引擎设置

引擎设置会影响 Web App Firewall 处理的所有请求和响应。它们包括以下项目:

  • Cookie 名称-用于存储 Citrix ADC 会话 ID 的 cookie 的名称。
  • 会话超时— 允许的最大非活动时间段。如果用户会话在这段时间内没有显示任何活动,则会话将终止,并且用户需要通过访问指定的起始页重新建立该会话。
  • Cookie 后加密前缀— 任何加密 Cookie 的加密部分之前的字符串。
  • 最长会话生命周期-允许会话保持活动状态的最长时间(以秒为单位)。达到此时间段后,会话将终止,用户需要访问指定的起始页重新建立会话。此设置不能小于会话超时。要禁用此设置,以便没有最长的会话生命周期,请将该值设置为零 (0)。
  • 日志记录标头名称 — 用于日志记录的保存客户端 IP 的 HTTP 标头的名称。
  • 未定义的配置文件 — 在相应策略操作评估为未定义时应用的配置文件。
  • 默认配置文件 — 应用于与策略不匹配的连接的配置文件。
  • 导入大小限制-导入到设备的所有文件(包括签名、WSDL、架构、HTML 和 XML 错误页)的最大累积总字节数。在导入过程中,如果导入对象的大小会导致所有导入文件的累计总大小超过配置的限制,则导入操作将失败,并且设备显示以下 错误消息:ERROR: 导入失败-超过导入的对象
  • 习消息速率限制-学习引擎要处理的每秒最大请求和响应数。超过此限制的任何其他请求或响应都不会发送到学习引擎。
  • 实体解码— 在运行 Web App Firewall 检查时解码 HTML 实体。
  • 日志格式错误的请求— 启用格式错误的 HTTP 请求的日志记录。
  • 使用可配置私有密钥— 对 Web App Firewall 操作使用可配置私有密钥。
  • 重置已学习数据— 从 Web App Firewall 中删除所有学习数据。通过收集新数据重新启动学习过程。

两种设置( 重置学习数据签名自动更新 )可在不同的位置找到,具体取决于您是使用命令行还是 GUI 来配置 Web App Firewall。使用命令行时,您可以使用重置 appfw learningdata 命令配置“重置学习数据”,该命令不采用任何参数,也不具有其他功能。您可以在设置 appfw 设置命令中配置签名自动更新:-signatureAutoUpdate 参数启用或禁用签名的自动更新,-signatureUrl 配置承载更新的签名文件的 URL。

使用 GUI 时,您可以在“安全”>“Web App Firewall”>“引擎设 置”中配置 重置学习数据;“重置学习数据”按钮位于对话框底部。您可以通过选择签名文件、单击鼠标右键并选择自动更新设置,为“安全”>“Web App Firewall”>“ 名”中的每组签名配 置“自动更新”。

通常,Web App Firewall 设置的默认值正确。但是,如果默认设置导致与其他服务器发生冲突或导致用户过早断开连接,则可能需要对其进行修改。

Web App Firewall 会话限制可使用以下命令进行配置:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

使用命令行界面配置引擎设置

在命令提示符下,键入以下命令:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

示例

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

使用 GUI 配置引擎设置

  1. 导航到 安全 > Web App Firewall
  2. 在详细信息窗格中,单击 更改引擎设置
  3. 在“Web App Firewall 引擎设置”对话框中,设置以下参数:
    • Cookie 名称

    • 会话超时

    • Cookie 发布加密前缀

    • 最大会话生命周期

    • 日志标头名称

    • 未定义的配置文件

    • 默认配置文件

    • 导入大小限制

    • 学习消息速率限制

    • 实体解码

    • 日志格式错误的请求

    • 使用私有密钥

    • 了解消息速率限制

    • 签名自动更新

  4. 单击确定