Citrix ADC

Snort 规则集成

对于 Web 应用程序的恶意攻击,保护您的内部网络非常重要。恶意数据不仅在接口级别影响 Web 应用程序,而且恶意数据包也会到达应用程序层。要克服此类攻击,必须配置一个入侵检测和防御系统来检查您的内部网络。

Snort 规则集成到设备中,用于检查应用程序层数据包中的恶意攻击。您可以下载 Snort 规则并将其转换为 WAF 签名规则。特征码具有基于规则的配置,可以检测恶意活动,如 DOS 攻击、缓冲区溢出、隐藏端口扫描、CGI 攻击、SMB 探测和操作系统指纹识别尝试。通过集成 Snort 规则,您可以在界面和应用程序级别强化您的安全解决方案。

配置 Snort 规则

配置首先下载 Snort 规则,然后将其导入 WAF 签名规则。将规则转换为 WAF 签名后,这些规则可用作 WAF 安全检查。基于 Snort 的签名规则检查传入的数据包,以检测您的网络是否存在恶意攻击。

在导入命令中添加了一个新参数“VendorType”,以将 Snort 规则转换为 WAF 签名。

参数“VendorType”是在 SNORT 上设置的,仅适用于 Snort 规则。

使用命令界面下载 Snort 规则

可以从下面的 URL 下载 Snort 规则作为文本文件:

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

使用命令界面导入 Snort 规则

下载后,您可以将 Snort 规则导入到您的设备中。

在命令提示窗口中,键入:

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

示例:

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

参数:

Src. 用于存储导入的签名对象的位置的 URL(协议、主机、路径和文件名)。

注意:

如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入将失败。最大长度的强制参数:2047

名称。分配给 Citrix ADC 上的特征码对象的名称。最大长度的强制参数:31

评论。如何保留有关签名对象的信息的说明。最大长度:255 覆盖。覆盖同名的任何现有签名对象。

合并。将现有签名与新签名规则合并。

防腐剂。保留签名规则的 def 操作。

供应商类型。生成 WAF 签名的第三方供应商。可能的值:Snort。

使用 Citrix ADC GUI 配置 Snort 规则

Snort 规则的 GUI 配置与配置其他外部 Web 应用程序扫描仪(如 Cenzic、Qualys、Whitehat)类似。

按照以下步骤配置 Snort:

  1. 导航到 配置 > 安全性 > Citrix Web App Firewall > 签名称。
  2. 名”页面中,单击添加
  3. 添加签名页面中,设置以下参数以配置 Snort 规则。

    1. 文件格式。选择文件格式作为外部格式。
    2. 从导入。选择导入选项作为 Snort 文件或 URL 以输入 URL。
    3. Snort V3 供应商。选中该复选框可从文件或 URL 导入 Snort 规则。
  4. 单击Open(打开)。

    添加签名

    设备将 Snort 规则导入为基于 Snort 的 WAF 签名规则。

    添加签名

    作为最佳做法,您必须使用筛选器操作来启用希望作为 WAF 签名规则导入到设备上的 Snort 规则。

    导入基于 Snort 的签名

  5. 要确认操作,请单击 Yes(是)。

    “确认”对话框

  6. 选定的规则将在设备上启用。

    已启用基于 Snort 的签名规则

  7. 单击确定

Snort 规则集成