Citrix ADC

IP 信誉

IP 信誉是一种用于识别发送不需要请求的 IP 地址的工具。使用 IP 信誉列表,您可以拒绝来自信誉不良的 IP 地址的请求。通过筛选不想处理的请求来优化 Web 应用程序防火墙性能。重置、删除请求,甚至配置响应者策略以执行特定响应者操作。

以下是您可以通过使用 IP 信誉防止的一些攻击:

  • 病毒感染的个人电脑。 (家用电脑) 是互联网上垃圾邮件的最大来源. IP 信誉可以识别发送不需要的请求的 IP 地址。IP 信誉对于阻止来自已知感染源的大型 DDoS、DoS 或异常 SYN 洪水攻击特别有用。
  • 集中管理和自动化僵尸网络。攻击者因窃取密码而越来越受欢迎,因为当数百台计算机一起工作破解您的密码时,它不需要很长时间。启动僵尸网络攻击很容易找出使用常用字典单词的密码。
  • 受到攻击的网络服务器。攻击并不常见,因为意识和服务器安全性已经提高,所以黑客和垃圾邮件制造者寻找更容易的目标。黑客仍然可以利用 Web 服务器和在线表单来发送垃圾邮件(如病毒和色情)。此类活动更易于检测并快速关闭,或使用声誉列表(如垃圾邮件)阻止。
  • Windows 漏洞。(例如提供或分发恶意软件、shell 代码、rootkit、蠕虫或病毒的活动 IP)。
  • 已知的垃圾邮件发送者和黑客.
  • 大型的电子邮件营销活动
  • 络钓鱼代理 (托管钓鱼网站的 IP 地址,以及其他欺诈,如广告点击欺诈或游戏欺诈)。
  • 匿名代 理(IP 提供代理和匿名服务,包括洋葱路由器又名 TOR)。

Citrix ADC 设备使用 Webroot 作为动态生成的恶意 IP 数据库和这些 IP 地址的元数据的服务提供商。元数据可能包括地理位置详细信息、威胁类别、威胁计数等。Webroot 威胁智能引擎接收来自数百万个传感器的实时数据。它使用先进的机器学习和行为分析,自动并持续地捕获、扫描、分析和评分数据。关于威胁的情报不断更新。

当在网络中的任何位置检测到威胁时,IP 地址将被标记为恶意,并且所有连接到网络的设备都会立即受到保护。通过使用先进的机器学习,IP 地址中的动态变化将以高速和准确的方式处理。

正如 Webroot 的数据手册中所述,Webroot 的传感器网络可识别许多关键 IP 威胁类型,包括垃圾邮件源、Windows 漏洞攻击、僵尸网络、扫描程序等。(请参阅数据手册上的流程图。)

Citrix ADC 设备使用iprep 客户端进程从 Webroot 获取数据库。iprep`` 客户端使用 HTTP GET 方法第一次从 Webroot 获取绝对 IP 列表。稍后,它每 5 分钟检查一次增量变化。

重要:

  • 在使用 IP 信誉功能之前,请确保 Citrix ADC 设备具有 Internet 访问权限并配置 DNS。

  • 要访问 Webroot 数据库,Citrix ADC 设备必须能够连接到端口 443 上的 api.bcti.brotcloud.com。HA 或群集部署中的每个节点都从 Webroot 获取数据库,并且必须能够访问此完全限定域名 (FQDN)。

  • Webroot 目前在 AWS 中托管其声誉数据库。因此,Citrix ADC 必须能够解析 AWS 域以下载信誉数据库。此外,必须为 AWS 域打开防火墙。

  • Citrix ADC 设备可以连接到wiprep-daily.*.amazonaws.com``端口 443 以从 AWS 获取 IP 数据。

  • iPrep 从 Citrix ADC 设备收集使用情况分析,并将数据发送到 Citrix ADM 服务。

注意:

启用 IP 信誉功能后,每个数据包引擎至少需要 4 GB 才能正常工作。

高级策略表达式。通过在绑定到受支持模块(如 Web 应用程序防火墙和响应程序)的策略中使用高级策略表达式(默认语法表达式)配置 IP 信誉功能。以下是两个示例,展示了可用于检测客户端 IP 地址是否为恶意的表达式。

  1. CLIENT.IP.SRC.IPREP_IS_MALICIOUS:如果客户端包含在恶意 IP 列表中,则此表达式计算为 TRUE。
  2. CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY):如果客户端 IP 是恶意 IP 并且处于指定的威胁类别,则此表达式计算为 TRUE。

以下是威胁类别的可能值:

SPAM_SOURCES、WINDOWS_EXPLOITS、WEB_ATTACKS、BOTNETS、 SCANNERS、DOS、REPUTATION、PHISHING、PROXY、NETWORK、 CLOUD_PROVIDERS、MOBILE_THREATS。

注意:

IP 信誉功能检查源 IP 地址和目标 IP 地址。它检测标头中的恶意 IP。如果策略中的 PI 表达式可以标识 IP 地址,则 IP 信誉检查将确定该地址是否为恶意。

IPRep 日志消息。/var/log/iprep.log 文件包含有用的消息,捕获有关与 Webroot 数据库通信的信息。这些信息可以是有关 Webroot 通信期间使用的凭据、无法与 Webroot 连接、更新中包含的信息(例如数据库中的 IP 地址数)。

使用策略数据集创建阻止列表或 IP 允许列表。您可以维护允许列表,以允许访问 Webroot 数据库中列出的特定 IP 地址。您还可以创建自定义的 IP 地址阻止列表,以补充 Webroot 信誉检查。这些列表可以通过使用策略数据集创建。数据集是一种特殊形式的模式集,非常适合 IPv4 地址匹配。要使用数据集,首先创建数据集并将 IPv4 地址绑定到该数据集。配置用于比较数据包中字符串的策略时,请使用适当的运算符并将模式集或数据集的名称作为参数传递。

要创建允许地址列表,以便在 IP 信誉评估期间将其视为例外:

  • 配置策略,以便即使允许列表中的地址被 Webroot(或任何服务提供商)列为恶意地址,PI 表达式的计算结果为 False。

启用或禁用 IP 信誉。IP 信誉是基于许可证的一般信誉功能的一部分。启用或禁用信誉功能时,它将启用或禁用 IP 信誉。

一般程序。部署 IP 信誉涉及以下任务

  • 验证 Citrix ADC 设备上安装的许可证是否具有 IP 信誉支持。高级和独立应用程序防火墙许可证支持 IP 信誉功能。
  • 启用 IP 信誉和应用程序防火墙功能。
  • 添加应用程序防火墙配置文件。
  • 使用 PI 表达式添加应用程序防火墙策略以识别 IP 信誉数据库中的恶意 IP 地址。
  • 将应用程序防火墙策略绑定到适当的绑定点。
  • 验证从恶意地址收到的任何请求是否已记录到 ns.log 文件中,以显示该请求已按照配置文件中的指定进行处理。

使用 CLI 配置 IP 信誉功能

在命令提示窗口中,键入:

  • enable feature reputation
  • disable feature reputation

以下示例演示如何使用 PI 表达式添加应用程序防火墙策略来识别恶意地址。您可以使用内置配置文件,或添加配置文件,或将现有配置文件配置为在请求匹配策略时调用所需的操作。

示例 3 和 4 显示了如何创建策略数据集以生成阻止列表或允许 IP 地址列表。

示例 1:

以下命令创建一个策略,用于识别恶意 IP 地址并在触发匹配时阻止请求:

add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK

示例 2:

以下命令创建一个策略,该策略使用信誉服务检查 X-Forwarded-For 标头中的客户端 IP 地址,并在触发匹配时重置连接。

> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**

示例 3:

以下示例演示如何添加列表以添加允许指定 IP 地址的例外:

> add policy dataset Allow_list1 ipv4

> bind policy dataset Allow_list1 10.217.25.17 -index 1

> bind policy dataset Allow_list1 10.217.25.18 -index 2

示例 4:

以下示例演示如何添加自定义列表以将指定的 IP 地址标记为恶意地址:

> add policy dataset Block_list1 ipv4

> bind policy dataset Block_list1 10.217.31.48 -index 1

> bind policy dataset Block_list1 10.217.25.19 -index 2

示例 5:

以下示例显示了在以下情况下阻止客户端 IP 的策略表达式:

  • 它匹配自定义 Block_list1 中配置的 IP 地址(示例 4)
  • 它与 Webroot 数据库中列出的 IP 地址匹配,除非通过包含在 Allow_list1 中来放松(示例 3)。
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK

使用代理服务器:

如果 Citrix ADC 设备无法直接访问 Internet 并连接到代理服务器,请将 IP 信誉客户端配置为向代理发送请求。

在命令提示窗口中,键入:

set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>

示例:

> set reputation settings proxyServer 10.102.30.112 proxyPort 3128

> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128

> unset reputation settings –proxyserver –proxyport

> sh reputation settings

注意:

代理服务器 IP 可以是 IP 地址或完全限定的域名 (FQDN)。

使用 Citrix ADC GUI 配置 IP 信誉

  1. 导航到系统”>“设置”。在模式和功 能”部分中,单击链接以访问配置高级功 能”窗格并启用信誉复选框。
  2. 单击确定

启用 IP 信誉

使用 Citrix ADC GUI 配置代理服务器

  1. 在配置选项卡上,导航到安全”>“信誉。在置”下,单击更改信誉设置”以配置代理服务器。您还可以启用或禁用信誉功能。代理服务器 可以是 IP 地址或完全限定的域名 (FQDN)。代理端口 接受之间的值[1–65535] 。

信誉设置

使用 GUI 创建允许列表和客户端 IP 地址阻止列表

  1. 配置选项卡上,导航到 AppExpert > 数据集
  2. 单击添加

配置数据集

  • 创建数据集(或配置数据集)窗格中,为 IP 地址列表提供有意义的名称。名称必须反映列表的目的。
  • 选择 类型IPv4
  • 单击 插入 以添加条目。

插入数据集

  • 配置策略数据集绑定窗格中,在“值”输入框中添加 IPv4 格式的 IP 地址。
  • 提供索引。
  • 添加解释列表用途的注释。此步骤是可选的,但建议使用,因为描述性注释有助于管理列表。

同样,您可以创建阻止列表并添加被视为恶意的 IP 地址。

另请参阅,模式集和数据集有关使用数据集和配置默认语法策略表达式的更多详细信息。

使用 Citrix ADC GUI 配置应用程序防火墙策略

  1. 配置选项卡上,导航到安全”>“应用程序防火墙”>“策略”>“防火墙。单击 加”以使用 PI 表达式添加策略以使用 IP 信誉。

您还可以使用表达式编辑器来构建您自己的策略表达式。该列表显示了用于使用威胁类别配置表达式的预配置选项。

重要内容

  • 快速准确地阻止来自构成不同类型威胁的已知恶意 IP 地址的网络边缘的坏流量。您可以在不解析正文的情况下阻止请求。
  • 动态配置多个应用程序的 IP 信誉功能。
  • 保护您的网络免受数据泄露而不会造成性能损失,并使用快速轻松的部署将保护整合到单个服务架构上。
  • 您可以对源 IP 和目标 IP 执行 IP 信誉检查。
  • 您还可以检查标头以检测恶意 IP。
  • 转发代理和反向代理部署都支持 IP 信誉检查。
  • IP 信誉进程与 Webroot 连接,并每 5 分钟更新数据库。
  • 高可用性 (HA) 或群集部署中的每个节点从 Webroot 获取数据库。
  • IP 信誉数据在管理分区部署中的所有分区之间共享。
  • 您可以使用 AppExpert 数据集创建 IP 地址列表,为 Webroot 数据库中列出的 IP 添加例外。您还可以创建自己的自定义阻止列表,将特定 IP 指定为恶意 IP。
  • iprep.db 文件在 /var/nslog/iprep 文件夹中创建。创建后,即使禁用该功能,也不会删除该功能。
  • 启用信誉功能后,将下载 Citrix ADC Webroot 数据库。之后,它每 5 分钟更新一次。
  • Webroot 数据库的主要版本是版本:1。
  • 次要版本每天都会更新。更新版本每 5 分钟后递增一次,并在次要版本递增时重置回 1。
  • 通过 PI 表达式,您可以将 IP 信誉与其他功能(例如响应程序和重写)结合使用。
  • 数据库中的 IP 地址采用十进制表示法。

调试提示

  • 如果您在 GUI 中看不到信誉功能,请验证您拥有正确的许可证。
  • 监视中的消息以var/log/iprep.log 进行调试。
  • Webroot 连接:如果您看到ns iprep: Not able to connect/resolve WebRoot消息,请确保设备具有 Internet 接入并配置 DNS。
  • 代理服务器:如果您看到ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy name消息,请确保代理服务器配置准确。
  • IP 信誉功能不起作用:启用信誉功能后,IP 信誉过程需要大约五分钟才能启动。IP 信誉功能在该持续时间内可能不起作用。
  • 数据库下载:如果启用 IP 信誉功能后 IP DB 数据下载失败,则日志中会出现以下错误。

iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server

解决方案:允许外包流量到以下 URL 或配置代理来解决问题。

localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443

IP 信誉