ADC

配置 Web App Firewall

您可以使用以下任何一种方法配置 NetScaler Web App Firewall(Web App Firewall):

  • Web App Firewall 向导。由一系列屏幕组成的对话框,可引导您完成配置过程。
  • NetScaler Web 界面 AppExpert 模板。旨在为网站提供适当保护的 AppExpert 模板(一组配置设置)。此 AppExpert 模板包含用于保护许多网站的相应的 Web App Firewall 配置设置。
  • NetScaler GUI。基于 Web 的配置界面。
  • NetScaler 命令行界面。命令行配置界面。

Citrix 建议您使用 Web App Firewall 向导。大多数用户会发现它是配置 Web App Firewall 的最简单方法,它旨在防止错误。如果您有一个主要用于保护网站的新的 NetScaler 或 VPX,您可能会发现 Web Interface AppExpert 模板是更好的选择,因为它提供了良好的默认配置,不仅适用于 Web App Firewall,而且适用于整个设备。GUI 和命令行界面都面向有经验的用户,主要用于修改现有配置或使用高级选项。

Web App Firewall 向导

Web App Firewall 向导是一个由多个屏幕组成的对话框,提示您配置简单配置的每个部分。然后,Web App Firewall 根据您提供的信息创建相应的配置元素。这是配置 Web App Firewall 的最简单方法,也是大多数用途的最佳方法。

要使用该向导,请使用您选择的浏览器连接到 GUI。建立连接后,验证 Web App Firewall 是否已启用,然后运行 Web App Firewall 向导,该向导会提示您输入配置信息。首次使用向导时,不必提供所有要求的信息。相反,您可以接受默认设置,执行一些相对简单的配置任务以启用重要功能,然后允许 Web App Firewall 收集重要信息以帮助您完成配置。

例如,当向导提示您指定用于选择要处理的通信的规则时,您可以接受默认规则,即选择所有流量。当它向您显示签名列表时,您可以启用相应的签名类别并开启这些签名的统计信息收集。对于此初始配置,您可以跳过高级保护(安全检查)。向导自动创建相应的策略、签名对象和配置文件(统称为安全配置),并将策略绑定到全局。然后,Web App Firewall 开始筛选与您的受保护网站的连接,记录与您启用的一个或多个签名匹配的所有连接,并收集有关每个签名匹配的连接的统计信息。Web App Firewall 处理了一些流量后,您可以再次运行向导并检查日志和统计信息,以查看是否有任何已启用的签名与合法流量相匹配。确定哪些签名正在识别您要阻止的流量后,您可以对这些签名启用阻止。如果您的网站或 Web 服务不复杂,不使用 SQL,并且无法访问敏感的私人信息,则此基本安全配置可能会提供足够的保护。

例如,如果您的网站是动态的,则可能需要额外的保护。使用脚本的内容可能需要防范跨站脚本攻击。使用 SQL 的 Web 内容(例如购物车、许多博客和大多数内容管理系统)可能需要防御 SQL 注入攻击。收集敏感私人信息(例如社会安全号码或信用卡号)的网站和网络服务可能需要防范意外泄露该信息。某些类型的 Web 服务器或 XML 服务器软件可能需要防范针对该软件量身定制的各类攻击。另一个考虑因素是,您的网站或网络服务的特定元素可能需要与其他元素不同的保护。检查 Web App Firewall 日志和统计信息可以帮助您确定可能需要的额外保护。

在决定您的网站和 Web 服务需要哪些高级保护后,您可以再次运行向导来配置这些保护。某些安全检查要求您输入例外(放松)以防止检查阻止合法流量。您可以手动操作,但启用自适应学习功能并允许它推荐必要的放松方式通常会更容易。您可以根据需要多次使用该向导来增强基本安全配置和/或创建其他安全配置。

该向导会自动执行一些任务,如果您不使用向导,则必须手动执行这些任务。它会自动创建策略、签名对象和配置文件,并为它们分配您在系统提示您输入配置名称时提供的名称。该向导还将您的高级保护设置添加到配置文件,将签名对象绑定到配置文件,将配置文件与策略关联,然后通过将策略绑定到 Global 来使策略生效。

有几项任务无法在向导中执行。您不能使用向导将策略绑定到除全局之外的绑定点。如果您希望配置文件仅应用于配置的特定部分,则必须手动配置绑定。您无法在向导中配置引擎设置或某些其他全局配置选项。虽然您可以在向导中配置任何高级保护设置,但如果要在单个安全检查中修改特定设置,则在 GUI 中的手动配置屏幕上更容易执行此操作。

有关使用 Web App Firewall 向导的详细信息,请参阅 Web App Firewall 向导

NetScaler Web Interface AppExpert 模板

AppExpert 模板是配置和管理复杂企业应用程序的另一种更简单的方法。GUI 中的 AppExpert 显示屏由一个表格组成。应用程序列在最左侧的列中,适用于该应用程序的 NetScaler 功能分别出现在右侧各自的列中。(在 AppExpert 界面中,与应用程序关联的那些功能称为 应用程序单元。)在 AppExpert 界面中,您可以为每个应用程序配置相关流量,并开启压缩、缓存、重写、过滤、响应和 Web App Firewall 规则,而不必单独配置每项功能。

Web Interface AppExpert 模板包含以下 Web App Firewall 签名和安全检查的规则:

有关安装和使用 AppExpert 模板的信息,请参阅 AppExpert 应用程序和模板

GUI

GUI 是一个基于 Web 的界面,允许访问 Web App Firewall 功能的所有配置选项,包括任何其他配置工具或界面都无法提供的高级配置和管理选项。具体而言,许多高级签名选项只能在 GUI 中配置。您只能在 GUI 中查看学习功能生成的建议。您只能在 GUI 中将策略绑定到全局以外的绑定点。

有关 GUI 的说明,请参阅 Web App Firewall 配置接口。有关使用 GUI 配置 Web App Firewall的详细信息,请参阅 使用 GUI 手动配置

有关使用 GUI 配置 Web App Firewall的说明,请参阅 使用 GUI 手动配置。有关 citrix-ADC GUI 的信息,请参阅 Web App Firewall 配置接口

NetScaler 命令行界面

NetScaler 命令行界面是基于 FreeBSD bash shell 的修改后的 UNIX 外壳。要从命令行界面配置 Web App Firewall,请在提示符处键入命令并按 Enter 键,就像使用任何其他 Unix shell 一样。您可以使用 NetScaler 命令行配置 Web App Firewall 的大多数参数和选项。例外情况是签名功能,其中许多选项只能通过使用 GUI 或 Web App Firewall 向导进行配置,以及学习功能(其建议只能在 GUI 中查看)。

有关使用 NetScaler 命令行配置 Web App Firewall 的说明,请参阅 使用命令行界面手动配置

配置 Web App Firewall