ADC

文件上载保护

在多表单提交过程中,许多攻击者试图将恶意代码、病毒或恶意软件作为文件附件上载。保护我们的网络并克服此类威胁非常重要。为了防止此类恶意文件上载,NetScaler 管理员在 WAF 配置文件中配置了一组允许的文件上载格式。通过这样做,您可以将文件上载限制为特定格式,并保护设备免受恶意文件上载的侵害。只有在 WAF 配置文件中禁用 ExcludeFileUploadFormChecks 选项时,该保护才有效。

文件上载的工作原理

配置允许的文件上载格式时,组件交互如下所示:

  • 客户端请求具有文件上载类型的表单提交,例如 PDF。
  • 作为安全检查的一部分,WAF 会检查请求有效载荷并验证文件类型(基于魔法签名号)。
  • 如果文件类型不是支持的格式,则会根据文件类型绑定应用相应的操作。
  • 为了验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数。

使用 NetScaler CLI 配置文件类型上载

要配置允许的文件格式,设备使用绑定到文件上载参数的 WAF 配置文件。

  1. 配置 Web App Firewall配

在命令提示符下,键入:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

示例

set appfw profile profile1 –fileUploadTypesAction block

  1. 使用文件上载参数绑定 Web App Firewall配置该命令将指定的豁免(放宽)或规则绑定到指定的应用程序防火墙配置文件。

在命令提示符下,键入:

bind appfw profile <profile_name> - fileUploadType <form_field > <form_action_url> [-isNameRegex ( REGEX | NOTREGEX )] -fileType <fileType> ( pdf | msdoc | text | image | any)

注意:

表单字段名是正则表达式类型。默认值为 NOTREGEX

示例

> bind appfw profile test -fileuploadType thefile "http://10.10.10.10/fileupload_sample/upload.php" -isNameRegex NOTREGEX -filetype image

–>

使用 NetScaler GUI 配置文件上载安全保护

  1. 在导航窗格中,导航到 安全 > 配置文件
  2. 在“配置文件”页面中,单击“添加”。
  3. NetScaler Web App Firewall 配置文件页面中,单击“高级设置”下的“安全检查”。
  4. 在“安全检查”部分,选择“文件上载类型”,然后单击“操作设置”

    配置文件上载安全设置

  5. 在“文 件上载类型设置”页面中,设置文件上载操作。
  6. 单击确定

    配置文件上载安全设置

  7. NetScaler Web App Firewall 配置文件 页面中,单击 确定完成

使用 NetScaler GUI 配置文件上载放宽规则

您可以放松文件上载安全保护以避免误报。例如,设备可能会阻止文件上载,但您可以添加放宽规则以允许从特定网站上载文件。这样,设备就会绕过对指定表单域的安全检查,并允许用户从操作 URL 中提到的网站上载文件。

注意:

如果未启用“文件上载类型重新评估规则”,文件上载验证将失败。

执行以下步骤以创建放松规则。

  1. 在导航窗格中,导航到 安全 > NetScaler Web App Firewall < 配置文件
  2. 在“配置文件”页面中,单击“添加”。
  3. NetScaler Web App Firewall 配置文件 页面中,单击 高级设置 下的 放宽规则
  4. 放宽规则 部分中,选择 文件上载类型 ,然后单击 编辑

    配置文件上载安全设置

  5. 在“文件上载类型重新调整规则”页中,单击“添加”。
  6. 在“文 件上载类型放宽规则”页面中,设置以下参数:

    1. 已启用 - 选择启用宽松规则。
    2. 是表单字段名正则表达式 - 选择更新表单字段名称的正则表达式模式。
    3. 表单字段名 - 输入不需要安全检查的文件名。
    4. 操作 URL - 必须免于安全检查的表单提交 URL。
    5. 文件类型-支持的可上载文件格式。
    6. 评论 - 关于文件上载的简要描述。
  7. 单击创建

    配置文件上载安全设置

  8. NetScaler Web App Firewall 配置文件 页面中,单击 确定完成

    配置文件上载安全设置

文件上载保护