Web App Firewall 的工作原理

安装 Web App Firewall 时,您将创建初始安全配置,其中包括策略、配置文件和签名对象。策略是一个规则,用于标识要筛选的流量,配置文件标识了筛选流量时允许或阻止的模式和行为类型。最简单的模式(称为签名)不在配置文件中指定,而是在与配置文件关联的签名对象中指定。

签名是与已知攻击类型相匹配的字符串或模式。Web App Firewall 包含七个类别的超过一千个签名,每个签名都针对特定类型的 Web 服务器和 Web 内容的攻击。在发现新威胁时,Citrix 会使用新签名更新列表。在配置过程中,您可以指定适用于需要保护的 Web 服务器和内容的签名类别。签名提供良好的基本保护,处理开销较低。如果您的应用程序有特殊漏洞,或者您检测到没有签名的针对这些漏洞的攻击,您可以添加自己的签名。

更高级的保护称为安全检查。安全检查是对请求进行更严格的算法检查,以了解特定模式或行为类型的请求,这些模式或行为可能表明受到攻击或对受保护的网站和 Web 服务构成威胁。例如,它可以识别尝试执行可能会冲突安全性的特定类型操作的请求,或者识别包含敏感私人信息(如社会安全号或信用卡号)的响应。在配置过程中,您可以指定适用于需要保护的 Web 服务器和内容的安全检查。安全检查是限制性的。如果您在配置合法请求和响应时未添加适当的异常(放宽),其中许多可能会阻止它们。如果您使用自适应学习功能,可以观察网站的正常使用情况并创建建议的异常,那么识别所需的异常并不困难。

Web App Firewall 可以作为第 3 层网络设备或第 2 层网络桥接安装在您的服务器和用户之间,通常是在您公司的路由器或防火墙后面。它必须安装在一个位置,以便它能够拦截要保护的 Web 服务器与用户访问这些 Web 服务器的中心或交换机之间的流量。然后,您将网络配置为将请求发送到 Web App Firewall(而不是直接发送到 Web 服务器),并将响应 Web App Firewall(而不是直接发送给您的用户)。Web App Firewall 会在将流量转发到最终目标之前对流量进行筛选,同时使用其内部规则集以及您的添加和修改。它会阻止或使其检测到有害的任何活动变得无害,然后将剩余的流量转发到 Web 服务器。下图概述了筛选过程。

注意:

该图省略了策略对传入流量的应用。它说明了策略处理所有请求的安全配置。此外,在此配置中,已配置一个签名对象并与配置文件关联,并在配置文件中配置了安全检查。

图 1. Web App Firewall 过滤流程图

Web App Firewall 流程图

如图所示,当用户在受保护的网站上请求 URL 时,Web App Firewall 首先检查该请求,以确保其与签名不匹配。如果请求匹配签名,Web App Firewall 会显示错误对象(位于 Web App Firewall 设备上的网页,您可以使用导入功能进行配置),或将请求转发到指定的错误 URL(错误页面)。签名不需要安全检查那么多的资源,因此在运行任何安全检查之前检测和停止签名检测到的攻击可以减少服务器上的负载。

如果请求通过签名检查,Web App Firewall 将应用已启用的请求安全检查。请求安全检查验证请求是否适合您的网站或 Web 服务,并且不包含可能构成威胁的材料。例如,安全检查检查请求是否有迹象,指示请求可能是意外类型、请求意外内容或包含意外且可能是恶意的 Web 表单数据、SQL 命令或脚本。如果请求未通过安全检查,Web App Firewall 会对请求进行清理,然后将其发送回 Citrix ADC 设备(或 Citrix ADC 虚拟设备),或显示错误对象。如果请求通过了安全检查,则会将其发送回 Citrix ADC 设备,该设备完成任何其他处理并将请求转发到受保护的 Web 服务器。

当网站或 Web 服务向用户发送响应时,Web App Firewall 将应用已启用的响应安全检查。响应安全检查会检查敏感私人信息泄露、网站破坏迹象或其他不应存在的内容的响应。如果响应未通过安全检查,Web App Firewall 会删除不应存在的内容或阻止响应。如果响应通过安全检查,则会将响应发回 Citrix ADC 设备,由该设备将响应转发给用户。

Web App Firewall 功能

Web App Firewall 的基本功能是策略、配置文件和签名,它们提供混合安全模型已知网络攻击/zh-cn/citrix-adc/13/application-firewall/introduction/web-application-security.html[()],未知网络攻击[]如/zh-cn/citrix-adc/13/application-firewall/introduction/web-application-security.html(),和Web App Firewall 的工作原理/zh-cn/citrix-adc/13/application-firewall/introduction/how-application-firewall-works.html[()]。特别值得注意的是学习功能,它可以观察到受保护应用程序的流量,并为某些安全检查建议适当的配置设置。

导入功能管理您上载到 Web App Firewall 的文件。然后,Web App Firewall 将在各种安全检查中使用这些文件,或者在响应与安全检查匹配的连接时使用这些文件。

您可以使用日志、统计信息和报表功能来评估 Web App Firewall 的性能,并确定对其他保护的可能需求。

Web App Firewall 的工作原理