Citrix ADC

Citrix Web App Firewall

以下主题介绍 Citrix Web App Firewall 功能的安装和配置。

   
简介 Web 安全性和 Web App Firewall 的工作方式概述。
配置 如何配置 Web App Firewall 以保护网站、Web 服务或 Web 2.0 站点。
签名 有关签名功能的详细描述,以及如何配置签名、从受支持的漏洞扫描工具添加签名以及定义您自己的签名(包括示例)。
安全检查概述 所有 Web App Firewall 安全检查的详细描述,包括配置信息和示例。
配置文件 有关如何在 Web App Firewall 中配置和使用配置文件的描述。
策略 有关配置 Web App Firewall 时如何使用策略的说明以及有用策略的示例。
导入 Web App Firewall 如何使用不同类型的导入文件以及如何导入和导出文件的描述。
全局配置 适用于所有配置文件的 Web App Firewall 功能的描述以及如何配置这些功能。
用例 演示如何设置 Web App Firewall 以最好地保护特定类型的更复杂的 Web 站点和 Web 服务的扩展示例。
日志、统计信息和报告 如何访问和使用 Web App Firewall 日志、统计信息和报表以帮助配置 Web App Firewall。

Citrix Web App Firewall 提供了易于配置的选项,以满足各种应用程序安全要求。Web App Firewall 配置文件(包含一组安全检查)可用于通过提供深度数据包级别检查来保护请求和响应。每个配置文件都包含一个选项,用于选择基本保护或高级保护。某些保护措施可能需要使用其他文件。例如,xml 验证检查可能需要 WSDL 或架构文件。配置文件还可以使用其他文件,例如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以供将来使用。它们可以由多个配置文件共享。

配置文件与 Web App Firewall 策略配合使用。每个策略标识一种流量类型,并检查流量是否存在与策略关联的配置文件中指定的安全检查违例。这些策略可以具有不同的绑定点,这些绑定点决定了策略的范围。例如,绑定到特定虚拟服务器的策略仅针对流经该虚拟服务器的流量调用和评估。根据其指定的优先级顺序对策略进行评估,并应用与请求或响应匹配的第一个策略。

  • 快速部署 Web App Firewall 护

    您可以使用以下过程快速部署 Web App Firewall 安全性:

    1. 添加 appfw 配置文件并为应用程序的安全要求选择适当的类型(html、xml、JSON)。
    2. 选择所需的安全级别(基本或高级)。
    3. 添加或导入所需文件,例如签名或 WSDL。
    4. 配置配置文件以使用文件,并对默认设置进行任何其他必要更改。
    5. 为此配置文件添加 appfw 策略。
    6. 将策略绑定到目标绑定点并指定优先级。
  • Web App Firewall 实体

    配置文件-Web App Firewall 配置文件指定要查找的内容和执行的操作。它检查请求和响应,以确定应检查哪些潜在的安全违规行为以及在处理交易时应采取哪些操作。配置文件可以保护 HTML、XML 或 HTML 和 XML 有效负载。根据应用程序的安全要求,您可以创建基本配置文件或高级配置文件。基本配置文件可以防止已知攻击。如果需要更高的安全性,您可以部署高级配置文件,以允许对应用程序资源进行受控访问,从而阻止零日攻击。但是,可以修改基本配置文件以提供高级保护,反之亦然。多个操作选项(例如,阻止、日志、学习和转换)可用。高级安全检查可能会使用会话 cookie 和隐藏的表单标签来控制和监视客户端连接。Web App Firewall 配置文件可以了解触发的违规行为并建议放宽规则。

    基本保护-基本配置文件包括一组预配置的“开始 URL”和“拒绝 URL 放宽规则”。这些放宽规则决定了应允许哪些请求,哪些请求应予拒绝。传入请求与这些列表匹配,并应用配置的操作。这使用户能够以最少的放宽规则配置保护应用程序。“开始”URL 规则可防止强制浏览。通过启用一组默认的拒绝 URL 规则,可以检测和阻止被黑客利用的已知 Web 服务器漏洞。通常发起的攻击,例如缓冲区溢出、SQL 或跨站点脚本,也可以很容易地检测到。

    高级保护-如名称所示,高级保护用于具有更高安全要求的应用程序。放宽规则配置为仅允许访问特定数据并阻止其余数据。此正面安全模型可缓解未知攻击,而基本安全检查可能无法检测到这些攻击。除了所有的基本保护之外,高级配置文件还通过控制浏览、检查 Cookie、指定各种表单字段的输入要求以及防止篡改表单或跨站点请求伪造攻击来跟踪用户会话。学习(观察流量并部署适当的放宽)在许多安全检查默认情况下启用。高级保护虽然易于使用,但需要适当考虑,因为它们提供了更严格的安全性,但也需要更多的处理,并且不允许使用缓存,这可能会影响性能。

    导入-当 Web App Firewall 配置文件需要使用外部文件(即托管在外部或内部 Web 服务器上的文件)或必须从本地计算机复制的文件时,导入功能非常有用。导入文件并将其存储在设备上非常有用,尤其是在必须控制对外部网站的访问权限的情况下,或者编译需要很长时间,必须跨 HA 部署同步大文件,或者您可以通过在多个设备上复制文件来重复使用文件。例如:

    • 在阻止访问外部网站之前,可以在本地导入外部 Web 服务器上托管的 WSDL。
    • 可以使用 Citrix 设备上的架构导入和预编译由外部扫描工具(如 Cenzic)生成的大型特征文件。
    • 可以从外部 Web 服务器导入自定义 HTML 或 XML 错误页面,也可以从本地文件复制。

    签名-签名功能非常强大,因为它们使用模式匹配来检测恶意攻击,并且可以配置为检查请求和事务响应。当需要可定制的安全解决方案时,它们是首选选项。检测到签名匹配时,有多种选择(例如,块、日志、学习和转换)可供执行的操作。Web App Firewall 具有一个内置的默认签名对象,由 1,300 多个签名规则组成,可选择使用自动更新功能获取最新规则。也可以导入由其他扫描工具创建的规则。可以通过添加新规则来自定义签名对象,这些规则可以与 Web App Firewall 配置文件中指定的其他安全检查结合使用。签名规则可以有多个模式,并且只有在所有模式匹配时才能标记冲突,从而避免误报。仔细选择规则的文字快速匹配模式可以显著优化处理时间。

    策略 - Web App Firewall 策略用于筛选流量并将其分隔为不同类型。这为应用程序数据实施不同级别的安全保护提供了灵活性。对高度敏感数据的访问可以定向到高级安全检查检查,而不太敏感的数据则受到基本级别安全检查的保护。还可以将策略配置为绕过安全检查检查无害流量。更高的安全性需要更多的处理,因此仔细设计策略可以提供所需的安全性以及优化的性能。策略的优先级决定其评估顺序,其绑定点决定其应用程序的范围。

重要内容

  1. 能够通过保护不同类型的数据、为不同资源实现适当级别的安全性并且仍然获得最大性能来保护各种应用程序。
  2. 灵活地添加或修改安全配置。您可以通过启用或禁用基本和高级保护来收紧或放宽安全检查。
  3. 选项将 HTML 配置文件转换为 XML 或 Web2.0 (HTML+XML) 配置文件,反之亦然,提供了灵活性,为不同类型的有效负载添加安全性。
  4. 轻松部署的操作来阻止攻击,在日志中监视攻击,收集统计信息,甚至转换一些攻击字符串,使其无害。
  5. 能够通过检查传入请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据泄露。
  6. 能够从流量模式中学习,获取有关可部署以允许异常的轻松编辑放宽规则的建议。
  7. 混合安全模型应用自定义签名的功能来阻止与指定模式匹配的攻击,并提供灵活性,使用正安全模型检查进行基本或高级安全保护。
  8. 提供全面的配置报告,包括有关 PCI-DSS 合规性的信息。

Citrix Web App Firewall