ADC

配置 Web App Firewall

可以使用以下任一方法配置 Citrix Web App Firewall(简称 Web App Firewall):

  • Web App Firewall 向导。一个由一系列屏幕组成的对话框,用于逐步完成配置过程。
  • Citrix Web Interface AppExpert 模板。AppExpert 模板(一组配置设置),旨在为网站提供适当的保护。此 AppExpert 模板包含适当的 Web App Firewall 配置设置,用于保护许多网站。
  • Citrix ADC GUI。基于 Web 的配置界面。
  • Citrix ADC 命令行接口。命令行配置界面。

Citrix 建议您使用 Web App Firewall 向导。大多数用户会发现它是配置 Web App Firewall 的最简单方法,它旨在防止错误。如果您有主要用于保护网站的新 Citrix ADC 或 VPX,则可能会发现 Web 界面 AppExpert 模板是更好的选择,因为它不仅为 Web App Firewall,而且为整个设备提供了良好的默认配置。GUI 和命令行界面都面向有经验的用户,主要用于修改现有配置或使用高级选项。

Web App Firewall 向导

Web App Firewall 向导是一个对话框,其中包含多个屏幕,提示您配置简单配置的每个部分。然后,Web App Firewall 会根据您提供的信息创建适当的配置元素。这是最简单的配置 Web App Firewall 的最佳方式。

要使用向导,请使用您选择的浏览器连接到 GUI。建立连接后,请验证 Web App Firewall 已启用,然后运行 Web App Firewall 向导,该向导将提示您输入配置信息。首次使用向导时,不必提供所有请求的信息。相反,您可以接受默认设置、执行一些相对简单的配置任务以启用重要功能,然后允许 Web App Firewall 收集重要信息以帮助您完成配置。

例如,当向导提示您指定用于选择要处理的流量的规则时,您可以接受选择所有流量的默认值。当它向您显示签名列表时,您可以启用适当类别的签名,并为这些签名开启统计信息的集合。对于此初始配置,您可以跳过高级保护(安全检查)。向导会自动创建相应的策略、签名对象和配置文件(统称为安全配置),并将策略绑定到全局。然后,Web App Firewall 开始筛选与受保护网站的连接,记录与您启用的一个或多个签名匹配的任何连接,并收集有关每个签名匹配的连接的统计信息。Web App Firewall 处理某些流量后,您可以再次运行向导并检查日志和统计信息,以查看已启用的任何签名是否与合法流量匹配。确定哪些签名正在标识要阻止的流量后,您可以为这些签名启用阻止。如果您的网站或 Web 服务不复杂,不使用 SQL,并且无法访问敏感的私人信息,这种基本的安全配置可能会提供足够的保护。

例如,如果您的网站是动态的,您可能需要额外的保护。使用脚本的内容可能需要防止跨站点脚本攻击。使用 SQL 的 Web 内容(如购物车、许多博客和大多数内容管理系统)可能需要防止 SQL 注入攻击。收集敏感私人信息(如社会保障号码或信用卡号码)的网站和网络服务可能需要防止该信息被无意泄露。某些类型的 Web 服务器或 XML 服务器软件可能需要防止针对该软件定制的攻击类型。另一个考虑因素是,您的网站或 Web 服务的特定元素可能需要与其他元素不同的保护。检查 Web App Firewall 日志和统计信息可帮助您确定可能需要的其他保护措施。

确定网站和 Web 服务需要哪些高级保护后,您可以再次运行向导来配置这些保护。某些安全检查要求您输入异常(放宽),以防止检查阻止合法流量。您可以手动执行此操作,但通常更容易启用自适应学习功能,并允许它推荐必要的放宽。您可以根据需要多次使用向导来增强基本安全配置和/或创建其他安全配置。

向导会自动执行一些任务,如果您未使用向导,则必须手动执行这些任务。它会自动创建策略、签名对象和配置文件,并为它们分配您在系统提示您输入配置名称时提供的名称。向导还将您的高级保护设置添加到配置文件,将签名对象绑定到配置文件,将配置文件与策略关联,并通过将其绑定到 Global 来使策略生效。

无法在向导中执行一些任务。您不能使用向导将策略绑定到 Global 以外的绑定点。如果希望配置文件仅应用于配置的特定部分,则必须手动配置绑定。无法在向导中配置引擎设置或某些其他全局配置选项。虽然您可以在向导中配置任何高级保护设置,但如果要在单个安全检查中修改特定设置,则在 GUI 中的手动配置屏幕上更容易执行此操作。

有关使用 Web 应用程序防火墙向导的详细信息,请参阅 Web App Firewall 向导

Citrix Web Interface AppExpert 模板

AppExpert 模板是配置和管理复杂企业应用程序的不同和更简单的方法。GUI 中的 AppExpert 显示由一个表组成。应用程序列在最左侧的列中,适用于该应用程序的 Citrix ADC 功能每个功能都显示在其自己的列的右侧。(在 AppExpert 界面中,与应用程序关联的功能称为应用程序单元。)在 AppExpert 界面中,您可以为每个应用程序配置有趣的流量,并打开压缩、缓存、重写、筛选、响应程序和 Web App Firewall 的规则,而不必单独配置每个功能。

Web Interface AppExpert 模板包含以下 Web App Firewall 签名和安全检查的规则:

有关安装和使用 AppExpert 模板的信息,请参阅 AppExpert 应用程序和模板

Citrix 用户界面

GUI 是一个基于 Web 的界面,用于访问 Web App Firewall 功能的所有配置选项,包括无法从任何其他配置工具或界面获得的高级配置和管理选项。具体而言,许多高级签名选项只能在 GUI 中配置。您只能在 GUI 中查看由学习功能生成的建议。您只能在 GUI 中将策略绑定到全局以外的绑定点。

有关 GUI 的说明,请参阅 Web App Firewall 配置接口。有关使用 GUI 配置 Web 应用程序防火墙的详细信息,请参阅 使用 GUI 手动配置

有关使用 GUI 配置 Web 应用程序防火墙的说明,请参阅 使用 GUI 手动配置。有关 citrix-ADC GUI 的信息,请参阅 Web App Firewall 配置接口

Citrix ADC 命令行界面

Citrix ADC 命令行界面是基于 FreeBSD bash 外壳的修改后的 UNIX 外壳。要从命令行界面配置 Web App Firewall,请在提示符下键入命令,然后按 Enter 键,就像使用任何其他 Unix 外壳一样。您可以使用 NetScaler 命令行配置 Web App Firewall 的大多数参数和选项。例外情况是签名功能,其中许多选项只能通过使用 GUI 或 Web App Firewall 向导进行配置,以及学习功能(其建议只能在 GUI 中查看)。

有关使用 Citrix ADC 命令行配置 Web 应用程序防火墙的说明,请参阅 使用命令行界面手动配置

配置 Web App Firewall