Citrix ADC

安全检查概述

Web App Firewall 高级保护(安全检查)是一组过滤器,旨在捕捉受保护的网站和 Web 服务上的复杂或未知攻击。安全检查使用启发式、正安全性和其他技术来检测单独由签名无法检测到的攻击。您可以通过创建和配置 Web App Firewall 配置文件来配置安全检查,该配置文件是用户定义的设置集合,用于告知 Web App Firewall 要使用哪些安全检查以及如何处理未通过安全检查的请求或响应。配置文件与签名对象以及用于创建安全配置的策略相关联。

Web App Firewall 提供了 20 项安全检查,这些检查的目标攻击类型及其配置的复杂程度差异很大。安全检查分为以下几类:

  • 常见的安全检查。适用于不涉及内容或同样适用于所有类型内容的 Web 安全任何方面的检查。
  • HTML 安全检查。检查 HTML 请求和响应。这些检查适用于基于 HTML 的网站和 Web 2.0 站点的 HTML 部分,其中包含混合的 HTML 和 XML 内容。
  • XML 安全检查。检查 XML 请求和响应的检查。这些检查适用于基于 XML 的 Web 服务和 Web 2.0 站点的 XML 部分。

安全检查可防范各种类型的攻击,包括对操作系统和 Web 服务器软件漏洞的攻击、SQL 数据库漏洞、网站和网络服务的设计和编码中的错误,以及无法保护托管或可访问敏感网站的安全信息.

所有安全检查都有一组配置选项,即检查操作,用于控制 Web App Firewall 如何处理与检查匹配的连接。三个检查操作可用于所有安全检查。具体如下:

  • 阻止。阻止与签名匹配的连接。默认情况下禁用。
  • 日志。记录与签名匹配的连接,以供日后分析。默认已启用。
  • 统计数据。维护每个签名的统计信息,以显示其匹配的连接数量,并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。

第四个检查操作Learn可用于半数以上的检查操作。它会观察到受保护的 Web 站点或 Web 服务的流量,并使用反复冲突安全检查的连接来生成检查的推荐异常(放宽)或检查的新规则。除了检查操作之外,某些安全检查还包含参数,用于控制检查用于确定哪些连接冲突检查的规则,或者配置 Web App Firewall 对冲突检查的连接的响应。这些参数对于每个检查都是不同的,并且在每个检查的文档中描述了这些参数。

[要配置安全检查,您可以使用 Web App Firewall 向导(如中所述)Web App Firewall 向导[],也可以手动配置安全检查(如使用 GUI 手动配置()。]某些任务(例如手动输入放宽或规则或查看学习的数据)只能通过 GUI 而不是命令行来完成。使用该向导通常是最佳的配置方法,但在某些情况下,如果您完全熟悉该向导并且只想调整配置以进行单个安全检查,手动配置可能会更容易。

无论使用哪种方法配置安全检查,每个安全检查都要求执行某些任务。许多检查要求您指定例外(放宽),以防止阻止合法流量,然后再启用阻止该安全检查。您可以手动执行此操作,方法是在筛选一定数量的流量后观察日志条目,然后创建必要的异常。但是,启用学习功能并让它观察流量并建议必要的例外情况通常要容易得多。

Web App Firewall 在处理事务时使用数据包引擎 (PE)。每个数据包引擎的会话限制为 100K,这足以满足大多数部署方案。但是,当 Web App Firewall 处理大量流量并且会话超时配置为较高的值时,会话可能会累积。如果活动的 Web App Firewall 会话数超过每个 PE 100K 限制,则 Web App Firewall 安全检查冲突可能不会发送到安全智能分析设备。将会话超时降低到较小的值,或使用无会话 URL 关闭或无会话字段一致性的安全检查使用无会话模式可能有助于防止会话累积。如果在事务可能需要较长会话的情况下,这不是一个可行的选项,建议升级到具有更多数据包引擎的更高端平台。

添加了对缓存的 AppFirewall 的支持,并且通过 CLI 每核心的最大会话设置设置为 50K 会话。

安全检查概述