的 HTTP/SSL 负载平衡 StyleBook。用户还可以通过输入名称来搜索 StyleBook，例如 lb-appfw.。单击 创建配置。

StyleBook 将作为用户界面页面打开，用户可以在其中输入此 StyleBook 中定义的所有参数的值。

• 请为以下参数输入相应的值：

  • 负载均衡应用程序名称。部署在用户网络中带有应用程序防火墙的负载均衡配置的名称。

  • 负载均衡应用程序虚拟 IP 地址。Citrix ADC 实例接收客户端请求的虚拟 IP 地址。

  • 负载均衡应用程序虚拟端口。用户访问负载均衡应用程序时使用的 TCP 端口。

  • 负载均衡应用程序协议。从列表中选择前端协议。

  • 应用程序服务器协议。选择应用程序服务器的协议。

• 作为选项，用户可以启用和配置高级负载均衡器设置。

• （可选）用户还可以设置身份验证服务器，用于对负载均衡虚拟服务器的流量进行身份验证。

• 单击“服务器 IP 和端口”部分中的“+”以创建应用程序服务器及其可访问的端口。

• 用户还可以为应用程序服务器创建 FQDN 名称。

• 用户还可以指定 SSL 证书的详细信息。

• 用户还可以在目标 Citrix ADC 实例中创建监视器。

• 要在虚拟服务器上配置应用程序防火墙，请启用 WAF 设置。

如果用户希望将应用程序防火墙设置应用于该 VIP 上的所有流量，请确保应用程序防火墙策略规则为 true。否则，请指定 Citrix ADC 策略规则以选择要应用应用程序防火墙设置的请求子集。接下来，选择要应用的配置文件类型 - HTML 或 XML。

• （可选）用户可以通过启用“应用程序防火墙配置文件设置”复选框来配置详细的应用程序防火墙配置文件设置。

• （可选）如果用户要配置应用程序防火墙签名，请输入在要部署虚拟服务器的 Citrix ADC 实例上创建的签名对象的名称。

注意：

用户无法使用此 StyleBook 创建签名对象。

• 接下来，用户还可以配置任何其他应用程序防火墙配置文件设置，例如 StartURL 设置、DenyURL 设置等。

有关应用程序防火墙和配置设置的更多信息，请参阅应用程序防火墙。

• 在“目标实例”部分中，选择要部署带有应用程序防火墙的负载平衡虚拟服务器的 Citrix ADC 实例。

注意： 用户还可以单击刷新图标，将 Citrix ADM 中最近发现的 Citrix ADC 实例添加到此窗口中可用的实例列表中。

• 用户还可以启用 IP 信誉检查 以识别发送不需要请求的 IP 地址。用户可以使用 IP 信誉列表来抢先拒绝来自信誉不佳的 IP 的请求。

提示： Citrix 建议用户选择“试运行”以检查必须在目标实例上创建的配置对象，然后再在该实例上运行实际配置。

成功创建配置后，StyleBook 会创建所需的负载平衡虚拟服务器、应用程序服务器、服务、服务组、应用程序防火墙标签、应用程序防火墙策略，并将它们绑定到负载平衡虚拟服务器。

下图显示了在每个服务器中创建的对象：

• 要查看在 Citrix ADM 上创建的 ConfigPack，请导航到 应用程序 > 配置。

安全洞察分析

暴露在互联网上的 Web 和 Web 服务应用程序越来越容易受到攻击。为了保护应用程序免受攻击，用户需要了解过去、现在和即将发生的威胁的性质和程度，以及关于攻击的实时可操作数据和对策建议。Security Insight 提供了一个单一面板解决方案，可帮助用户评估用户应用程序安全状态并采取纠正措施来保护用户应用程序。

安全洞察的工作原理

Security Insight 是一种直观的基于仪表板的安全分析解决方案，可让用户全面了解与用户应用程序相关的威胁环境。Security Insight 包含在 Citrix ADM 中，它会根据用户应用程序防火墙和 ADC 系统安全配置定期生成报告。报告包含每个应用程序的以下信息：

• 威胁指数。一个一位数评级系统，指示对应用程序攻击的关键程度，无论应用程序是否受 ADC 设备保护。对应用程序的攻击越关键，该应用程序的威胁指数就越高。值范围为 1 到 7。

威胁指数基于攻击信息。攻击相关信息（例如违规类型、攻击类别、位置和客户端详细信息）可让用户深入了解对应用程序的攻击。仅当发生违规或攻击时，违规信息才会发送到 Citrix ADM。许多漏洞和弱点会导致较高的威胁指数值。

• 安全指数。一个一位数评级系统，指示用户配置 ADC 实例以保护应用程序免受外部威胁和漏洞的安全性。应用程序的安全风险越低，安全指数就越高。值范围为 1 到 7。

安全指数同时考虑了应用程序防火墙配置和 ADC 系统安全配置。要获得高安全指数值，这两种配置都必须强大。例如，如果已实施严格的应用程序防火墙检查，但未采用 ADC 系统安全措施（例如为 nsroot 用户设置强密码），则应用程序将被分配较低的安全指数值。

• 可操作信息。用户需要这些信息来降低威胁指数并提高安全指数，从而显著提高应用程序安全性。例如，用户可以查看有关违规行为、应用程序防火墙和其他安全功能的现有和缺失安全配置、应用程序受攻击的速率等信息。

配置安全洞察

注意： 安全洞察仅在具有高级许可证的 ADC 实例或具有 AppFirewall 许可证的 ADC Advanced 上受支持。

要在 ADC 实例上配置安全洞察，首先要配置应用程序防火墙配置文件和应用程序防火墙策略，然后全局绑定应用程序防火墙策略。

然后，启用 AppFlow 功能，配置 AppFlow 收集器、操作和策略，并全局绑定策略。当用户配置收集器时，他们必须指定希望在其上监控报告的 Citrix ADM 服务代理的 IP 地址。

在 ADC 实例上配置安全洞察

• 运行以下命令以配置应用程序防火墙配置文件和策略，并将应用程序防火墙策略全局绑定或绑定到负载均衡虚拟服务器。

添加 应用防火墙 配置文件 <name> [-defaults ( 基本或高级 )]

set appfw profile <name> [-startURLAction <startURLAction> …]

添加 appfw 策略 <名称> <规则> <配置文件名称>

bind appfw global <policyName> <priority>

或者，

绑定 lb vserver <负载均衡虚拟服务器> -策略名称 <策略> -优先级 <优先级>

示例：

add appfw profile pr_appfw -defaults advanced

set appfw profile pr_appfw -startURLaction log stats learn

add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw

bind appfw global pr_appfw_pol 1

or,

bind lb vserver outlook –policyName pr_appfw_pol –priority "20"

<!--NeedCopy-->

• 运行以下命令以启用 AppFlow 功能，配置 AppFlow 收集器、操作和策略，并将策略全局绑定或绑定到负载均衡虚拟服务器：

添加 AppFlow 收集器 <名称> -IP地址 <IP地址>

set appflow param [-SecurityInsightRecordInterval <secs>] [-SecurityInsightTraffic ( ENABLED or DISABLED )]

添加 应用流 动作 <名称> -收集器 <字符串>

添加 应用流 策略 <名称> <规则> <动作>

绑定 appflow 全局 <策略名称> <优先级> [<跳转优先级表达式>] [-类型 <类型>]

或者，

绑定 lb 虚拟服务器 <虚拟服务器> -策略名称 <策略> -优先级 <优先级>

示例：

add appflow collector col -IPAddress 10.102.63.85

set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED

add appflow action act1 -collectors col

add appflow action af_action_Sap_10.102.63.85 -collectors col

add appflow policy pol1 true act1

add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85

bind appflow global pol1 1 END -type REQ_DEFAULT

or,

bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20"

<!--NeedCopy-->

通过 Citrix ADM 启用安全洞察

1. 导航到 网络 > 实例 > Citrix ADC 并选择实例类型。例如，VPX。

2. 选择实例，然后从 选择操作 列表中选择 配置分析。

3. 在 在虚拟服务器上配置分析 窗口中：

   • 选择要启用安全洞察的虚拟服务器，然后单击 启用分析。

   显示 启用分析 窗口。

   • 选择 安全洞察

   • 在 高级选项 下，选择 Logstream 或 IPFIX 作为传输模式

   • 表达式默认为 true

   • 单击 确定

注意：

• 如果用户选择未获得许可的虚拟服务器，Citrix ADM 将首先许可这些虚拟服务器，然后启用分析功能。

• 对于管理分区，仅支持 Web Insight。

用户单击 确定 后，Citrix ADM 将处理以在所选虚拟服务器上启用分析功能。

注意： 当用户创建组时，他们可以为组分配角色，为组提供应用程序级访问权限，并将用户分配给组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。客户用户现在可以仅查看其获得授权的应用程序（虚拟服务器）的所有洞察报告。有关组以及将用户分配给组的更多信息，请参阅在 Citrix ADM 上配置组：在 Citrix ADM 上配置组。

阈值

用户可以在安全洞察中设置和查看应用程序的安全指数和威胁指数阈值。

设置阈值：

• 导航到 系统 > 分析设置 > 阈值，然后选择 添加。

• 在“流量类型”字段中选择流量类型为安全，并在其他相应的字段（如名称、持续时间和实体）中输入所需信息。

• 在规则部分，使用“度量”、“比较器”和“值”字段设置阈值。 例如，“威胁指数” “>” “5”

• 单击创建。

查看阈值违规：

• 导航到分析 > 安全洞察 > 设备，然后选择 ADC 实例。

• 在应用程序部分，用户可以在“阈值违规”列中查看每个虚拟服务器发生的阈值违规次数。

安全洞察用例

以下用例描述了用户如何使用安全洞察来评估应用程序的威胁暴露并改进安全措施。

获取威胁环境概述

在此用例中，用户拥有一组暴露于攻击的应用程序，并且已配置 Citrix ADM 来监视威胁环境。用户需要经常审查威胁指数、安全指数以及应用程序可能遭受的任何攻击的类型和严重性，以便他们可以首先关注最需要关注的应用程序。安全洞察仪表板提供了用户选择的时间段内，所选 ADC 设备的用户应用程序所经历的威胁摘要。它显示了应用程序列表、它们的威胁和安全指数，以及所选时间段内的攻击总数。

例如，用户可能正在监视 Microsoft Outlook、Microsoft Lync、SharePoint 和 SAP 应用程序，并且用户可能希望查看这些应用程序的威胁环境摘要。

要获取威胁环境摘要，请登录 Citrix ADM，然后导航到分析 > 安全洞察。

每个应用程序的关键信息都会显示。默认时间段为 1 小时。

要查看不同时间段的信息，请从左上角的列表中选择一个时间段。

要查看不同 ADC 实例的摘要，请在“设备”下单击该 ADC 实例的 IP 地址。要按给定列对应用程序列表进行排序，请单击列标题。

确定应用程序的威胁暴露情况

在查看 Security Insight 控制板上的威胁环境摘要以识别具有高威胁指数和低安全指数的应用程序后，用户希望在决定如何保护它们之前确定其威胁暴露情况。也就是说，用户希望确定导致其指数值下降的攻击类型和严重性。用户可以通过查看应用程序摘要来确定应用程序的威胁暴露情况。

在此示例中，Microsoft Outlook 的威胁指数值为 6，用户想知道哪些因素导致了如此高的威胁指数。

要确定 Microsoft Outlook 的威胁暴露情况，请在“Security Insight”控制板上单击“Outlook”。应用程序摘要包含一个地图，用于识别服务器的地理位置。

单击“威胁指数”>“安全检查违规”，然后查看显示的违规信息。

单击“签名违规”，然后查看显示的违规信息。

确定应用程序的现有和缺失安全配置

在查看应用程序的威胁暴露情况后，用户希望确定该应用程序已有哪些应用程序安全配置以及缺少哪些配置。用户可以通过深入查看应用程序的安全指数摘要来获取此信息。

安全指数摘要向用户提供了关于以下安全配置的有效性信息，即这些配置在实际应用中的表现和效果：

• 应用程序防火墙配置。显示有多少签名和安全实体未配置。

• Citrix ADM 系统安全。显示有多少系统安全设置未配置。

在上一个用例中，用户查看了 Microsoft Outlook 的威胁暴露情况，其威胁指数值为 6。现在，用户想知道 Outlook 有哪些安全配置，以及可以添加哪些配置来提高其威胁指数。

在 Security Insight 仪表板上，单击 Outlook，然后单击“安全指数”选项卡。查看“安全指数摘要”区域中提供的信息。

在“应用程序防火墙配置”节点上，单击 Outlook_Profile，并查看饼图中显示的安全检查和签名违规信息。

查看应用程序防火墙摘要表中每种保护类型的配置状态。要按列对表进行排序，请单击列标题。

单击“Citrix ADM 系统安全”节点，并查看系统安全设置和 Citrix 建议，以提高应用程序安全指数。

识别需要立即关注的应用程序

需要立即关注的应用程序是那些威胁指数高而安全指数低的应用程序。

在此示例中，Microsoft Outlook 和 Microsoft Lync 的威胁指数值均为 6，但 Lync 的安全指数在这两者中较低。因此，用户可能需要将注意力集中在 Lync 上，然后再改善 Outlook 的威胁环境。

确定给定时间段内的攻击次数

用户可能希望确定在给定时间点对给定应用程序发生了多少次攻击，或者他们可能希望研究特定时间段内的攻击率。

在“安全洞察”页面上，单击任何应用程序，然后在“应用程序摘要”中，单击违规数量。“总违规”页面以图形方式显示一小时、一天、一周和一个月内的攻击。

“应用程序摘要”表提供了有关攻击的详细信息。其中一些如下所示：

• 攻击时间

• 发生攻击的客户端的 IP 地址

• 严重性

• 违规行为类别

• 攻击源 URL 和其他详细信息。

虽然用户始终可以在如上图所示的小时报告中查看攻击时间，但现在他们可以查看聚合报告的攻击时间范围，即使是每日或每周报告。如果用户从时间段列表中选择“1 天”，则安全洞察报告将显示所有聚合攻击，并且攻击时间以一小时范围显示。如果用户选择“1 周”或“1 个月”，则所有攻击都将聚合，并且攻击时间以一天范围显示。

获取有关安全漏洞的详细信息

用户可能希望查看应用程序上的攻击列表，并深入了解攻击的类型和严重性、ADC 实例采取的操作、请求的资源以及攻击源。

例如，用户可能希望确定有多少针对 Microsoft Lync 的攻击被阻止、请求了哪些资源以及源的 IP 地址。

在 Security Insight 控制板上，单击 Lync > 总违规。在表中，单击 已采取的操作 列标题中的筛选器图标，然后选择 已阻止。

有关请求的资源的信息，请查看 URL 列。有关攻击源的信息，请查看 客户端 IP 列。

查看日志表达式详细信息

Citrix ADC 实例使用通过应用程序防火墙配置文件配置的日志表达式，对用户企业中应用程序上的攻击采取措施。在 Security Insight 中，用户可以查看 ADC 实例使用的日志表达式返回的值。这些值包括请求头、请求正文等。除了日志表达式值之外，用户还可以查看日志表达式名称以及 ADC 实例用于对攻击采取措施的应用程序防火墙配置文件中定义的日志表达式的注释。

先决条件：

确保用户：

• 在应用程序防火墙配置文件中配置日志表达式。有关详细信息，请参阅应用程序防火墙。

• 在 Citrix ADM 中启用基于日志表达式的 Security Insights 设置。执行以下操作：

  • 导航到 分析 > 设置，然后单击 启用分析功能。

  • 在“启用分析功能”页面中，在 基于日志表达式的 Security Insight 设置 部分下选择 启用 Security Insight，然后单击 确定。

例如，用户可能希望查看 ADC 实例针对用户企业中 Microsoft Lync 上的攻击所采取的操作返回的日志表达式的值。

在 Security Insight 控制板上，导航到 Lync > 总违规。在“应用程序摘要”表中，单击 URL 以在 违规信息 页面中查看违规的完整详细信息，包括日志表达式名称、注释以及 ADC 实例针对该操作返回的值。

在部署配置之前，对安全指数进行评估。

安全漏洞通常在用户将安全配置部署到 ADC 实例后发生，但用户可能希望在部署之前评估安全配置的有效性。

例如，用户可能希望评估 IP 地址为 10.102.60.27 的 ADC 实例上 SAP 应用程序配置的安全指数。

在 Security Insight 仪表板的 Devices 下，单击用户配置的 ADC 实例的 IP 地址。用户可以看到威胁指数和攻击总数均为 0。威胁指数直接反映了应用程序受到的攻击数量和类型。零攻击表示应用程序未受到任何威胁。

单击 Sap > 安全指数 > SAP_Profile 并评估显示的安全指数信息。

在应用程序防火墙摘要中，用户可以查看不同保护设置的配置状态。如果某个设置配置为日志记录或未配置，则应用程序将被分配较低的安全指数。

安全违规

查看应用程序安全违规详细信息

暴露在互联网上的 Web 应用程序变得极易受到攻击。Citrix ADM 允许用户可视化可操作的违规详细信息，以保护应用程序免受攻击。导航到 Security > Security Violations 以获取一站式解决方案，用于：

• 根据类别（例如 Network、Bot 和 WAF）访问应用程序安全违规

• 采取纠正措施以保护应用程序

要在 Citrix ADM 中查看安全违规，请确保：

• 用户拥有 Citrix ADC 实例的高级许可证（用于 WAF 和 BOT 违规）。

• 用户已在负载平衡或内容交换虚拟服务器上应用了许可证（用于 WAF 和 BOT）。有关更多信息，请参阅：在虚拟服务器上管理许可。

• 用户启用更多设置。有关更多信息，请参阅 Citrix 产品文档中“设置”部分提供的过程：设置。

违规类别

Citrix ADM 允许用户查看以下违规：

** - 用户必须在 Citrix ADM 中配置账户接管设置。请参阅账户接管中提到的先决条件：账户接管。

除了这些违规行为，用户还可以在 WAF 和 Bot 类别下分别查看以下安全洞察和 Bot 洞察违规行为：

设置

用户必须启用高级安全分析并将Web 事务设置设置为所有，才能在 Citrix ADM 中查看以下违规行为：

• 异常高的上传事务 (WAF)

• 异常高的下载事务 (WAF)

• 过多的唯一 IP (WAF)

• 账户盗用 (BOT)

对于其他违规行为，请确保指标收集器已启用。默认情况下，指标收集器在 Citrix ADC 实例上处于启用状态。有关详细信息，请参阅：配置智能应用程序分析。

启用高级安全分析

• 导航到网络 > 实例 > Citrix ADC，然后选择实例类型。例如，MPX。

• 选择 Citrix ADC 实例，并从选择操作列表中，选择配置分析。

• 选择虚拟服务器并单击启用分析。

• 在启用分析窗口中：

  • 选择Web Insight。用户选择 Web Insight 后，只读高级安全分析选项将自动启用。

  注意： 高级安全分析选项仅对高级许可的 ADC 实例显示。

  • 选择 Logstream 作为传输模式

  • 表达式默认为 true

  • 单击 确定

启用 Web 事务设置

• 导航到 分析 > 设置。

设置页面随即显示。

• 单击 启用分析功能。

• 在 Web 事务设置下，选择所有。

• 单击 确定。

安全违规仪表板

在安全违规仪表板中，用户可以查看：

• 所有 ADC 实例和应用程序中发生的总违规。总违规数根据所选时间段显示。

• 每个类别下的违规总数。

• 受影响的 ADC 总数、受影响的应用程序总数以及根据总发生次数和受影响应用程序确定的主要违规。

违规详情

对于每个违规，Citrix ADM 都会在特定时间段内监控行为，并检测异常行为的违规。单击每个选项卡可查看违规详情。用户可以查看以下详细信息：

• 总发生次数、上次发生时间以及受影响的应用程序总数

• 在事件详情下，用户可以查看：

  • 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

  • 指示违规的图表。

  拖动并选择列出违规的图表，以缩小违规搜索范围。

  

  单击 重置缩放 以重置缩放结果

  • 建议操作，建议用户排查问题

  • 其他违规详情，例如违规发生时间和检测消息

机器人洞察

在 Citrix ADM 中使用机器人洞察

用户在 Citrix ADC 中配置机器人管理后，必须在虚拟服务器上启用 机器人洞察 才能在 Citrix ADM 中查看洞察。

要启用 机器人洞察：

• 导航到 网络 > 实例 > Citrix ADC 并选择实例类型。例如，VPX。

• 选择实例，然后从 选择操作 列表中选择 配置分析。

• 选择虚拟服务器，然后单击 启用分析。

• 在 启用分析 窗口中：

  • 选择 机器人洞察

  • 在 高级选项 下，选择 日志流。

  

  • 单击 确定。

启用 机器人洞察 后，导航到 分析 > 安全 > 机器人洞察。

1. 时间列表以查看机器人详细信息

2. 拖动滑块选择特定时间范围，然后单击 Go 以显示自定义结果

3. 受机器人影响的总实例数

4. 所选实例的虚拟服务器，包含机器人攻击总数

   • 机器人总数 – 指示为虚拟服务器找到的机器人攻击总数（包括所有机器人类别）。

   • 人工浏览器总数 – 指示访问虚拟服务器的人工用户总数。

   • 机器人与人工比率 – 指示访问虚拟服务器的人工用户与机器人之间的比率。

   • 签名机器人、指纹机器人、基于速率的机器人、IP 信誉机器人、允许列表机器人 和 阻止列表机器人 – 指示根据配置的机器人类别发生的机器人攻击总数。有关机器人类别的更多信息，请参阅：在 Citrix ADC 中配置机器人检测技术。

5. 单击 > 以图表格式查看机器人详细信息。

查看事件历史记录

用户可以在 事件历史记录 中查看机器人签名更新，条件是：

• Citrix ADC 实例中添加了新的机器人签名。

• Citrix ADC 实例中更新了现有机器人签名。

用户可以在机器人洞察页面中选择时间段以查看事件历史记录。

以下图表显示了如何从 AWS 云检索机器人签名，在 Citrix ADC 上更新，并在 Citrix ADM 上查看签名更新摘要。

1. 机器人签名自动更新调度程序从 AWS URI 检索映射文件。

2. 将映射文件中的最新签名与 ADC 设备中的现有签名进行比较。

3. 从 AWS 下载新签名并验证签名的完整性。

4. 使用机器人签名文件中的新签名更新现有机器人签名。

5. 生成 SNMP 警报并将签名更新摘要发送到 Citrix ADM。

查看机器人

单击虚拟服务器以查看应用程序摘要

1. 提供应用程序摘要详细信息，例如：

   • 平均 RPS – 指示虚拟服务器上每秒收到的平均机器人事务请求数 (RPS)。

   • 按严重性分类的机器人 – 指示根据严重性发生的最高机器人事务。严重性分为关键、高、中和低。

   例如，如果虚拟服务器有 11770 个高严重性机器人和 1550 个关键严重性机器人，则 Citrix ADM 会在按严重性分类的机器人下显示关键 1.55 K。

   • 最大僵尸程序类别 – 表示根据僵尸程序类别发生的最高僵尸程序攻击。

   例如，如果虚拟服务器有 8000 个列入阻止列表的僵尸程序、5000 个列入允许列表的僵尸程序和 10000 个超出速率限制的僵尸程序，则 Citrix ADM 会在最大僵尸程序类别下显示超出速率限制 10 K。

   • 最大地理来源 – 表示根据区域发生的最高僵尸程序攻击。

   例如，如果虚拟服务器在圣克拉拉有 5000 次僵尸程序攻击，在伦敦有 7000 次僵尸程序攻击，在班加罗尔有 9000 次僵尸程序攻击，则 Citrix ADM 会在最大地理来源下显示班加罗尔 9 K。

   • 平均僵尸程序流量百分比 – 表示人类与僵尸程序的比率。

2. 在地图视图中显示基于位置的僵尸程序攻击的严重性

3. 显示僵尸程序攻击的类型（良好、恶意和所有）

4. 显示僵尸程序攻击总数以及相应的配置操作。例如，如果您已配置：

   • IP 地址范围（192.140.14.9 到 192.140.14.254）作为阻止列表僵尸程序，并选择“丢弃”作为这些 IP 地址范围的操作

   • IP 范围（192.140.15.4 到 192.140.15.254）作为阻止列表僵尸程序，并选择创建日志消息作为这些 IP 范围的操作

     在这种情况下，Citrix ADM 会显示：

     • 列入阻止列表的僵尸程序总数

     • 已丢弃下的僵尸程序总数

     • 日志下的僵尸程序总数

查看 CAPTCHA 僵尸程序

在网页中，验证码旨在识别传入流量是来自人类还是自动化机器人。要在 Citrix ADM 中查看验证码活动，用户必须在 Citrix ADC 实例中将验证码配置为 IP 信誉和设备指纹检测技术的机器人操作。有关详细信息，请参阅：配置机器人管理。

以下是 Citrix ADM 在 Bot insight 中显示的验证码活动：

• 验证码尝试次数超出限制 – 表示登录失败后进行的验证码尝试的最大次数

• 验证码客户端已静音 – 表示由于这些请求之前被验证码挑战检测为恶意机器人而被丢弃或重定向的客户端请求数量

• 人类 – 表示人类用户执行的验证码输入

• 无效的验证码响应 – 表示当 Citrix ADC 发送验证码挑战时，从机器人或人类接收到的不正确验证码响应的数量

查看机器人陷阱

要在 Citrix ADM 中查看机器人陷阱，您必须在 Citrix ADC 实例中配置机器人陷阱。有关详细信息，请参阅：配置机器人管理。

为了识别机器人陷阱，网页中启用了一个脚本，该脚本对人类隐藏，但对机器人不隐藏。当机器人访问此脚本时，Citrix ADM 会识别并报告机器人陷阱。

单击虚拟服务器并选择 零像素请求

查看机器人详细信息

有关更多详细信息，请单击 机器人类别 下的机器人攻击类型。

将显示所选验证码类别的攻击时间、机器人攻击总数等详细信息。

用户还可以拖动条形图，选择要显示机器人攻击的特定时间范围。

要获取有关机器人攻击的更多信息，请单击以展开。

• 实例 IP – 表示 Citrix ADC 实例所使用的 IP 地址

• 机器人总数 – 表示该特定时间发生的机器人攻击总数

• HTTP 请求 URL – 表示为验证码报告配置的 URL

• 国家/地区代码 – 表示发生机器人攻击的国家/地区

• 区域 – 表示发生机器人攻击的区域

• 配置文件名称 – 表示用户在配置期间提供的配置文件名称

高级搜索

用户还可以使用搜索文本框和持续时间列表，根据用户要求查看机器人详细信息。当用户单击搜索框时，搜索框会提供以下搜索建议列表。

• 实例 IP – 思杰 ADC 实例 IP 地址

• 客户端 IP – 客户端 IP 地址

• 机器人类型 – 机器人类型，例如好或坏

• Severity – 机器人攻击的严重性

• Action-Taken – 机器人攻击后采取的操作，例如丢弃、不操作、重定向

• Bot-Category – 机器人攻击的类别，例如阻止列表、允许列表、指纹等。用户可以根据类别为其关联机器人操作

• Bot-Detection – 用户在 Citrix ADC 实例上配置的机器人检测类型（阻止列表、允许列表等）

• Location – 发生机器人攻击的区域/国家

• Request-URL – 可能存在机器人攻击的 URL

用户还可以在用户搜索查询中使用运算符来缩小搜索范围。例如，如果用户想要查看所有不良机器人：

• 单击搜索框并选择 Bot-Type

• 再次单击搜索框并选择运算符 =

• 再次单击搜索框并选择 Bad

• 单击“搜索”以显示结果

机器人违规详细信息

过多的客户端连接

当客户端尝试访问 Web 应用程序时，客户端请求在 Citrix ADC 设备中处理，而不是直接连接到服务器。Web 流量包含机器人，并且机器人可以比人类更快地执行各种操作。

使用过多的客户端连接指示器，用户可以分析应用程序通过机器人接收到异常高的客户端连接的场景。

在事件详细信息下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 显示所有违规的图表

• 违规事件的发生时间

• 违规的检测消息，指示与应用程序进行事务处理的总 IP 地址数

• 应用程序可以接收的已接受 IP 地址范围

账户盗用

注意： 确保用户启用高级安全分析和 Web 事务选项。有关更多信息，请参阅设置：设置。

一些恶意机器人可以窃取用户凭据并执行各种网络攻击。这些恶意机器人被称为不良机器人。识别不良机器人并保护用户设备免受任何形式的高级安全攻击至关重要。

先决条件

用户必须在 Citrix ADM 中配置账户盗用设置。

• 导航到 分析 > 设置 > 安全违规

• 单击 添加

• 在 添加应用程序 页面上，指定以下参数：

  • 应用程序 - 从列表中选择虚拟服务器。

  • 方法 - 从列表中选择 HTTP 方法类型。可用选项包括 GET、PUSH、POST 和 UPDATE。

  • 登录 URL 和成功响应代码 - 指定 Web 应用程序的 URL，并指定用户希望 Citrix ADM 报告来自恶意机器人的帐户盗用违规的 HTTP 状态代码（例如，200）。

  • 单击 添加。

用户配置设置后，使用 帐户盗用 指标，用户可以分析恶意机器人是否尝试盗用用户帐户，通过多次请求以及凭据。

在 事件详细信息 下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 指示所有违规的图表

• 违规事件发生的时间

• 违规的检测消息，指示异常失败登录活动的总量、成功登录的次数以及失败登录的次数

• 恶意机器人IP地址。单击可查看详细信息，例如时间、IP地址、成功登录总数、失败登录总数以及来自该IP地址的请求总数。

异常高上传量

Web 流量还包括用于上传的数据。例如，如果用户平均每天上传数据量为 500 MB，而用户上传了 2 GB 的数据，则这可以被视为异常高的上传数据量。机器人也能够比人类更快地处理数据上传。

使用异常高上传量指标，用户可以分析通过机器人向应用程序上传数据的异常情况。

在事件详细信息下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 指示所有违规的图表

• 违规事件发生的时间

• 针对此违规行为的检测消息，其中包含已处理的总上传数据量

• 应用程序接受的上传数据范围

异常高下载量

与高上传量类似，机器人也可以比人类更快地执行下载。

使用异常高下载量指标，用户可以通过机器人分析应用程序下载数据的异常情况。

在事件详细信息下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 显示所有违规的图表

• 违规事件的发生时间

• 针对该违规的检测消息，指示已处理的总下载数据量

• 应用程序下载数据的可接受范围

异常高请求率

用户可以控制应用程序的入站和出站流量。机器人攻击可能会导致异常高的请求率。例如，如果用户将应用程序配置为允许每分钟 100 个请求，但观察到 350 个请求，则这可能是一次机器人攻击。

使用异常高请求率指标，用户可以分析应用程序收到的异常请求率。

在事件详细信息下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 显示所有违规的图表

• 违规行为的发生时间

• 违规的检测消息，其中包含收到的总请求数，以及超出预期请求的过多请求所占的百分比

• 由应用程序提供的预期请求速率的可接受范围

使用案例

机器人

有时，传入的网络流量由机器人组成，大多数组织都遭受机器人攻击。Web 和移动应用程序是业务的重要收入驱动因素，大多数公司都面临高级网络攻击（例如机器人）的威胁。机器人是一种软件程序，它以比人类快得多的速度自动重复执行某些操作。机器人可以与网页交互、提交表单、执行操作、扫描文本或下载内容。它们可以访问视频、发布评论并在社交媒体平台上发推文。一些被称为聊天机器人的机器人可以与人类用户进行基本对话。执行有用服务（例如客户服务、自动化聊天和搜索引擎爬虫）的机器人是好机器人。同时，可以从网站抓取或下载内容、窃取用户凭据、发送垃圾邮件内容以及执行其他类型网络攻击的机器人是坏机器人。鉴于大量坏机器人执行恶意任务，管理机器人流量并保护用户 Web 应用程序免受机器人攻击至关重要。通过使用 Citrix 机器人管理，用户可以检测传入的机器人流量并缓解机器人攻击，以保护用户 Web 应用程序。Citrix 机器人管理有助于识别坏机器人并保护用户设备免受高级安全攻击。它检测好机器人和坏机器人，并识别传入流量是否是机器人攻击。通过使用机器人管理，用户可以缓解攻击并保护用户 Web 应用程序。

Citrix ADC 机器人管理提供以下优势：

• 防御机器人、脚本和工具包。使用基于静态签名的防御和设备指纹识别提供实时威胁缓解。

• 中和自动化基本和高级攻击。防止应用程序层 DDoS、密码喷射、密码填充、价格抓取器和内容抓取器等攻击。

• 保护用户 API 和投资。保护用户 API 免受不必要的滥用，并保护基础设施投资免受自动化流量的影响。

用户可以通过使用 Citrix 机器人管理系统受益的一些用例如下：

• 暴力破解登录。政府门户网站不断受到机器人攻击，这些机器人试图暴力破解用户登录。该组织通过查看 Web 日志并发现特定用户反复受到快速登录尝试和使用字典攻击方法递增密码的攻击来发现此攻击。根据法律，他们必须保护自己和用户。通过部署 Citrix 机器人管理，他们可以使用设备指纹识别和速率限制技术来阻止暴力破解登录。

• 阻止恶意机器人并对未知机器人进行设备指纹识别。一个网站实体每天有 100,000 名访问者。他们必须升级底层基础设施，并且花费巨大。在最近的一次审计中，团队发现 40% 的流量来自机器人，这些机器人抓取内容、收集新闻、检查用户资料等等。他们希望阻止这些流量以保护用户并降低托管成本。通过使用机器人管理，他们可以阻止已知的恶意机器人，并对正在攻击其网站的未知机器人进行设备指纹识别。通过阻止这些机器人，他们可以将机器人流量减少 90%。

• 允许好机器人。“好”机器人旨在帮助企业和消费者。它们自 20 世纪 90 年代初第一批搜索引擎机器人被开发用于抓取互联网以来就已存在。没有它们，Google、Yahoo 和 Bing 将不复存在。其他主要以消费者为中心的好机器人示例包括：

  • 聊天机器人（又称 chatterbots、智能机器人、对话机器人、即时通讯机器人、社交机器人、会话机器人）通过文本或声音与人类交互。最早的文本用途之一是用于在线客户服务和短信应用程序，如 Facebook Messenger 和 iPhone Messages。Siri、Cortana 和 Alexa 都是聊天机器人；但移动应用程序也是，它们允许用户订购咖啡并告知何时准备好，允许用户观看电影预告片并查找当地影院放映时间，或者在用户请求乘车服务时向他们发送汽车型号和车牌的照片。

  • 购物机器人搜寻互联网，寻找用户正在搜索的商品的最低价格。

  • 监控机器人检查网站的健康状况（可用性和响应能力）。Downdetector 是一个独立的网站，提供网站和其他类型服务的实时状态信息，包括中断情况。有关 Downdetector 的更多信息，请参阅：Downdetector。

机器人检测

使用 Citrix ADC GUI 配置机器人管理

用户可以通过首先在设备上启用该功能来配置 Citrix ADC 机器人管理。启用后，用户可以创建机器人策略，将传入流量评估为机器人流量，并将流量发送到机器人配置文件。然后，用户创建机器人配置文件，并将该配置文件绑定到机器人签名。作为替代方案，用户还可以克隆默认机器人签名文件，并使用该签名文件配置检测技术。创建签名文件后，用户可以将其导入机器人配置文件。所有这些步骤按以下顺序执行：

1. 启用机器人管理功能

2. 配置机器人管理设置

3. 克隆 Citrix 机器人默认签名

4. 导入 Citrix 机器人签名

5. 配置机器人签名设置

6. 创建机器人配置文件

7. 创建机器人策略

启用机器人管理功能

请按照以下步骤操作以启用机器人管理：

1. 在导航窗格中，展开 System，然后单击 Settings。

2. 在 配置高级功能 页面上，选中 Bot 管理 复选框。

3. 单击 OK，然后单击 Close。

克隆 Bot 签名文件

按照以下步骤克隆 Bot 签名文件：

1. 导航到 安全 > Citrix Bot 管理 和 签名。

2. 在 Citrix Bot 管理签名 页面中，选择默认的 Bot 签名记录，然后单击 克隆。

3. 在 Clone Bot Signature 页面中，输入名称并编辑签名数据。

4. 单击 创建。

导入 Bot 签名文件

如果用户有自己的签名文件，则可以将其作为文件、文本或 URL 导入。执行以下步骤导入 Bot 签名文件：

• 导航到 安全 > Citrix Bot 管理 和 签名。

• 在 Citrix Bot 管理签名 页面上，将文件作为 URL、文件或文本导入。

• 单击继续。

• 在导入 Citrix Bot 管理签名页面上，设置以下参数。

  • 名称。Bot 签名文件的名称。

  • 注释。有关导入文件的简要说明。

  • 覆盖。选中此复选框以允许在文件更新期间覆盖数据。

  • 签名数据。修改签名参数

• 单击完成。

IP 信誉

使用 Citrix ADC 图形用户界面配置 IP 信誉

此配置是 Bot IP 信誉功能的先决条件。此检测技术使用户能够识别来自传入 IP 地址的任何恶意活动。作为配置的一部分，我们设置了不同的恶意 Bot 类别，并为每个类别关联了一个 Bot 操作。按照以下步骤配置 IP 信誉技术。

• 导航到安全 > Citrix Bot 管理和配置文件。

• 在Citrix Bot 管理配置文件页面上，选择一个签名文件，然后单击编辑。

• 在Citrix Bot 管理配置文件页面上，转到签名设置部分，然后单击IP 信誉。

• 在 IP 信誉 部分，设置以下参数：

  • 已启用。选中此复选框以验证传入的僵尸程序流量作为检测过程的一部分。

  • 配置类别。用户可以使用 IP 信誉技术针对不同类别的传入僵尸程序流量。根据配置的类别，用户可以丢弃或重定向僵尸程序流量。单击“添加”以配置恶意僵尸程序类别。

  • 在“配置 Citrix Bot 管理配置文件 IP 信誉绑定”页面中，设置以下参数：

    • 类别。从列表中选择一个恶意僵尸程序类别。根据类别关联僵尸程序操作。

    • 已启用。选中此复选框以验证 IP 信誉签名检测。

    • 僵尸程序操作。根据配置的类别，用户可以分配无操作、丢弃、重定向或 CAPTCHA 操作。

    • 日志。选中此复选框以存储日志条目。

    • 日志消息。日志的简要说明。

    • 注释。僵尸程序类别的简要说明。

• 单击“确定”。

• 单击“更新”。

• 单击“完成”。

僵尸程序签名的自动更新

机器人静态签名技术使用一个签名查找表，其中包含好机器人和坏机器人的列表。机器人根据用户代理字符串和域名进行分类。如果传入机器人流量中的用户代理字符串和域名与查找表中的值匹配，则会应用配置的机器人操作。机器人签名更新托管在 AWS 云上，签名查找表与 AWS 数据库通信以获取签名更新。自动签名更新调度程序每 1 小时运行一次，以检查 AWS 数据库并更新 ADC 设备中的签名表。

用于配置签名的机器人签名映射自动更新 URL 为：机器人签名映射。

注意： 用户还可以配置代理服务器，并通过代理定期将签名从 AWS 云更新到 ADC 设备。对于代理配置，用户必须在机器人设置中设置代理 IP 地址和端口地址。

配置机器人签名自动更新

要配置机器人签名自动更新，请完成以下步骤：

启用机器人签名自动更新

用户必须在 ADC 设备上的机器人设置中启用自动更新选项。

在命令提示符下，键入：

设置机器人设置 –签名自动更新 开启

使用 Citrix ADC GUI 配置机器人签名自动更新

完成以下步骤以配置机器人签名自动更新：

• 导航到 安全 > Citrix 机器人管理。

• 在详细信息窗格中，在 设置 下单击 更改 Citrix 机器人管理设置。

• 在 配置 Citrix 机器人管理设置 中，选中 自动更新签名 复选框。

• 点击 确定 和 关闭。

有关使用 CLI 配置 IP 信誉的更多信息，请参阅：使用 CLI 配置 IP 信誉功能。

参考资料

有关使用 SQL 细粒度放宽的信息，请参阅：SQL 细粒度放宽。

有关如何使用命令行配置 SQL 注入检查的信息，请参阅：HTML SQL 注入检查。

有关如何使用 GUI 配置 SQL 注入检查的信息，请参阅：使用 GUI 配置 SQL 注入安全检查。

有关将学习功能与 SQL 注入检查结合使用的信息，请参阅：将学习功能与 SQL 注入检查结合使用。

有关将日志功能与 SQL 注入检查结合使用的信息，请参阅： 将日志功能与 SQL 注入检查结合使用。

有关 SQL 注入违规统计信息的信息，请参阅：SQL 注入违规统计信息。

有关 SQL 注入检查亮点的信息，请参阅：亮点。

有关 XML SQL 注入检查的信息，请参阅：XML SQL 注入检查。

有关使用跨站点脚本细粒度放宽的信息，请参阅：SQL 细粒度放宽。

有关使用命令行配置 HTML 跨站点脚本的信息，请参阅：使用命令行配置 HTML 跨站点脚本检查。

有关使用 GUI 配置 HTML 跨站点脚本的信息，请参阅：使用 GUI 配置 HTML 跨站点脚本检查。

有关将学习功能与 HTML 跨站点脚本检查结合使用的信息，请参阅：将学习功能与 HTML 跨站点脚本检查结合使用。

有关将日志功能与 HTML 跨站点脚本检查结合使用的信息，请参阅：将日志功能与 HTML 跨站点脚本检查结合使用。

有关 HTML 跨站点脚本违规统计信息的信息，请参阅：HTML 跨站点脚本违规统计信息。

有关 HTML 跨站点脚本亮点的信息，请参阅：Highlights。

有关 XML 跨站点脚本的信息，请访问：XML 跨站点脚本检查。

有关使用命令行配置缓冲区溢出安全检查的信息，请参阅：使用命令行配置缓冲区溢出安全检查。

有关使用 GUI 配置缓冲区溢出安全检查的信息，请参阅：使用 Citrix ADC GUI 配置缓冲区溢出安全检查。

有关将日志功能与缓冲区溢出安全检查结合使用的信息，请参阅：将日志功能与缓冲区溢出安全检查结合使用。

有关缓冲区溢出违规统计信息的信息，请参阅：缓冲区溢出违规统计信息。

有关缓冲区溢出安全检查亮点的信息，请参阅：Highlights。

有关添加或删除签名对象的信息，请参阅：添加或删除签名对象。

有关从模板创建签名对象的信息，请参阅：从模板创建签名对象。

有关通过导入文件创建签名对象的信息，请参阅：通过导入文件创建签名对象。

有关使用命令行通过导入文件创建签名对象的信息，请参阅：使用命令行通过导入文件创建签名对象。

有关使用 GUI 删除签名对象的信息，请参阅：使用 GUI 删除签名对象。

有关使用命令行删除签名对象的信息，请参阅：使用命令行删除签名对象。

有关配置或修改签名对象的信息，请参阅：配置或修改签名对象。

有关更新签名对象的更多信息，请参阅：更新签名对象。

有关使用命令行从源更新 Web 应用程序防火墙签名信息，请参阅：使用命令行从源更新 Web 应用程序防火墙签名。

有关从 Citrix 格式文件更新签名对象的信息，请参阅：从 Citrix 格式文件更新签名对象。

有关从受支持的漏洞扫描工具更新签名对象的信息，请参阅：从受支持的漏洞扫描工具更新签名对象。

有关 Snort 规则集成的信息，请参阅：Snort 规则集成。

有关配置 Snort 规则的信息，请参阅：配置 Snort 规则。

有关使用命令行配置 Bot 管理的信息，请参阅：配置 Bot 管理。

有关配置设备指纹技术 Bot 管理设置的信息，请参阅：配置设备指纹技术 Bot 管理设置。

有关使用 Citrix ADC GUI 配置 Bot 允许列表的信息，请参阅：使用 Citrix ADC GUI 配置 Bot 允许列表。

有关使用 Citrix ADC GUI 配置 Bot 阻止列表的信息，请参阅：使用 Citrix ADC GUI 配置 Bot 阻止列表。

有关配置 Bot 管理的更多信息，请参阅：配置 Bot 管理。

先决条件

在 Azure 上部署 Citrix VPX 实例之前，用户需要一些先决知识：

• 熟悉 Azure 术语和网络详细信息。有关信息，请参阅上面的 Azure 术语。

• 需要了解 Citrix ADC 设备。有关 Citrix ADC 设备的详细信息，请参阅以下内容：Citrix ADC 13.0。

• 了解 Citrix ADC 网络。请参阅：网络。

Azure 先决条件

本节介绍用户在预置 Citrix ADC VPX 实例之前必须在 Microsoft Azure 和 Citrix ADM 中完成的先决条件。

本文档假定以下内容：

• 用户拥有支持 Azure 资源管理器部署模型的 Microsoft Azure 帐户。

• 用户在 Microsoft Azure 中拥有一个资源组。

如需了解如何创建帐户以及执行其他任务的更多信息，请访问 Microsoft Azure 文档：Microsoft Azure Documentation。

限制

在 ARM 上运行 Citrix ADC VPX 负载平衡解决方案会施加以下限制：

• Azure 架构无法提供对以下 Citrix ADC 功能的支持：

  • 集群功能

  • IPv6

  • 无偿地址解析协议 (GARP)

  • L2 模式（桥接）。对于与 SNIP 位于同一子网中的服务器，支持 L2（MAC 重写）的透明虚拟服务器。

  • 标记的 VLAN

  • 动态路由

  • 虚拟 MAC

  • 使用源 IP

  • 巨型帧

• 如果用户认为他们可能随时需要关闭并临时解除分配 Citrix ADC VPX 虚拟机，则应在创建虚拟机时分配一个静态内部 IP 地址。如果他们不分配静态内部 IP 地址，Azure 可能会在每次虚拟机重启时为其分配不同的 IP 地址，从而导致虚拟机无法访问。

• 在 Azure 部署环境中，目前仅支持以下几种特定型号的 Citrix ADC VPX 设备：VPX 10、VPX 200、VPX 1000 和 VPX 3000。如需获取更多详细信息，请查阅 Citrix ADC VPX 产品数据表。

• 如果使用的 Citrix ADC VPX 实例型号高于 VPX 3000，则网络吞吐量可能与实例许可证中指定的吞吐量不同。但是，其他功能（例如 SSL 吞吐量和每秒 SSL 事务数）可能会有所改善。

• Azure 在虚拟机预配期间生成的“部署 ID”在 ARM 中对用户不可见。用户无法使用部署 ID 在 ARM 上部署 Citrix ADC VPX 设备。

• Citrix ADC VPX 实例在初始化时支持 20 Mb/s 的吞吐量和标准版功能。

• 对于 XenApp 和 XenDesktop® 部署，VPX 实例上的 VPN 虚拟服务器可以配置为以下模式：

  • 基本模式，其中 ICAOnly VPN 虚拟服务器参数设置为 ON。基本模式在未获得许可的 Citrix ADC VPX 实例上完全可用。

  • 智能访问模式，其中 ICAOnly VPN 虚拟服务器参数设置为 OFF。智能访问模式仅适用于未获得许可的 Citrix ADC VPX 实例上的 5 个 NetScaler AAA 会话用户。

注意：

要配置智能控制功能，用户必须为 Citrix ADC VPX 实例应用高级许可证。

Azure-VPX 支持的模型和许可

在 Azure 部署环境中，目前仅支持以下几种特定型号的 Citrix ADC VPX 设备：VPX 10、VPX 200、VPX 1000 和 VPX 3000。如需获取更多详细信息，请查阅 Citrix ADC VPX 产品数据表。

Azure 上的 Citrix ADC VPX 实例需要许可证。以下许可选项适用于在 Azure 上运行的 Citrix ADC VPX 实例。用户可以选择以下方法之一来许可由 Citrix ADM 预配的 Citrix ADC：

• 使用 Citrix ADM 中存在的 ADC 许可证：在创建 autoscale™ 组时配置池容量、VPX 许可证或虚拟 CPU 许可证。因此，当为 autoscale 组预配新实例时，已配置的许可证类型会自动应用于预配的实例。

  • 池容量：为 autoscale 组中的每个预配实例分配带宽。确保用户在 Citrix ADM 中拥有必要的可用带宽来预配新实例。有关更多信息，请参阅：配置池容量。

  autoscale 组中的每个 ADC 实例都会从池中检出一个实例许可证和指定的带宽。

  • VPX 许可证：将 VPX 许可证应用于新预配的实例。确保用户在 Citrix ADM 中拥有必要的 VPX 许可证数量来预配新实例。

  预配 Citrix ADC VPX 实例时，该实例会从 Citrix ADM 中检出许可证。有关更多信息，请参阅：Citrix ADC VPX 签入和签出许可。

  • 虚拟 CPU 许可证：将虚拟 CPU 许可证应用于新预配的实例。此许可证指定 Citrix ADC VPX 实例有权使用的 CPU 数量。确保用户在 Citrix ADM 中拥有必要的虚拟 CPU 数量来预配新实例。

预配 Citrix ADC VPX 实例时，该实例会从 Citrix ADM 中检出虚拟 CPU 许可证。有关更多信息，请参阅：Citrix ADC 虚拟 CPU 许可。

当预配的实例被销毁或取消预配时，已应用的许可证会自动返回到 Citrix ADM。

要监控已使用的许可证，请导航到 网络 > 许可证 页面。

使用 Microsoft Azure 订阅许可证：在创建自动缩放组时，配置 Azure Marketplace 中可用的 Citrix ADC 许可证。因此，当为自动缩放组预配新实例时，许可证将从 Azure Marketplace 获取。

支持的 思杰 ADC Azure 虚拟机映像

支持的用于预配的 Citrix ADC Azure 虚拟机映像

使用至少支持三个 NIC 的 Azure 虚拟机映像。仅在高级版和专业版上支持预配 Citrix ADC VPX 实例。有关 Azure 虚拟机映像类型的更多信息，请参阅：通用虚拟机大小。

以下是建议用于预配的 VM 大小：

• Standard_DS3_v2

• Standard_B2ms

• Standard_DS4_v2

端口使用指南

用户可以在创建 NetScaler VPX™ 实例时或在预配虚拟机后，在 NSG 中配置更多入站和出站规则。每个入站和出站规则都与一个公共端口和一个私有端口相关联。

在配置 NSG 规则之前，请注意以下有关用户可以使用的端口号的指南：

1. NetScaler VPX 实例保留以下端口。当使用公共 IP 地址处理来自 Internet 的请求时，用户不能将这些端口定义为私有端口。端口 21、22、80、443、8080、67、161、179、500、520、3003、3008、3009、3010、3011、4001、5061、9000、7000。但是，如果用户希望面向 Internet 的服务（例如 VIP）使用标准端口（例如端口 443），则用户必须使用 NSG 创建端口映射。然后，标准端口将映射到在 Citrix ADC VPX 上为此 VIP 服务配置的不同端口。例如，VIP 服务可能在 VPX 实例上的端口 8443 上运行，但映射到公共端口 443。因此，当用户通过公共 IP 访问端口 443 时，请求将定向到私有端口 8443。

2. 公共 IP 地址不支持动态打开端口映射的协议，例如被动 FTP 或 ALG。

3. 对于使用与 VPX 实例关联的公共 IP 地址 (PIP) 而非在 Azure 负载均衡器上配置的 PIP 的流量，高可用性不起作用。有关更多信息，请参阅：使用单个 IP 地址和单个 NIC 配置高可用性设置。

4. 在 NetScaler Gateway 部署中，用户无需配置 SNIP 地址，因为在未配置 SNIP 时，NSIP 可以用作 SNIP。用户必须使用 NSIP 地址和一些非标准端口号来配置 VIP 地址。对于后端服务器上的回调配置，必须指定 VIP 端口号以及 VIP URL（例如，url: 端口）。

   注意：

   • 在 Azure 资源管理器中，Citrix ADC VPX 实例与两个 IP 地址相关联 - 一个公共 IP 地址 (PIP) 和一个内部 IP 地址。外部流量连接到 PIP，而内部 IP 地址或 NSIP 是不可路由的。要在 VPX 中配置 VIP，请使用内部 IP 地址 (NSIP) 和任何可用的空闲端口。不要使用 PIP 配置 VIP。

   • 例如，如果 Citrix ADC VPX 实例的 NSIP 为 10.1.0.3 且可用空闲端口为 10022，则用户可以通过提供 10.1.0.3:10022（NSIP 地址 + 端口）组合来配置 VIP。