Citrix ADC

Citrix Web App Firewall

Citrix Web App Firewall 提供了轻松配置的选项,以满足广泛的应用程序安全要求。Web App Firewall 配置文件由一组安全检查组成,可以通过提供深度数据包级检查来保护请求和响应。每个配置文件都包含用于选择基本保护或高级保护的选项。某些保护措施可能需要使用其他文件。例如,xml 验证检查可能需要 WSDL 或架构文件。配置文件还可以使用其他文件,例如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以备将来使用。

每个策略都标识一种流量类型,并检查该流量是否存在与在策略关联的配置文件中指定的安全检查冲突。这些策略可以有不同的绑定点,这些绑定点决定了策略的范围。例如,绑定到特定虚拟服务器的策略仅针对流经该虚拟服务器的流量调用和评估。将按照指定的优先级顺序对策略进行评估,并应用与请求或响应匹配的第一个策略。

重要

在 Citrix ADC GUI 中指定表达式时,请勿指定 HTML 标记,因为 GUI 会删除标签而仅保留文本。

  • 快速部署 Web App Firewall 保护

    可以使用以下过程快速部署 Web App Firewall 安全性:

    1. 添加 Web App Firewall 配置文件,然后根据应用程序的安全要求选择适当的类型(html、xml、JSON)。
    2. 选择所需的安全级别(基本或高级)。
    3. 添加或导入所需的文件,例如签名或 WSDL。
    4. 将配置文件配置为使用文件,并对默认设置进行任何其他必要的更改。
    5. 为此配置文件添加 Web App Firewall 策略。
    6. 将策略绑定到目标绑定点并指定优先级。
  • Web App Firewall 实体

    Profile(配置文件)- Web App Firewall 配置文件指定要查找的内容和执行的操作。它会检查请求和响应,以确定必须检查哪些潜在的安全冲突以及处理事务时必须采取哪些措施。配置文件可以保护 HTML、XML 或 HTML 和 XML 有效负载。根据应用程序的安全要求,您可以创建基本配置文件或高级配置文件。基本配置文件可以防范已知的攻击。如果需要更高的安全性,则可以部署高级配置文件以允许对应用程序资源进行受控制的访问,从而阻止零日攻击。但是,可以修改基本配置文件以提供高级保护,反之亦然。有多个操作选项(例如,阻止、记录、学习和转换)。高级安全检查可能会使用会话 cookie 和隐藏表单标记来控制和监视客户端连接。Web App Firewall 配置文件可以了解触发的冲突并建议执行放宽规则。

    Basic Protections(基本包含)- 基本配置文件包括一组预配置的“开始 URL”和“拒绝 URL 放宽规则”。这些放宽规则决定了必须允许哪些请求以及必须拒绝哪些请求。传入的请求将与这些列表匹配,并应用配置的操作。这使用户能够以最小的配置来保护应用程序的安全,以应用放宽规则。“开始 URL”规则可防止强制浏览。通过启用一组默认的拒绝 URL 规则,可以检测和阻止黑客利用的已知 Web 服务器漏洞。也可以轻松检测经常启动的攻击,例如缓冲区溢出、SQL 或跨站点脚本。

    Advanced Protections(高级保护)- 正如名称所示,高级保护用于安全要求较高的应用程序。放宽规则配置为仅允许访问特定数据并阻止其余数据。这种积极的安全模式可缓解未知攻击,而基本安全检查可能无法检测这些攻击。除了所有基本保护外,高级配置文件通过控制浏览、检查 cookie、指定各种表单域的输入要求以及防止篡改表单或跨站点请求伪造攻击来跟踪用户会话。默认情况下,许多安全检查都启用了学习,它可以观察流量并部署适当的放宽规则。高级保护虽然易于使用,但需要适当考虑,因为它们提供了更严格的安全性,但也需要更多的处理,并且不允许使用缓存,这可能会影响性能。

    导入 - 当 Web App Firewall 配置文件必须使用外部文件(即托管在外部或内部 Web 服务器上的文件或必须从本地计算机复制的文件)时,导入功能非常有用。导入文件并将其存储在设备上非常有用,尤其是在必须控制对外部 Web 站点的访问、编译需要很长时间、必须在高可用性部署之间同步大型文件的情况下,或者您可以通过跨多个设备复制文件来重复使用文件。例如:

    • 在阻止访问外部 Web 站点之前,可以在本地导入托管在外部 Web 服务器上的 WSDL。
    • 可以使用 Citrix 设备上的架构导入和预编译由外部扫描工具(例如 Cenzic)生成的大型签名文件。
    • 可以从外部 Web 服务器导入自定义的 HTML 或 XML 错误页面,也可以从本地文件复制。

    签名 - 签名功能非常强大,因为它们使用模式匹配来检测恶意攻击,并且可以配置为检查事务的请求和响应。需要可定制的安全解决方案时,签名是首选方案。检测到签名匹配时,可以选择多种可供采取的操作(例如,阻止、记录、学习和转换)。Web App Firewall 有一个内置的默认签名对象,由 1300 多个签名规则组成,可以选择使用自动更新功能来获取最新规则。也可以导入其他扫描工具创建的规则。可以通过添加新规则来自定义签名对象,这些规则可与在 Web App Firewall 配置文件中指定的其他安全检查一起使用。签名规则可以有多种模式,并且只有在所有模式都匹配时才能标记冲突,从而避免误报。仔细选择规则的文字 fastmatch 模式可以显著优化处理时间。

    Policies(策略)- Web App Firewall 策略用于过滤流量并将其分成不同类型。这样可以灵活地为应用程序数据实施不同级别的安全保护。对高度敏感数据的访问可以定向到高级安全检查,而不太敏感的数据则受基本级别安全检查的保护。还可以将策略配置为绕过对无害流量的安全检查。更高的安全性需要更多的处理,因此仔细设计策略可以提供所需的安全性以及优化的性能。策略的优先级决定了其评估顺序,绑定点决定了其应用范围。

重要内容

  1. 能够通过保护不同类型的数据、为不同资源实施适当级别的安全性来保护各种应用程序,同时仍能获得最大性能。
  2. 灵活地添加或修改安全配置。可以通过启用或禁用基本保护和高级保护来收紧或放松安全检查。
  3. 选择将 HTML 配置文件转换为 XML 或 Web2.0 (HTML+XML) 配置文件,反过来,为不同类型的有效负载提供了灵活性。
  4. 轻松部署的操作可阻止攻击、在日志中监视攻击、收集统计信息,甚至转换一些攻击字符串以使其无害。
  5. 能够通过检查传入的请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据泄露。
  6. 能够从流量模式中学习,以获取关于易于编辑的放松规则的建议,可以部署这些规则以允许例外。
  7. 混合安全模型,该模型应用可自定义签名的强大功能来阻止符合指定模式的攻击,并提供利用积极安全模型检查的灵活性来实现基本或高级安全保护。
  8. 提供全面的配置报告,包括有关 PCI-DSS 合规性的信息。
Citrix Web App Firewall