签名编辑器

您可以使用 GUI 中提供的特征编辑器将新的用户定义(本地)签名规则添加到现有签名对象,或者修改以前配置的本地签名规则。除了由用户(您)定义之外,本地签名规则的属性与 Citrix 的默认签名规则具有相同的属性,并且其运作方式相同。您可以启用或禁用它,并为其配置签名操作,就像对默认签名所做的那样。

如果您需要保护您的网站和服务免受现有签名不匹配的已知攻击,请添加本地规则。例如,您可能会发现新类型的攻击并通过检查 Web 服务器上的日志来确定其特征,或者您可能会获取有关新类型攻击的第三方信息。

签名规则的核心是规则 模式,它们共同描述了规则旨在匹配的攻击的特征。每个模式可以由简单字符串、PCRE 格式的正则表达式或内置 SQL 注入或跨站点脚本模式组成。

您可能希望通过添加新模式或修改现有模式以匹配攻击来修改签名规则。例如,您可能会了解攻击的更改,或者通过检查 Web 服务器上的日志或第三方信息来确定更好的模式。

使用签名编辑器添加或修改本地签名规则

  1. 导航到 安全 > 应用程序防火墙 > 签名

  2. 在详细信息窗格中,选择要编辑的签名对象,然后单击 打开

  3. 在“修改签名对象”对 话框的“筛选结果”窗口下的屏幕中间,执行以下操作之一:

    • 要添加新的本地签名规则,请单击“添加”。
    • 若要修改现有的本地签名规则,请选择该规则,然后单击“打开”。
  4. 在“添加本地签名规则”或“修改本地签名规则”对话框中,通过选中相应的复选框来配置签名的操作。

    • 已启用。启用新的签名规则。如果未选择此选项,则此新签名规则将添加到您的配置中,但处于非活动状态。
    • 块。阻止冲突此签名规则的连接。
    • 日志。将冲突此签名规则的行为记录到 Citrix ADC 日志中。
    • 统计。在统计数据中包括冲突此签名规则的行为。
    • 删除。从响应中删除与签名规则匹配的信息。(仅适用于响应规则。)
    • X-Out。掩盖与字母 X 相匹配的签名规则的信息(仅适用于响应规则。)
    • **允许重复项。 **允许在此签名对象中重复此签名规则。
  5. 从“类别”下拉列表中为新签名规则选择一个 类别

    您还可以通过单击列表右侧的图标并使用“添加签名规则类别”对话框将新类别添加到列表中来创建新类别,您正在修改的规则将自动添加到新类别中。相关说明,请参阅添加签名规则类别

  6. LogString 文本框中,键入要在日志中使用的签名规则的简要说明。

  7. 注释 文本框中,键入注释。(可选)

  8. 单击更多…,然后修改高级选项。

    1. 要在应用此签名规则之前删除 HTML 注释,请在“删除注释”下拉列表中选择“全部”或“排除脚本标签”。
    2. 要设置 CSRF 引用标头检查,请在 CSRF 引用标头检查单选按钮阵列中选择“如果存在”或“始终”单选按钮。
    3. 要手动修改分配给此本地签名规则的规则 ID,请在“规则 ID”文本框中修改编号。ID 必须是介于 1000000 和 1999999 之间的正整数,且尚未分配给本地签名规则。
    4. 要将版本号分配给新签名规则,请在“版本号”文本框中修改编号。
    5. 要分配源 ID,请修改源 ID 文本框中的字符串。
    6. 要指定源,请从“源”下拉列表中选择“本地”或“Snot”,或单击列表右侧的“添加”图标并添加新源。
    7. 若要将伤害评分分配给冲突此本地签名规则的行为,请在伤害评分文本框中键入 1 到 10 之间的数字。
    8. 要为此本地签名规则分配严重性等级,请在“严重性”下拉列表中选择“高”、“中”或“低”,或单击列表右侧的“添加”图标并添加新的严重性等级。
    9. 要为此本地签名规则分配冲突类型,请在“类型”下拉列表中选择“易受攻击”或“警告”,或单击列表右侧的“添加”图标并添加新的冲突类型。
  9. 在板 列表中,添加或编辑模式。

    • 要添加模式,请单击“添加”。在“创建新签名规则模 式”对话框中,为您的签名规则添加一个或多个模式,然后单 “确定”。
    • 若要编辑模式,请选择模式,然后单击“打开”。在“编 辑签名规则模式”对话框中,修改该模式,然后单 “确定”。

    有关添加或编辑模式的更多信息,请参阅签名规则模式

  10. 单击确定