Citrix ADC

拒绝 URL 检查

拒绝 URL 检查检查并阻止与黑客和恶意代码通常访问的 URL 的连接。此检查包含一个 URL 列表,这些 URL 是黑客或恶意代码的常见目标,而且很少出现在合法请求中。您还可以将 URL 或 URL 模式添加到列表中。拒绝 URL 检查可防止针对 Web 服务器软件或许多网站上已知存在的各种安全漏洞的攻击。

拒绝 URL 检查优先于开始 URL 检查,因此即使在开始 URL 放宽通常允许请求继续时,也会拒绝恶意连接尝试。

在“修改拒绝 URL 复选”对话框的“常规”选项卡上,您可以启用或禁用“阻止”、“日志”和“统计”操作。

如果使用命令行界面,则可以输入以下命令来配置拒绝 URL 检查:

  • set appfw profile <name> -denyURLAction [**block**] [**log**] [**stats**] [**none**]

要创建和配置您自己的拒绝 URL,您必须使用 GUI。在“修改拒绝 URL 检查”对话框的“检查”选项卡上,单击“添加”以打开“添加拒绝 URL”对话框,或选择现有用户定义的拒绝 URL,然后单击“打开”打开“修改拒绝 URL 对话框”。任一对话框都提供了用于创建和配置拒绝 URL 的相同选项。

以下是拒绝 URL 表达式的示例:

  • 不允许用户直接访问 images.example.com 上的图像服务器:

     ^http://images[.]example[.]com$
    
  • 不允许用户直接访问 CGI (.cgi) 或 PERL (.pl) 脚本:

     ^http://www[.]example[.]com/([0-9A-Za-z][0-9A-Za-z_-]\*/)\*
     [0-9A-Za-z][0-9A-Za-z_.-]*[.](cgi|pl)$
    
  • 以下是相同的拒绝 URL,修改为支持非 ASCII 字符:

     ^http://www[.]example[.]com/(([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])\*/)\*([0-9A-Za-z]|x[0-9A-Fa-f][0-9A-Fa-f])
     ([0-9A-Za-z_-]|x[0-9A-Fa-f][0-9A-Fa-f])*[.](cgi|pl)$
    

小心:

正则表达式非常强大。特别是如果您不完全熟悉 PCRE 格式的正则表达式,请仔细检查您编写的任何正则表达式。确保他们准确地定义了要阻止的 URL 或模式,而不是别的。粗心地使用通配符,尤其是点星号 (.*) 元字符/通配符组合,可能会产生您不希望的结果,例如阻止访问您不打算阻止的 Web 内容。

拒绝 URL 检查