ADC

Snort 规则集成

在对 Web 应用程序进行恶意攻击时,保护您的内部网络非常重要。恶意数据不仅会在接口级别影响您的 Web 应用程序,而且恶意数据包还会到达应用程序层。要克服此类攻击,必须配置一个入侵检测和防御系统来检查您的内部网络。

Snort 规则已集成到设备中,用于检查应用程序层数据包中的恶意攻击。您可以下载 snort 规则并将其转换为 WAF 签名规则。签名具有基于规则的配置,可以检测恶意活动,例如 DOS 攻击、缓冲区溢出、隐身端口扫描、CGI 攻击、SMB 探测和操作系统指纹识别尝试。通过集成 Snort 规则,您可以在界面和应用程序级别加强您的安全解决方案。

配置 snort 规则

配置首先下载 Snort 规则,然后将其导入 WAF 签名规则。将规则转换为 WAF 签名后,这些规则可用作 WAF 安全检查。基于 snort 的签名规则会检查传入的数据包,以检测您的网络是否存在恶意攻击。

导入命令中添加了一个新参数“VendorType”,用于将 Snort 规则转换为 WAF 签名。

在 SNORT 上仅为 Snort 规则设置参数“VendorType”。

使用命令界面下载 snort 规则

您可以从下面的 URL 下载Snort规则作为文本文件:

https://www.snort.org/downloads/community/snort3-community-rules.tar.gz

使用命令界面导入 snort 规则

下载后,您可以将 Snort 规则导入到您的设备中。

在命令提示符下,键入:

import appfw signatures <src> <name> [-xslt <string>] [-comment <string>] [-overwrite] [-merge [-preservedefactions]] [-sha1 <string>] [-VendorType Snort]

示例:

import appfw signatures http://www.example.com/ns/signatures.xml sig-snort –comment “signatures from snort rules” –VendorType snort

参数:

Src。存储导入的签名对象的位置的 URL(协议、主机、路径和文件名)。

注意:

如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入将失败。最大长度的强制性参数:2047

名称。分配给 Citrix ADC 上的签名对象的名称。最大长度的强制性参数:31

评论。描述如何保留有关签名对象的信息。 最大长度:255 覆盖。重写任何同名的现有签名对象。

合并。将现有签名与新的签名规则合并。

保存的派系。保留签名规则的默认操作。

VendorType。第三方供应商生成 WAF 签名。可能的值:Snort。

使用 Citrix ADC GUI 配置 snort 规则

Snort 规则的 GUI 配置类似于配置其他外部 Web 应用程序扫描器,例如 Cenzic、Qualys、Whitehat。

请按照以下步骤配置 Snort:

  1. 导航到配置 > 安全 > Citrix Web App Firewall > 签名
  2. 在“签名”页面中,单击“添加”。
  3. 添加签名 页面中,设置以下参数来配置 Snort 规则。

    1. 文件格式。将文件格式选择为外部。
    2. 从中导入。选择导入选项作为 snort 文件或 URL 来输入 URL。
    3. Snort V3 供应商。选中该复选框可从文件或 URL 导入 Snort 规则。
  4. 单击打开

    添加签名

    设备将 Snort 规则作为基于 snort 的 WAF 签名规则导入。

    最佳做法是,您必须使用筛选操作在设备上启用您希望作为 WAF 签名规则导入的 snort 规则。

    导入基于 snort 的签名

  5. 要确认操作,请单击 Yes(是)。

  6. 所选规则已在设备上启用。

  7. 单击确定
Snort 规则集成