Citrix ADC

引擎设置

引擎设置会影响 Citrix Web App Firewall 处理的所有请求和响应。以下是设置:

  • Cookie 名称-用于存储 Citrix ADC 会话 ID 的 cookie 的名称。
  • 会话超时— 允许的最大非活动时间段。如果用户会话在这段时间内没有显示任何活动,则会话将终止,并且用户需要通过访问指定的起始页重新建立该会话。
  • Cookie 后加密前缀— 任何加密 Cookie 的加密部分之前的字符串。
  • 最长会话生命周期-允许会话保持活动状态的最长时间(以秒为单位)。达到此时间段后,会话将终止,用户需要访问指定的起始页重新建立会话。此设置不能小于会话超时。要禁用此设置,以便没有最长的会话生命周期,请将该值设置为零 (0)。
  • 日志记录标头名称 — 用于日志记录的保存客户端 IP 的 HTTP 标头的名称。
  • 未定义的配置文件 — 在相应策略操作评估为未定义时应用的配置文件。
  • 默认配置文件 — 应用于与策略不匹配的连接的配置文件。
  • 导入大小限制— 导入到设备的所有文件的最大字节计数,包括签名、WSDL、架构、HTML 和 XML 错误页。在导入过程中,如果导入对象的大小导致所有导入文件的累积计数超过配置的限制,导入操作将失败。设备显示以下错误消息:”错误:导入失败 — 超出了导入对象上配置的总大小限制“。
  • 习消息速率限制-学习引擎要处理的每秒最大请求和响应数。超过此限制的任何其他请求或响应都不会发送到学习引擎。
  • 实体解码— 在运行 Web App Firewall 检查时解码 HTML 实体。
  • 日志格式错误的请求— 启用格式错误的 HTTP 请求的日志记录。
  • 使用可配置私有密钥— 对 Web App Firewall 操作使用可配置私有密钥。此密钥用于签名和验证数据。当“用户可用数据库”打开时,您必须使用“set ns encryptionParams”中启用的密钥。
  • 重置已学习数据— 从 Web App Firewall 中删除所有学习数据。通过收集新数据重新启动学习过程。

两种设置( 重置学习数据签名自动更新 )可在不同的位置找到,具体取决于您是使用命令界面还是 Citrix ADC GUI 来配置 Citrix Web App Firewall。使用命令界面时,可以使用重置 appfw 学习数据命令配置重置学习数据。这不需要参数,也没有其他函数。您可以在设置 appfw 设置命令中配置签名自动更新。-签名自动更新参数可启用或禁用签名的自动更新,并且-SignatUrl 配置承载已更新的签名文件的 URL。

使用 Citrix ADC GUI 时,可以在安全 > Citrix Web App Firewall > 引擎设置中配置“重置学习数据”。重置学习数据选项位于对话框底部。您可以在安全 > Citrix Web App Firewall> 签名中为每组签名配置签名自动更新”,方法是选择签名文件,单击鼠标右键并选择自动更新设置

通常情况下, Web App Firewall 设置的默认值正确。但是,如果默认设置导致与其他服务器发生冲突或导致用户过早断开连接,则必须对其进行修改。

Web App Firewall 会话限制可使用以下命令进行配置:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

使用命令行界面配置引擎设置

在命令提示符下,键入以下命令:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

示例

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

使用 Citrix ADC GUI 配置引擎设置的步骤

  1. 导航到 安全性 > Citrix Web App Firewall
  2. 在详细信息窗格中,单击 设置下的更改引擎设置
  3. Web App Firewall 引擎设置对话框中,设置以下参数:
    • Cookie 名称
    • 会话超时
    • Cookie 发布加密前缀
    • 最大会话生命周期
    • 日志标头名称
    • 未定义的配置文件
    • 默认配置文件
    • 导入大小限制
    • 学习消息速率限制
    • 实体解码
    • 日志格式错误的请求
    • 使用私有密钥
    • 了解消息速率限制
    • 签名自动更新
  4. 单击确定

    WAF 引擎设置

引擎设置