动态分析

学习功能是一个模式筛选器,用于观察和学习后端服务器上的活动。基于观察结果,学习引擎为每次安全检查生成多达 2000 个规则或异常(放松)。为了自动执行该过程并自动部署放宽规则,Citrix ADC 设备使用动态分析。

通过动态分析,设备记录预定义阈值的学习数据,并向用户发送 SNMP 警报。如果用户未在宽限期内跳过数据,设备会自动将其部署为放宽规则。以前,用户必须手动部署放宽规则。目前,动态分析仅适用于 HTML SQL 注入、HTML 跨站脚本、字段格式和开始 URL 安全检查。

例如,考虑启用了动态分析的 HTML SQL 注入安全检查。您可以将学习用于 IP 列表(称为“可信学习客户端”列表),学习功能应从中生成建议。要配置受信任客户端的列表,请参阅学习受信任客户端主题。如果传入流量存在冲突行为,则将其记录为学习的数据。如果学习的数据记录在学习引擎中,设备会向用户发送 SNMP 警报。如果用户无法识别误报并且在宽限期内没有跳过学习的数据,设备会自动将其部署为放松规则。

注意配置动态配置文件 后,必须定期检查设备配置以便自动部署放宽规则,并将其保存在设备上。

使用 Citrix ADC 命令接口配置动态分析

动态分析可用于“开始 URL”、“HTML 跨站点脚本”、“字段格式”或“HTML SQL 注入”安全检查。要配置动态分析,必须完成以下步骤。

  1. 配置动态学习
  2. 配置自动部署宽限期

配置动态学习

作为第一步,您必须在设备上配置动态学习。在命令提示窗口中,键入:

set appfw profile <profile_name> dynamicLearning <security_checks>

示例

set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL

配置自动部署宽限期

在特定安全检查上启用该功能后,必须为自动部署配置宽限期。

set appfw learningsettings <profile name> -crossSiteScriptingAutoDeployGracePeriod <seconds> set appfw learningsettings <profile name> fieldFormatAutoDeploymentGracePeriod <seconds> set appfw learningsettings <profile name> SQLInjectionAutoDeploymentGracePeriod <seconds> set appfw learningsettings <profile name> –startURLAutoDeployGracePeriod <seconds>

示例

set appfw learningsettings test1 –crossSiteScriptingAutoDeployGracePeriod 30 set appfw learningsettings test1 –startURLAutoDeployGracePeriod 7 set appfw learningsettings test1 –fieldFormatAutoDeploymentGracePeriod 10 set appfw learning settings test1 –SQLInjectionAutoDeploymentGracePeriod 12

使用 Citrix ADC GUI 配置动态分析

  1. 导航到 安全 > 应用程序防火墙 > 配置文件
  2. 在详细信息窗格中,选择一个配置文件,然后单击 编辑
  3. Citrix Web 应用程序配置文件 页面中,单击“高级设置”下的“动态分析”。

    动态配置文件设置

  4. 在“动态分析”部分中,选择一个安全检查,然后单击“编辑”。

    动态分析部分

  5. 在“动 态分析和学习设置”页面中,设置安全检查的宽限期。

    动态分析部分

  6. 点击 确定完成