ADC

签名编辑器

您可以使用签名编辑器向现有签名对象添加或修改用户定义的(本地)签名规则。本地签名规则与 Citrix 的默认签名规则具有相同的属性,并且其运行方式相同。您可以启用或禁用它,并为其配置签名操作,就像对默认签名所做的那样。

如果您需要保护自己的网站和服务免受现有签名不匹配的已知攻击,请添加本地规则。例如,您可能会发现新类型的攻击并通过检查 Web 服务器上的日志来确定其特征,或者您可能会获取有关新类型攻击的第三方信息。

签名规则的核心是规则 模式,它们共同描述了规则旨在匹配的攻击的特征。每个模式可以由简单字符串、PCRE 格式的正则表达式或内置 SQL 注入或跨站点脚本模式组成。

您可能希望通过添加新模式或修改现有模式以匹配攻击来修改签名规则。例如,您可能会了解攻击的更改,或者通过检查 Web 服务器上的日志或第三方信息来确定更好的模式。

使用签名编辑器添加或修改本地签名规则

  1. 导航到安全 > Citrix Web App Firewall > 签名

  2. 在详细信息窗格中,选择要编辑的签名对象,然后单击 打开

  3. 在“修改签名对象”对 话框的“筛选结果”窗口下的屏幕中间,执行以下操作之一:

    • 要添加新的本地签名规则,请单击“添加”。
    • 若要修改现有的本地签名规则,请选择该规则,然后单击“打开”。
  4. 在“添加本地签名规则”或“修改本地签名规则”对话框中,通过选中相应的复选框来配置签名的操作。

    • 已启用。启用新的签名规则。如果未选择此选项,则此新签名规则将添加到您的配置中,但处于非活动状态。
    • 阻止。阻止冲突此签名规则的连接。
    • 日志。将冲突此签名规则的行为记录到 Citrix ADC 日志中。
    • 统计。在统计数据中包括冲突此签名规则的行为。
    • 删除。从响应中删除与签名规则匹配的信息。(仅适用于响应规则。)
    • X-Out。掩盖与字母 X 相匹配的签名规则的信息(仅适用于响应规则。)
    • 允许重复项。允许在此签名对象中重复此签名规则。
  5. 从“类别”下拉列表中为新签名规则选择一个 类别

    您也可以通过单击列表右侧的图标并使用添加签名规则类别对话框向列表中添加新类别来创建类别。您正在修改的规则将自动添加到新类别中。有关说明,请参 阅添加签名规则类别

  6. LogString 文本框中,键入要在日志中使用的签名规则的简要说明。

  7. 注释 文本框中,键入注释。(可选)

  8. 单击更多…,然后修改高级选项。

    1. 要在应用此签名规则之前删除 HTML 注释,请在“删除注释”下拉列表中选择“全部”或“排除脚本标签”。
    2. 要设置 CSRF Reerrer 头检查,请在 CSRF 反向链接头检查单选按钮数组中,选择 “如果存在” 或 “始终” 单选按钮。
    3. 要手动修改分配给此本地签名规则的规则 ID,请在“规则 ID”文本框中修改编号。ID 必须是介于 1000000 和 1999999 之间的正整数,且尚未分配给本地签名规则。
    4. 要将版本号分配给新签名规则,请在“版本号”文本框中修改编号。
    5. 要分配源 ID,请修改源 ID 文本框中的字符串。
    6. 要指定源,请从“源”下拉列表中选择“本地”或“Snort”,或单击列表右侧的“添加”图标并添加新源。
    7. 若要将伤害评分分配给冲突此本地签名规则的行为,请在伤害评分文本框中键入 1 到 10 之间的数字。
    8. 要为此本地签名规则分配严重性等级,请在“严重性”下拉列表中选择“高”、“中”或“低”,或单击列表右侧的“添加”图标并添加新的严重性等级。
    9. 要为此本地签名规则分配冲突类型,请在“类型”下拉列表中选择“易受攻击”或“警告”,或单击列表右侧的“添加”图标并添加新的冲突类型。
  9. 在板 列表中,添加或编辑模式。

    • 要添加模式,请单击“添加”。在“创建新签名规则模 式”对话框中,为您的签名规则添加一个或多个模式,然后单 “确定”。
    • 若要编辑模式,请选择模式,然后单击“打开”。在“编 辑签名规则模式”对话框中,修改该模式,然后单 “确定”。

    有关添加或编辑模式的详细信息,请参阅 签名规则模式

  10. 单击 OK(确定)。

签名编辑器