Citrix ADC

Web App Firewall 配置文件设置

以下是您必须在设备上配置的配置文件设置。

在命令提示符下,键入:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

示例:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

其中,

invalidPercentHandling。配置用于处理百分比编码的名称和值的方法。

可用设置功能如下:

asp_mode-剥离和解析无效百分比用于解析。示例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被去除,其余的内容被检查,并为 SQLINSspection 检查采取操作。 secure_mode-我们检测到无效百分比编码值并忽略它。示例:-curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) 被检测到,计数器递增,内容按原样传递给服务器。 apache_mode-此模式的工作方式与安全模式类似。 可能的值:apache_mode、asp_mode、secure_mode 默认值:secure_mode

optimizePartialReqs。当 OF/OFN(无安全对象)时,Citrix ADC 设备将部分请求发送到后端服务器。此部分响应发送回客户端。在配置安全对象时,优化部分 REQs 是有意义的。设备在关闭时发送来自服务器的完全响应请求,在打开时仅请求部分响应。

可用设置如下:

开 -客户端的部分请求会导致对后端服务器的部分请求。 OFF - 客户端的部分请求更改为对后端服务器的完整请求 可能的值:ON、OFF 默认值:ON

URLDecodeRequestCookies。URL 解码请求 cookie,然后再对其进行 SQL 和跨站脚本检查。

可能的值:ON、OFF 默认值:OFF

签名后正文限制(字节)。限制使用指定为“HTTP_POST_BODY”的位置检查的签名的请求负载(以字节为单位)。

默认值:8096 最小值:0 最大值:4294967295

发布正文限制(字节)。限制 Web 应用程序防火墙检查的请求负载(以字节为单位)。

默认值:20 万 最小值:0 最大值:10 GB

有关安全设置及其 GUI 过程的详细信息,请参阅 配置 Web 应用程序防火墙配置文件 主题。

后身限制。当您指定允许的 HTTP 正文的最大大小时,PostBodyLimit 将遵守错误设置。 要遵守错误设置,您必须配置一个或多个“发布体限制”操作。此配置也适用于传输编码头分块的请求。

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Wis, Block-此操作阻止违反安全检查的连接,并且它基于所配置的 HTTP 主体的最大大小(后体限制)。你必须始终启用该选项。

日志-记录此安全检查的冲突情况。

统计数据-为此安全检查生成统计数据。

注意 : 帖子正文限制操作的日志格式现在已更改为遵循 标准审计日志记录格式,例如: ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.

检查查询内容类型检 查以下内容类型的已注入 SQL 和跨站点脚本的请求查询和 Web 表单。

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

可能的值:HTML、XML、JSON、其他

默认情况下,对于基本和高级应用程序配置文件,此参数被设置为“检查查询内容类型:HTML JSON 其他”。

以 XML 格式检查查询内容类型的示例:

> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.
<!--NeedCopy-->

以 HTML 格式检查查询内容类型的示例:

> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done
<!--NeedCopy-->

以 JSON 形式检查查询内容类型的示例:

> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done
<!--NeedCopy-->

错误 URL 表达式。Citrix Web App Firewall 用作错误 URL 的 URL。最大长度:2047。

注意 : 对于阻止请求 URL 中的违规,如果错误 URL 与签名 URL 相似,则设备将重置连接。

Web App Firewall 配置文件设置