Citrix ADC

配置 Web App Firewall 配置文件

要配置用户定义的 Web App Firewall 配置文件,首先配置安全检查,在 Web App Firewall向导中称为深度保护高级保护 。如果您要使用它们,某些检查需要配置。其他网站的默认配置安全但范围有限;您的网站可能需要或受益于利用某些安全检查的更多功能的不同配置。

配置安全检查后,还可以配置一些其他设置来控制行为,而不是单个安全检查,而是 Web App Firewall 功能。默认配置足以保护大多数网站,但是您必须查看它们,以确保它们适用于受保护的网站。

注意 : 配置文件名称长度和所有导入对象名称长度最多可设置为 127 个字符。

有关 Web App Firewall 安全检查的更多信息,请参阅 高级保护

使用命令行配置 Web App Firewall 配置文件

在命令提示符下,键入以下命令:

  • set appfw profile <name> <arg1> [<arg2> ...]

    其中:

    • <arg1> = 一个参数和任何关联的选项。
    • <arg2> = 第二个参数和任何关联的选项。
    • … = 其他参数和选项。

    有关配置特定安全检查时要使用的参数的说明,请参阅 高级保护

  • save ns config

示例

以下示例演示如何在名为 pr-basic 的配置文件中为 HTML SQL 注入和 HTML 跨站点脚本检查启用阻止。此命令允许阻止这些操作,同时不对配置文件进行其他更改。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

将放宽规则绑定到 Web App Firewall 配置文件

当 Web App Firewall 检测到违规时,用户可以绕过通过放宽规则应用的操作。放宽规则是应用于检测到的安全违规的例外情况。例如,开始 URL 放宽规则可防止强制浏览。通过启用一组默认的拒绝 URL 规则,可以检测和阻止黑客利用的已知 Web 服务器漏洞。也可以轻松检测经常启动的攻击,例如缓冲区溢出、SQL 或跨站点脚本。

使用 CLI 绑定安全豁免或放宽规则

在命令提示符下,键入:

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

使用 GUI 绑定安全豁免或放宽规则

  1. 导航到安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择一个配置文件,然后单击 编辑
  3. Citrix Web App Firewall 配置文件 页面中,单击 高级设置 部分中的 放宽规则
  4. 放松规则 部分,单击 StarTurl ,然后单击 编辑
  5. 在 “开 始 URL 放宽规则 ” 页面中,单击 添加
  6. 在 “开 始 URL 放宽规则 ” 页面中,设置以下参数:

    1. 已启用。选中该复选框以启用放宽规则
    2. 开始 URL。输入正则表达式值
    3. 评论。提供有关放松规则的简短描述。
  7. 单击创建关闭

绑定放松规则

使用 GUI 配置 Web App Firewall 配置文件

  1. 导航到安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择要配置的配置文件,然后单击 编辑
  3. 在“配置 Web App Firewall 配置文件”对话框的“安全检查”选项卡上,配置安全检查。

    • 要为检查启用或禁用操作,请在列表中选择或清除该操作的复选框。

    • 要为包含这些参数的校验配置其他参数,请在列表中单击该校验最右侧的蓝色 V 形。在出现的对话框中,配置参数。这些服务从检查到检查都有所不同。

      您还可以选择一个复选框,然后在对话框底部单击打开以显示该复选框的“配置放宽”对话框或“配置规则”对话框。这些对话框也因检查而异。其中大多数都包括“检查”选项卡和“常 ”选项卡。如果该校验支持放宽或用户定义的规则,则“检查”选项卡包含“添加”按钮,该按钮将打开另一个对话框,您可以在该对话框中为校验指定放宽或规则。(放宽是免除指定流量检查的规则。) 如果已配置放宽,则可以选择一个放宽,然后单击“打开”以修改它。

    • 若要查看已学习的异常或校验的规则,请选择该校验,然后单击 已知的冲突。在“管理学习规则”对话框中,依次选择每个已学习的异常或规则。

      • 要编辑异常或规则,然后将其添加到列表中,请单击“编辑和部署”。
      • 若要在不修改的情况下接受例外或规则,请单击“部署”。
      • 要从列表中删除异常或规则,请单击“跳过”。
    • 要刷新要查看的例外或规则列表,请单击 刷新

    • 要打开学习可视化工具并使用它来查看学习的规则,请单击可视化工具

    • 查看与校验匹配的连接的日志条目,选择校验,然后单击日志。您可以使用此信息确定哪些检查是匹配攻击,以便您可以为这些检查启用阻止。您还可以使用此信息确定哪些检查与合法流量匹配,以便您可以配置适当的豁免以允许这些合法连接。有关日志的更多信息,请参阅 日志、统计信息和报告

    • 要完全禁用检查,请在列表中清除该检查右侧的所有复选框。

  4. 在“设置”选项卡上,配置配置文件设置。
    • 要将配置文件与之前创建和配置的签名集相关联,请在 “公共设置” 下拉列表中选择该 签名 集。

      注意 : 您必须使用对话框右侧的滚动条向下滚动以显示“常用设置”部分。

    • 要配置 HTML 或 XML 错误对象,请从相应的下拉列表中选择对象。

      注意 : 您必须首先上载要在“导入”窗格中使用的错误对象。有关导入错误对象的更多信息,请参阅 入。

    • 要配置默认 XML 内容类型,请直接在默认请求和默认响应文本框中键入内容类型字符串,或单击管理允许的内容类型来管理允许的内容类型列表。 » 更多…
  5. 如果要使用学习功能,请单击学习,然后配置配置文件的学习设置,如 配置和使用学习功能中所述。
  6. 单击 “ 确定 ” 保存更改并返回到 “ 配置文件 ” 窗格。
配置 Web App Firewall 配置文件