Citrix ADC

配置 Web App Firewall 配置文件

要配置用户定义的 Web App Firewall 配置文件,首先配置安全检查,在 Web App Firewall向导中称为深度保护高级保护 。如果您要使用它们,某些检查需要配置。其他配置具有安全但范围有限的默认配置;您的网站可能需要或受益于利用某些安全检查的其他功能的不同配置。

配置安全检查后,还可以配置许多其他设置来控制行为,而不是单个安全检查,而是控制 Web App Firewall 功能的行为。默认配置足以保护大多数网站,但您应该查看它们,以确保它们适用于受保护的网站。

有关 Web App Firewall 安全检查的更多信息,请参阅高级保护

使用命令行配置 Web App Firewall 配置文件

在命令提示符下,键入以下命令:

  • set appfw profile <name> <arg1> [<arg2> ...]

    其中:

    • <arg1> = 一个参数和任何关联的选项。
    • <arg2> = 第二个参数和任何关联的选项。
    • … = 其他参数和选项。

    有关配置特定安全检查时要使用的参数的说明,请参阅高级保护

  • save ns config

示例

以下示例演示如何在名为 pr-basic 的配置文件中为 HTML SQL 注入和 HTML 跨站点脚本检查启用阻止。此命令允许阻止这些操作,同时不对配置文件进行其他更改。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

使用 GUI 配置 Web App Firewall 配置文件

  1. 导航到安全 > 应用程序防火墙 > 配置文件
  2. 在详细信息窗格中,选择要配置的配置文件,然后单击 编辑
  3. 配置 Web App Firewall 配置文件对话框的安全检查选项卡上,配置安全检查。

    • 要为检查启用或禁用操作,请在列表中选择或清除该操作的复选框。

    • 要为包含这些参数的校验配置其他参数,请在列表中单击该校验最右侧的蓝色 V 形。在出现的对话框中,配置参数。这些服务从检查到检查都有所不同。

      您还可以选择一个复选框,然后在对话框底部单击打开以显示该复选框的配置放宽对话框或配置规则对话框。这些对话框也因检查而异。其中大多数都包括检查选项卡和“常 选项卡。如果该校验支持放宽或用户定义的规则,则检查选项卡包含添加按钮,该按钮将打开另一个对话框,您可以在该对话框中为校验指定放宽或规则。(放宽是免除指定流量检查的规则。) 如果已配置放宽,则可以选择一个放宽,然后单击打开以修改它。

    • 若要查看已学习的异常或校验的规则,请选择该校验,然后单击 已知的冲突。在管理学习规则对话框中,依次选择每个已学习的异常或规则。

      • 要编辑异常或规则,然后将其添加到列表中,请单击编辑和部署
      • 若要在不修改的情况下接受例外或规则,请单击部署
      • 要从列表中删除异常或规则,请单击跳过
    • 要刷新要查看的例外或规则列表,请单击 刷新

    • 要打开学习可视化工具并使用它来查看学习的规则,请单击可视化工具

    • 查看与校验匹配的连接的日志条目,选择校验,然后单击日志。您可以使用此信息确定哪些检查是匹配攻击,以便您可以为这些检查启用阻止。您还可以使用此信息确定哪些检查与合法流量匹配,以便您可以配置适当的豁免以允许这些合法连接。有关日志的更多信息,请参阅日志、统计信息和报告

    • 要完全禁用检查,请在列表中清除该检查右侧的所有复选框。

  4. 设置选项卡上,配置配置文件设置。
    • 要将配置文件与之前创建和配置的签名集相关联,请在“常用设置”下拉列表中选择该 签名 集。

      注意:

      您可能需要使用对话框右侧的滚动条向下滚动以显示“常用设置”部分。

    • 要配置 HTML 或 XML 错误对象,请从相应的下拉列表中选择对象。

      注意:

      您必须首先上载要在“导入”窗格中使用的错误对象。有关导入错误对象的更多信息,请参阅导入

    • 要配置默认 XML 内容类型,请直接在“默认请求”和“默认响应”文本框中键入内容类型字符串,或单击“管理允许的内容类型”以管理允许的内容类型列表。 » 更多…
  5. 如果要使用学习功能,请单击“学习”,然后配置配置文件的学习设置,如中所述配置和使用学习功能
  6. 击“确定保存更改并返回配置文件窗格。

配置 Web App Firewall 配置文件