Citrix ADC

文件上载保护

许多攻击者尝试在多表单提交期间将恶意代码、病毒或恶意软件作为文件附件上载。重要的是要保护我们的网络,克服这些威胁。为了防止此类恶意文件上载,Citrix ADC 管理员现在可以在 WAF 配置文件中配置一组允许的文件上载格式。通过这样做,您可以将文件上载限制为特定格式,并保护设备免受恶意文件上载的影响。但是,只有当您禁用 WAF 配置文件中的 ExcludeFileUploadFormChecks 选项时,保护才起作用。

文件上载的工作原理

配置允许的文件上载格式时,组件交互如下所示:

  • 客户端请求具有文件上传类型的表单提交,例如 PDF。
  • 作为安全检查的一部分,WAF 检查请求负载并验证文件类型(基于魔幻签名号)。
  • 如果文件类型是允许的文件格式,则应用基于文件类型绑定的相应操作。
  • 要验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数字。
  • 仅当验证通过时,WAF 将文件识别为允许的格式,并应用关联的操作。

使用 Citrix ADC CLI 配置文件类型上载

要配置允许的文件格式,设备使用绑定到文件上载参数的 WAF 配置文件。

  1. 配置 Web App Firewall 配置文件

要配置 Web App Firewall 配置文件,请键入以下内容:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

示例

set appfw profile profile1 –fileUploadTypesAction block

  1. 使用文件上载参数绑定 Web App Firewall 配置文件。

要使用文件上载参数绑定配置文件,请键入以下内容:

bind appfw profile <profile_name> - fileUploadType <form_field > <form_action_url> -fileType <fileType> ( pdf | msdoc | text | image | any)

示例

bind appfw profile profile1 -fileuploadType image action_url -fileType image

使用 Citrix ADC GUI 配置文件上传安全保护

按照以下步骤设置文件上载设置。

  1. 在导航窗格中,导航到安全 > 配置文件
  2. 在“配置文件”页中,单击添加
  3. Citrix Web App Firewall 配置文件页面中,单击高级设置下的安全检查
  4. 安全检查部分,转到文件上载类型设置。

    配置文件上载安全设置

  5. 选中该复选框并单击 操作设置
  6. 在“文 件上载类型设置”页面中,设置文件上载操作。
  7. 单击确定
  8. Citrix Web App Firewall 配置文件 页面中,单 击确定完成

    配置文件上载安全设置

使用 Citrix ADC GUI 配置文件上传放松规则

您可以放松文件上传安全保护以避免误报。例如,设备可能会阻止文件上传,但您可以添加放松规则以允许从特定网站上传文件。通过执行此操作,设备将绕过指定表单域的安全检查,并允许用户从操作 URL 中提到的网站上传文件。

按照以下步骤创建放松规则。

  1. 在导航窗格中,导航到安全 > Citrix Web App Firewall < 配置文件
  2. 在“配置文件”页中,单击添加
  3. Citrix Web App Firewall 配置文件 页面中,单击高级设置下的放宽规则
  4. 放松规则部分,选择文件上传类型,然后单击编辑

    配置文件上载安全设置

  5. 在“文 件上载类型重新规则页中,单击添加
  6. 在“文 件上载类型放松规则页中,设置以下参数:

    1. 已启用。选中此复选框可启用放松规则。
    2. 表单域名称。输入不需要安全检查的字段名称。
    3. 操作 URL。必须免除安全检查的表单提交 URL。
    4. 文件类型。必须允许用户上传的文件类型。
    5. 评论。有关文件上传的简要说明。
  7. 单击创建

    配置文件上载安全设置

  8. Citrix Web App Firewall 配置文件 页面中,单 击确定完成

    配置文件上载安全设置

文件上载保护