Citrix ADC

Web App Firewall 向导

与大多数向导不同,Citrix Web App Firewall 向导不仅旨在简化初始配置过程,还旨在修改之前创建的配置并维护 Web App Firewall 设置。典型用户多次运行向导,每次都跳过一些屏幕。

Web App Firewall 向导会自动创建配置文件、策略和签名。

打开向导

若要运行 Web App Firewall 向导,请打开 GUI 并按照下列步骤操作:

  1. 导航到安全 > 应用程序防火墙
  2. 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。

有关 GUI 的更多信息,请参阅 “Web App Firewall 配置接口”。“

向导屏幕

Web App Firewall 向导在表格页面上显示以下屏幕:

1. 指定名称:在此屏幕 上,创建新的安全配置时,为您的配置文件指定有意义的名称和适当的类型(HTML、XML 或 WEB 2.0)。默认策略和签名将通过使用相同的名称自动生成。

配置文件名称

名称可以以字母、数字或下划线符号开头,并且可以包括 1 到 31 个字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、在 (@)、等于 (=)、冒号 (:) 和下划线 (_) 符号。选择一个名称,使其他人能够轻松告诉您的新安全配置保护的内容。

注意 : 由于向导将此名称用于策略和配置文件,因此该名称限制为 31 个字符。手动创建的策略最多可具有 127 个字符的名称。

修改现有配置时,选择“修改现有配置”,然后在“名称”下拉列表中,选择要修改的现有配置的名称。

注意 : 此列表中仅显示绑定到全局或绑定点的策略;您不能使用应用程序防火墙向导修改未绑定的策略。您必须手动将其绑定到全局或绑定点,或手动修改它。(对于手动修改,请在 GUI 中) 应用程序防火墙 > 略 > 防火墙 窗格,选择策略,然后单击 打开

配置文件类型

您还可以在此屏幕上选择配置文件类型。配置文件类型决定了可以配置的高级保护(安全检查)的类型。由于某些类型的内容不容易受到某些类型的安全威胁的影响,因此限制可用检查列表可以节省配置期间的时间。Web App Firewall 配置文件的类型如下:

  • 网络应用程序(HTML)。任何不使用 XML 或 Web 2.0 技术的基于 HTML 的网站。
  • XML 应用程序(XML,SOAP)。任何基于 XML 的 Web 服务。
  • Web 2.0 应用程序(HTML,XML,REST)。任何将 HTML 和 XML 内容组合在一起的 Web 2.0 站点,例如基于原子的网站、博客、RSS 提要或维基。

注意: 如果您不确定网站上使用的内容类型,则可以选择 Web 2.0 应用程序以确保您保护所有类型的 Web 应用程序内容。

2. 指定规则:在此屏幕 上,您可以指定定义当前配置检查的流量的策略规则(表达式)。如果您创建初始配置以保护您的网站和 Web 服务,则可以接受默认值 true,用于选择所有 Web 流量。

如果您希望检查此安全配置,而不是通过设备路由的所有 HTTP 流量,而是要检查特定流量,则可以编写一个策略规则,指定要检查的流量。规则以 Citrix ADC 表达式语言编写,该语言是一种功能齐全的面向对象的编程语言。

注意: 除了默认表达式语法之外,为了向后兼容性,Citrix ADC 操作系统支持 Citrix ADC Classic 和 nCore 设备和虚拟设备上的 Citrix ADC 经典表达式语法。Citrix ADC 群集设备和虚拟设备不支持经典表达式。要将现有配置迁移到 Citrix ADC 群集的当前用户必须将包含经典表达式的任何策略迁移到默认表达式语法。

  • 有关使用 Citrix ADC 表达式语法创建 Web App Firewall 规则的简单说明以及有用的规则列表,请参阅 防火墙策略
  • 有关如何使用 Citrix ADC 表达式语法创建策略规则的详细说明,请参阅 策略和表达式

4. 选择签名:在此屏幕上,您可以选择要用于保护网站和 Web 服务的签名类别。

这不是强制性步骤,如果您想跳过该步骤并转到“指定深度保护”屏幕,则可以跳过该步骤。如果跳过“选择签名”屏幕,则仅创建配置文件和关联策略,并且不创建签名。

您可以选择“创建新签名”或“选择现有签名”。

如果要创建新的安全配置,则会启用您选择的签名类别,默认情况下,这些签名类别将记录在新的签名对象中。新签名对象分配的名称与您在“指定名称”屏幕上输入的名称相同。

如果您之前配置了签名对象,并希望将其中一个用作与您正在创建的安全配置关联的签名对象,请单击“选择现有 签名”,然后从“签名”列表中选择一个签名对象。

如果要修改现有安全配置,则可以单击“选择现有签名”,然后为安全配置分配不同的签名对象。

如果单击“创建新签名”,则可以选择“简单”或“高级”的编辑模式。

  1. 指定签名保护(简单模式)

简单的模式允许轻松配置签名,并为常见的应用程序(例如 IIS(Internet 信息服务器)、PHP 和 ActiveX)提供一个预设的保护定义列表。“简单”模式下的默认类别为:

  • CGI。防止对使用任何语言的 CGI 脚本的网站进行攻击,包括 PERL 脚本、Unix shell 脚本和 Python 脚本。

  • 冷融合。保护使用 Adobe Systems® ColdFusion® Web 开发平台的网站免受攻击。

  • FrontPage。保护使用 Microsoft® FrontPage® Web 开发平台的网站免受攻击。

  • PHP。保护使用 PHP 开源 Web 开发脚本语言的网站免受攻击。

  • 客户端防范用于访问受保护网站的客户端工具的攻击,例如微软 Internet Explorer、Mozilla Firefox、Opera 浏览器和 Adobe Acrobat Reader。

  • Microsoft IIS。防止对运行 Microsoft 互联网信息服务器 (IIS) 的网站的攻击

  • 杂项。防止对其他服务器端工具(如 Web 服务器和数据库服务器)的攻击。

在此屏幕上,您可以选择与您在“选择签名”屏幕上选择的签名类别相关联的操作。您可以配置的操作是:

  • 阻止
  • 日志
  • 统计信息

默认情况下,“日志和统计”操作处于启用状态,但不启用“阻止”操作。要配置操作,请单击“设置”。您可以使用操作下拉列表更改所有选定类别的 操作 设置。

  1. 指定签名保护(高级模式)

高级模式允许对签名定义进行更细致的控制,并提供更多的信息。如果希望完全控制签名定义,请使用高级模式。

此屏幕的内容与 “修改签名对象” 对话框的内容相同,如 配置或修改签名对象中所述。在此屏幕中,您可以通过单击操作下拉列表或 作菜单来配置操作,该菜单显示为带有三个点的圆圈。

7. 指定深度保护:在此屏幕 上,您可以选择要用来保护网站和 Web 服务的高级保护(也称为安全检查或简单的检查)。哪些检查可用取决于您在“指定名称”屏幕上选择的配置文件类型。所有检查都可用于 Web 2.0 应用程序配置文件。

有关更多信息,请参阅 安全检查概述高级表单保护检查

您可以为已启用的高级保护配置操作。您可以配置的操作包括:

  • 块:阻止与签名匹配的连接。默认情况下禁用。
  • 日志:记录与签名匹配的连接,以便以后进行分析。默认已启用。
  • 统计数据:维护每个签名的统计数据,显示它匹配的连接数量,并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。
  • 学习。观察到本网站或 Web 服务的流量,并使用反复冲突此检查的连接来生成检查的推荐例外情况或检查的新规则。仅适用于部分检查。有关学习功能的详细信息,请参阅 配置和使用学习功能,以及学习的工作原理以及如何配置例外(放宽)或为检查部署学习规则,请参阅 使用 GUI 手动配置

若要配置操作,请通过单击复选框选中保护,然后单击 操作设置 以选择所需的操作。如果需要,选择其他参数,然后单 击确定 以关闭“操作设置”窗口。

要查看特定检查的所有日志,请选择该检查,然后单击 日志 以显示 Syslog 查看器,如 Web App Firewall 日志中所述。如果安全检查阻止了对受保护网站或 Web 服务的合法访问,则可以通过选择显示不需要的阻止的日志,然后单击 部署来创建和实施该安全检查的放宽。

完成指定操作设置后,单击 成以完成向导。

以下是介绍如何使用 Web App Firewall 向导执行特定类型的配置的四个过程。

创建新配置

使用 Applaiton 防火墙向导,请按照以下步骤创建新的防火墙配置和签名对象。

  1. 导航到安全 > 应用程序防火墙

  2. 在详细信息窗格的“入门”下,单击“**应用程序防火墙”。将打开该向导。

    向导

  3. 在 “ 指定名称 ” 屏幕上,选择 “ **创建新配置”。

  4. 名称字 段中,键入名称,然后单击 下一步

  5. 在 “ 指定规则 ” 屏幕中,再次单击 下一步

  6. 在“选择签名”屏幕中,选择“创建新签 名和 简单”作为编辑模式,然后单击“下一步”。

  7. 在“指定签名保护”屏幕中,配置所需的设置。有关要考虑阻止哪些签名以及如何确定何时可以安全地为签名启用阻止的更多信息,请参阅 签名

  8. 在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。

  9. 后,单击“完成”以关闭“应用程序防火墙”向导。

修改现有配置

请按照以下步骤修改现有配置和现有签名类别。

  1. 导航到安全 > 应用程序防火墙
  2. 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。
  3. 在“指定名称”屏幕上,选择“修改现有配置”,然后在“名称”下拉列表中选择您在新配置期间创建的安全配置,然后单击“下一步”。
  4. 在“指定规则”屏幕中,单击“下一步”以保持默认值“true”。“ 如果要修改规则,请按照 配置自定义策略表达式中描述的步骤进行操作。
  5. 在“选择签名”屏幕中,单击“选择现有签 名”。从 “ 现有签名 ” 下拉列表中,选择相应的选项,然后单击 “ 下一步”。此时将显示高级签名保护屏幕。 注意: 如果选择现有签名,则会高级使用受保护签名的默认编辑模式。
  6. 在“指定签名保护”屏幕中,配置所需的设置,然后单击“下一步”。 有关要考虑阻止哪些签名以及如何确定何时可以安全地为签名启用阻止的更多信息,请参阅 签名
  7. 在“指定深度保护”屏幕中,配置设置,然后单击“下一步”。
  8. 完成后,单击“完成”以关闭 Web App Firewall 向导

创建没有签名的新配置

请按照以下步骤使用应用程序防火墙向导跳过“选择签名”屏幕,并仅使用配置文件和相关策略创建新配置,但不使用任何签名。

  1. 导航到安全 > 应用程序防火墙
  2. 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。
  3. 在 “ 指定名称 ” 屏幕上,选择 “ 创建新配置”。
  4. 名称字 段中,键入名称,然后单击 下一步
  5. 在 “ 指定规则 ” 屏幕中,再次单击 “ 下一步”。
  6. “选择签名” 屏幕中,单击 “ 跳过”。
  7. 在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。
  8. 成后,单击完成 以关闭应用程序防火墙向导。

配置自定义策略表达式

请按照以下步骤使用应用程序防火墙向导创建仅保护特定内容的专用安全配置。在这种情况下,您将创建新的安全配置,而不是修改初始配置。此类安全配置需要自定义规则,以便策略仅将配置应用于选定的 Web 流量。

  1. 导航到安全 > 应用程序防火墙
  2. 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。
  3. 在“指定名称”屏幕上,在“名称”文本框中键入新安全配置的名称,从“类型”下拉列表中选择安全配置的类型,然后单击“一步”。
  4. 在“指定规则”屏幕上,输入仅匹配您希望此 Web 应用程序保护的内容的规则。使用“常用表达式”下拉列表和“表 达式编辑器”创建自定义表达式。完成后,单击“下一步”。
  5. 在“选择签名”屏幕中,选择编辑模式,然后单击“下一步”。
  6. 在“指定签名保护”屏幕中,配置所需的设置。
  7. 在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。
  8. 成后,单击完成 以关闭 应用程序防火墙向导
Web App Firewall 向导