Citrix ADC

Web App Firewall 配置文件设置

以下是您必须在设备上配置的配置文件设置。

在命令提示窗口中,键入:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

示例:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

其中,

invalidPercentHandling。配置用于处理百分比编码的名称和值的方法。

可用设置功能如下:

asp_mode-剥离和解析无效百分比用于解析。示例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被去除,其余的内容被检查,并为 SQLINSspection 检查采取操作。 secure_mode-我们检测到无效百分比编码值并忽略它。示例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被检测到,计数器递增,内容按原样传递给服务器。 apache_mode-此模式的工作方式与安全模式类似。 可能的值:apache_mode、asp_mode、secure_mode 默认值:secure_mode

optimizePartialReqs。当 OF/OFN(无安全对象)时,Citrix ADC 设备将部分请求发送到后端服务器。此部分响应发送回客户端。在配置安全对象时,优化部分 REQs 是有意义的。设备在关闭时发送来自服务器的完全响应请求,在打开时仅请求部分响应。

可用设置如下:

开 -客户端的部分请求会导致对后端服务器的部分请求。 OFF - 客户端的部分请求更改为对后端服务器的完整请求 可能的值:ON、OFF 默认值:ON

URLDecodeRequestCookies。URL 解码请求 cookie,然后再对其进行 SQL 和跨站脚本检查。

可能值:ON,OFF 默认值:OFF

签名后正文限制(字节)。限制使用指定为“HTTP_POST_BODY”的位置检查的签名的请求负载(以字节为单位)。

默认值:8096 最小值:0 最大值:4294967295

发布正文限制(字节)。限制 Web 应用程序防火墙检查的请求负载(以字节为单位)。

默认值:20 万 最小值:0 最大值:10 GB

后身限制。当您指定允许的 HTTP 正文的最大大小时,PostBodyLimit 将遵守错误设置。要遵守错误设置,您必须配置一个或多个“发布体限制”操作。此配置也适用于传输编码头分块的请求。

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Wis, Block-此操作阻止违反安全检查的连接,并且它基于所配置的 HTTP 主体的最大大小(后体限制)。必须始终启用该选项。

日志-记录此安全检查的冲突情况。

统计数据-为此安全检查生成统计数据。

检查查询内容类型检 查以下内容类型的已注入 SQL 和跨站点脚本的请求查询和 Web 表单。

set appfw profile test_profile -inspectQueryContentTypes HTML XML JSON OTHER

可能的值:HTML、XML、JSON、其他

默认情况下,对于基本和高级应用程序配置文件,此参数被设置为“检查查询内容类型:HTML JSON 其他”。

错误 URL 表达式。Citrix Web App Firewall 用作错误 URL 的 URL。最大长度:2047 年。

注意:

对于阻止请求 URL 中的违规,如果错误 URL 与签名 URL 相似,则设备将重置连接。

Web App Firewall 配置文件设置