ADC

引擎设置

引擎设置会影响 Citrix Web App Firewall 处理的所有请求和响应。以下是设置:

  • Cookie 名称—存储 Citrix ADC 会话 ID 的 cookie 的名称。
  • 会话超时—允许的最大非活动期限。如果用户会话在这段时间内没有显示任何活动,则会话将终止,用户需要访问指定的起始页面来重新建立会话。
  • Cookie 加密后前缀-任何加密 Cookie 的加密部分之前的字符串。
  • 最长会话生命周期-允许会话保持活动状态的最长时间(以秒为单位)。达到此时段后,会话终止,用户需要访问指定的起始页重新建立会话。此设置不能小于会话超时时间。要禁用此设置,以便没有最长会话生命周期,请将该值设置为零 (0)。
  • 日志标头名称-保存用于记录的客户端 IP 的 HTTP 标头的名称。
  • 未定义的配置文件-当相应的策略操作评估为未定义时应用的配置文件。
  • 默认配置文件-配置文件应用于与策略不匹配的连接。
  • 导入大小限制-导入到设备的所有文件的最大字节数,包括签名、WSDL、架构、HTML 和 XML 错误页面。在导入期间,如果导入对象的大小导致所有导入文件的累积计数超过配置的限制,则导入操作将失败。并且设备显示以下错误消息:“错误:导入失败-超过了导入对象的配置总大小限制”。
  • Learn消息速率限制-学习引擎每秒要处理的最大请求和响应数。任何超过此限制的额外请求或响应都不会发送到学习引擎。
  • 实体解码-运行 Web App Firewall 检查时对 HTML 实体进行解码。
  • 记录格式错误的请求-启用格式错误的 HTTP 请求的日志记录。
  • 使用可配置的密钥-使用可配置的密钥进行 Web App Firewall 操作。此密钥用于签名和验证数据。开启“useConfigurableSecretKey”时,必须使用“set ns encryptionParams”参数中启用的密钥。
  • 重置学到的数据-从 Web App Firewall 中删除所有学到的数据。通过收集新数据重新启动学习过程。

两种设置,即重置已知数据签名自动更新,位于不同的位置,具体取决于您是使用命令界面还是 Citrix ADC GUI 来配置 Citrix Web App Firewall。使用命令界面时,您可以使用 reset appfw 学习数据命令配置“重置学习数据”。它不带任何参数,也没有其他功能。您可以在 set appfw 设置命令中配置签名自动更新。-signatureAutoUpdate 参数启用或禁用签名的自动更新,-signatureUrl 配置托管更新后的签名文件的 URL。

使用 Citrix ADC GUI 时,可以在安全 > Citrix Web App Firewall > 引擎设置中配置“重置学习的数据”。“重置学习的数据”选项位于对话框的底部。您可以在“安全”>“Citrix Web App Firewall”>“签名”中为每组签名配置签名自动更新,方法是选择签名文件,单击鼠标右键并选择“自动更新设置”

通常, Web App Firewall 设置的默认值是正确的。但是,如果默认设置导致与其他服务器发生冲突或导致用户过早断开连接,则必须对其进行修改。

Web App Firewall 会话限制可使用以下命令进行配置:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

使用命令行界面配置引擎设置

在命令提示符下,键入以下命令:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

示例

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config
<!--NeedCopy-->

使用 Citrix ADC GUI 配置引擎设置

  1. 导航到安全 > Citrix Web App Firewall
  2. 在详细信息窗格中,单击“设置”下的“更改引擎设置
  3. Web App Firewall 引擎设置 对话框中,设置以下参数:
    • Cookie名称
    • 会话超时
    • Cookie 帖子加密前缀
    • 最长会话寿命
    • 日志标题名称
    • 未定义的配置文件
    • 默认配置文件
    • 导入大小限制
    • 了解消息速率限制
    • 实体解码
    • 记录格式错误的请求
    • 使用密钥
    • 了解消息速率限制
    • 签名自动更新
  4. 单击确定

    WAF 引擎设置

引擎设置