Citrix ADC

签名

Web App Firewall 签名提供了特定的可配置规则,以简化保护您的网站免受已知攻击的任务。签名表示一种模式,该模式是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。丰富的预配置 Web App Firewall 内置规则或本机规则提供了一个易于使用的安全解决方案,利用模式匹配的功能来检测攻击并防止应用程序漏洞。

您可以在内置模板中创建自己的签名或使用签名。Web App Firewall 有两个内置模板:

  • 默认签名:除了 SQL 注入关键字、SQL 特殊字符串、SQL 转换规则和 SQL 通配符的完整列表外,此模板还包含超过 1,300 个签名的预配置列表。它还包含用于跨站点脚本的拒绝模式,以及用于跨站点脚本的允许属性和标签。这是一个只读模板。您可以查看内容,但无法添加、编辑或删除此模板中的任何内容。要使用它,您必须制作一个副本。在您自己的副本中,您可以启用要应用于流量的签名规则,并指定签名规则与流量匹配时要执行的操作。

Web App Firewall 签名来自发布的规则Snort,该规则是一个开源入侵防护系统,能够执行实时流量分析以检测各种攻击和探测器。

  • * Xpath 注入模式:此模板包含一组预先配置的文字和 PCRE 关键字以及用于检测 XPath(XML 路径语言)注入攻击的特殊字符串。

空白签名:除了复制内置 默认签名模板外,您还可以使用空白签名模板创建签名对象。使用空白签名选项创建的签名对象没有任何本机签名规则,但与默认模板一样,它具有所有 SQL/XSS 内置实体。

外部格式签名:Web App Firewall 还支持外部格式签名。您可以使用 Citrix Web App Firewall 支持的 XSLT 文件导入第三方扫描报告。一组内置的 XSLT 文件可用于以下扫描工具,用于将外部格式文件转换为本机格式:

  • 新西奇
  • Web 应用程序的深度安全性
  • IBM AppScan Enterprise
  • IBM AppScan Standard。
  • 血液
  • 高质量云
  • Whitehat
  • Hewlett Packard Enterprise WebInspect
  • Rapid7 Appspider
  • 阿库尼蒂克斯

为您的应用程序提供安全保护

更严格的安全性会增加处理开销。签名提供以下部署选项,帮助您优化应用程序的保护:

  • 负面安全模型:对于负面安全模型,您可以使用一组丰富的预配置签名规则来应用模式匹配的功能来检测攻击并防范应用程序漏洞。您只阻止您不想要的东西,并允许其余的。您可以根据应用程序的特定安全需求添加自己的签名规则,以设计您自己的定制安全解决方案。

  • 混合安全模型:除了使用签名之外,您还可以使用正面的安全检查来创建适合您的应用程序的配置。使用签名阻止您不需要的内容,并使用正面安全检查强制执行允许的内容。

要使用签名保护您的应用程序,必须配置一个或多个配置文件以使用您的签名对象。在混合安全配置中,签名对象中的 SQL 注入和跨站点脚本模式以及 SQL 转换规则不仅用于签名规则,而且还用于在使用签名对象的 Web App Firewall 配置文件中配置的正面安全检查。

Web App Firewall 检查到受保护的网站和 Web 服务的流量,以检测与签名匹配的流量。仅当规则中的每个模式与流量匹配时,才会触发匹配。发生匹配时,将调用规则的指定操作。当请求被阻止时,您可以显示错误页面或错误对象。日志消息可帮助您识别针对您的应用程序启动的攻击。如果启用统计信息,Web App Firewall 会维护与 Web App Firewall 签名或安全检查相匹配的请求的数据。

如果流量同时匹配签名和正面安全检查,则强制执行这两个操作中的限制性更强。例如,如果请求与禁用阻止操作的签名规则匹配,但请求也匹配该操作被阻止的 SQL 注入正面安全检查,则请求将被阻止。在这种情况下,签名冲突可能会记录为<not blocked>,尽管 SQL 注入检查阻止请求。

定义:如有必要,您可以将自己的规则添加到签名对象。您还可以自定义 SQL/XSS 模式。您可以根据应用程序的特定安全需求添加自己的签名规则,从而灵活地设计自己的定制安全解决方案。您只阻止您不想要的东西,并允许其余的。指定位置中的特定快速匹配模式可显著降低处理开销,以优化性能。您可以添加、修改或删除 SQL 注入和跨站点脚本模式。内置的 RegEx 和表达式编辑器可帮助您配置模式并验证其准确性。

自动更新:您可以手动更新签名对象以获取最新的签名规则,也可以应用自动更新功能,以便 Web App Firewall 可以自动更新基于云的 Web App Firewall 更新服务的签名。

注意:

如果在自动更新期间添加了新的签名规则,则默认情况下将禁用这些规则。您应定期查看更新的签名,并启用新添加的与保护应用程序相关的规则。

必须将 CORS 配置为在 IIS 服务器上托管签名。

当您从 Citrix ADC GUI 访问 URL 时,签名自动更新功能在本地 Web 服务器上不起作用。

入门

使用 Citrix 签名保护您的应用程序非常简单,只需几个简单的步骤即可完成:

  1. 添加签名对象。
  • 您可以使用向导提示您创建整个 Web App Firewall 配置,包括添加配置文件和策略、选择和启用签名以及为签名和正面安全检查指定操作。签名对象将自动创建。
  • 您可以从 * 默认签名模板创建签名对象的副本,使用空白模板创建具有自定义规则的签名,或添加外部格式的签名。启用规则并配置要应用的操作。
  1. 将目标 Web App Firewall 配置文件配置为使用此签名对象。

  2. 发送流量以验证功能

重要内容

  • 默认签名对象是一个模板。它不能被编辑或删除。要使用它,您必须创建一个副本。在您自己的副本中,您可以根据应用程序的需要为每个规则启用规则和所需操作。要保护应用程序,必须将目标配置文件配置为使用此签名。
  • 处理签名模式具有开销。尝试仅启用适用于保护应用程序的签名,而不是启用所有签名规则。
  • 规则中的每个模式都必须匹配才能触发签名匹配。
  • 您可以添加自己的自定义规则来检查传入请求,以检测各种类型的攻击,例如 SQL 注入或跨站点脚本攻击。您还可以添加规则来检查响应,以检测和阻止信用卡号等敏感信息的泄露。
  • 您可以创建现有签名对象的副本并通过添加或编辑规则和 SQL/XSS 模式对其进行调整,以保护其他应用程序。
  • 您可以使用自动更新下载最新版本的 Web App Firewall 默认规则,而无需持续监视来检查新更新的可用性。
  • 一个签名对象可以由多个配置文件使用。即使将一个或多个配置文件配置为使用特征对象,仍然可以启用或禁用签名或更改操作设置。您可以手动创建和修改自己的自定义签名规则。这些更改应用于当前配置为使用此签名对象的所有配置文件。
  • 您可以配置签名以检测各种类型的有效负载(如 HTML、XML、JSON 和 GWT)中的冲突。
  • 您可以导出已配置的签名对象并将其导入到另一个 Citrix ADC 设备,以便轻松复制自定义签名规则。

签名是与已知漏洞相关联的模式。您可以使用签名保护来识别试图利用这些漏洞的流量,并采取特定措施。

签名按类别进行组织。您可以通过仅启用适合于保护应用程序的类别中的规则来优化性能并降低处理开销。

签名