ADC

引擎设置

引擎设置会影响 NetScaler Web App Firewall 处理的所有请求和响应。以下是设置:

  • Cookie 名称— 存储 NetScaler 会话 ID 的 cookie 的名称。
  • 会话超时—允许的最大非活动期限。如果用户会话在这段时间内没有显示任何活动,则会话将终止,用户需要访问指定的起始页面来重新建立会话。
  • Cookie 加密后前缀-任何加密 Cookie 的加密部分之前的字符串。
  • 最长会话生命周期-允许会话保持活动状态的最长时间(以秒为单位)。达到此时段后,会话终止,用户需要访问指定的起始页重新建立会话。此设置不能小于会话超时时间。要禁用此设置,以便没有最长会话生命周期,请将该值设置为零 (0)。
  • 日志标头名称-保存用于记录的客户端 IP 的 HTTP 标头的名称。
  • 未定义的配置文件-当相应的策略操作评估为未定义时应用的配置文件。
  • 默认配置文件-配置文件应用于与策略不匹配的连接。
  • 导入大小限制-导入到设备的所有文件的最大字节数,包括签名、WSDL、架构、HTML 和 XML 错误页面。在导入期间,如果导入对象的大小导致所有导入文件的累积计数超过配置的限制,则导入操作将失败。并且设备显示以下错误消息:“错误:导入失败-超过了导入对象的配置总大小限制”。
  • Learn消息速率限制-学习引擎每秒要处理的最大请求和响应数。任何超过此限制的额外请求或响应都不会发送到学习引擎。
  • 代理服务器 -代理服务器是代表用户从互联网检索数据的中间服务器。它为您的设备提供了额外的安全层。启用代理身份验证的 NetScaler 设备在从互联网下载更新之前,会使用代理服务器进行身份验证。这样,它可以保护设备免受恶意下载。配置以下参数:
    • 代理服务器 -从中下载最新 AWS 签名的代理服务器的 IP 地址。
    • 代理端口 -从中下载最新 AWS 签名的代理服务器的端口号。
    • 代理用户名 -从中下载最新 AWS 签名的代理服务器的端口号。
    • 代理密码 -用于对代理服务器进行身份验证以下载签名更新的密码。
  • 实体解码-运行 Web App Firewall 检查时对 HTML 实体进行解码。
  • 记录格式错误的请求-启用格式错误的 HTTP 请求的日志记录。
  • 使用可配置的密钥-使用可配置的密钥进行 Web App Firewall 操作。此密钥用于签名和验证数据。开启“useconfigableSecretKey”时,必须使用“设置 ns EncryptionParams”参数中启用的密钥。
  • 重置学到的数据-从 Web App Firewall 中删除所有学到的数据。通过收集新数据重新启动学习过程。

根据您是使用命令界面还是 NetScaler Web App Firewall 来配置 NetScaler Web App Firewall,有两种设置,即“重置已知数据”和“签名自动更新”,位于不同的位置。使用命令界面时,您可以使用 reset appfw 学习数据命令配置“重置学习数据”。它不带任何参数,也没有其他功能。您可以在 set appfw 设置命令中配置签名自动更新。-signatureAutoUpdate 参数启用或禁用签名的自动更新,-signatureUrl 配置托管更新后的签名文件的 URL。

使用 NetScaler GUI 时,您可以在“安全”>“NetScaler Web App Firewall”>“引擎设置”中配置“重置已知数据”。“重置学习的数据”选项位于对话框的底部。在 安全 > NetScaler Web App Firewall > 签名中为每组签名配置 签名自动更新,方法是选择签名文件,单击鼠标右键并选择 自动更新设置。

通常, Web App Firewall 设置的默认值是正确的。但是,如果默认设置导致与其他服务器发生冲突或导致用户过早断开连接,则必须对其进行修改。

Web App Firewall 会话限制可使用以下命令进行配置:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

使用命令行界面配置引擎设置

在命令提示符下,键入以下命令:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>] [–proxyServer <proxy server ip>] [-proxyPort <proxy server port>] [-proxyUsername <username>] [-proxyPassword <password>]
  • save ns config

示例

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096 -proxyServer 10.102.30.112 -proxyPort 3128 -proxyUsername defaultusername -proxyPassword defaultpassword
save ns config
<!--NeedCopy-->

使用 NetScaler GUI 配置引擎设置

  1. 导航到“安全”>“NetScaler Web App Firewall
  2. 在详细信息窗格中,单击“设置”下的“更改引擎设置
  3. Web App Firewall 引擎设置 对话框中,设置以下参数:
    • Cookie名称
    • 会话超时
    • Cookie 帖子加密前缀
    • 最长会话寿命
    • 日志标题名称
    • 未定义的配置文件
    • 默认配置文件
    • 导入大小限制
    • 了解消息速率限制
    • 代理服务器
    • 代理端口
    • 代理用户名
    • 代理密码
    • 实体解码
    • 记录格式错误的请求
    • 使用密钥
    • 了解消息速率限制
    • 签名自动更新
  4. 单击“确定”

    WAF 引擎设置

引擎设置