ADC

拒绝 URL 检查

拒绝 URL 检查检查并阻止与黑客和恶意代码经常访问的 URL 的连接。此检查包含一个URL列表,这些URL是黑客或恶意代码的常见目标,很少出现在合法请求中。您也可以将 URL 或 URL 模式添加到列表中。拒绝 URL 检查可防止对 Web 服务器软件或许多网站上已知存在的各种安全漏洞的攻击。

拒绝 URL 检查的优先级高于“开始 URL”检查,因此即使放松“开始 URL”通常允许请求继续,也会拒绝恶意连接尝试。

在“修改拒绝 URL 复选框”对话框的“常规”选项卡上,您可以启用或禁用“阻止”、“记录”和“统计”操作。

如果您使用命令行界面,则可以输入以下命令来配置“拒绝 URL 检查”:

set appfw profile <name> -denyURLAction [**block**] [**log**] [**stats**] [**none**]
<!--NeedCopy-->

您只能在 NetScaler GUI 中创建和配置自己的拒绝 URL。

  1. 导航到安全 > NetScaler Web App Firewall > 配置文件
  2. 选择要为其添加拒绝 URL 的配置文件,然后单击“编辑”。
  3. NetScaler Web App Firewall 配置文件 页面中,从“高级设置”部分中选择 放松规则
  4. 选择“拒绝 URL”,然后单击“编辑”
  5. 在“拒绝 URL 规则”页面中,单击“添加”。
  6. 指定以下详细信息并单击“创建”。

    • 拒绝 URL -用于定义拒绝 URL 的正则表达式。
    • 注释 -表达式的描述。
    • 资源 ID -用于标识拒绝 URL 规则的唯一 ID。

    拒绝 URL 表达式

  7. 单击关闭
  8. NetScaler Web App Firewall 配置文件 页面中,单击“完成”。

以下是拒绝 URL 表达式的示例:

  • 请勿允许用户直接访问 images.example.com 上的图像服务器:

     ^http://images[.]example[.]com$
     <!--NeedCopy-->
    
  • 不允许用户直接访问 CGI (.cgi) 或 PERL (.pl) 脚本:

     ^http://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-]*/)*
     [0-9A-Za-z][0-9A-Za-z_.-]*[.](cgi|pl)$
     <!--NeedCopy-->
    
  • 以下是相同的拒绝 URL,经过修改后支持非 ASCII 字符:

     ^http://www[.]example[.]com/(([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*/)*([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*[.](cgi|pl)$
     <!--NeedCopy-->
    

小心:

正则表达式非常强大。特别是如果您不太熟悉 PCRE 格式的正则表达式,请仔细检查您编写的任何正则表达式。确保它们准确定义了您要屏蔽的 URL 或模式,别无其他。粗心地使用通配符,尤其是点星号 (.*) 元字符/通配符组合,可能会产生您不希望的结果,例如阻止访问您不打算阻止的 Web 内容。

拒绝 URL 检查