Citrix ADC

文件上传保护

在多表单提交过程中,许多攻击者试图将恶意代码、病毒或恶意软件作为文件附件上传。保护我们的网络并克服此类威胁非常重要。为防止此类恶意文件上传,Citrix ADC 管理员现在可以在 WAF 配置文件中配置一组允许的文件上传格式。通过这样做,您可以将文件上传限制为特定格式,并保护设备免受恶意文件上传的侵害。但是,只有在禁用 WAF 配置文件中的 “excludeFileUploadFormChecks” 选项时,此保护才有效。

文件上传的工作原理

配置允许的文件上传格式时,组件交互如下所示:

  • 客户端请求具有文件上传类型的表单提交,例如 PDF。
  • 作为安全检查的一部分,WAF 检查请求负载并验证文件类型(基于魔术签名编号)。
  • 如果文件类型是允许的文件格式,则会应用基于文件类型绑定的相应操作。
  • 为了验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数。
  • 只有在验证通过后,WAF 才会将文件标识为允许的格式,然后应用相关的操作。

使用 Citrix ADC CLI 配置文件类型上传

要配置允许的文件格式,设备使用绑定到文件上传参数的 WAF 配置文件。

  1. 配置 Web 应用程序防火墙配

要配置 Web 应用程序防火墙配置文件,请键入以下命令:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

示例

set appfw profile profile1 –fileUploadTypesAction block

  1. 使用文件上传参数绑定 Web 应用程序防火墙配置该命令将指定的豁免(放宽)或规则绑定到指定的应用程序防火墙配置文件。

要使用文件上传参数绑定配置文件,请键入以下命令:

bind appfw profile <profile_name> - fileUploadType <form_field > <form_action_url> -fileType <fileType> ( pdf | msdoc | text | image | any)

\[-isNameRegex REGEX ( REGEX | NOTREGEX)\] > **注意:** > > 表单字段名称是正则表达式类型。默认值 为 `NOTREGEX`。 ### 示例 `> bind appfw profile test -fileuploadType thefile "http://10.10.10.10/fileupload_sample/upload.php" -filetype image -isNameRegex` -->

使用 Citrix ADC GUI 配置文件上传安全保护

按照以下步骤设置文件上传设置。

  1. 在导航窗格中,导航到 安全 > 配置文件
  2. 在配置文件页面中,单击 添加
  3. Citrix Web App Firewall 配置文件 页面中,单击 高级设置 下的 安全检查
  4. 在 “ 安全检查 ” 部分中,转到 “ 文件上传类型 ” 设置。

    配置文件上传安全设置

  5. 选中该复选框,然后单击 操作设置
  6. 在 “文 件上传类型设置” 页面中,设置文件上传操作。
  7. 单击 “ 确定”
  8. Citrix Web App Firewall 配置文件 页面中,单击 确定完成

    配置文件上传安全设置

使用 Citrix ADC GUI 配置文件上传放宽规则

您可以放松文件上传安全保护以避免误报。例如,设备可能会阻止文件上传,但您可以添加放宽规则以允许从特定网站上传文件。这样,设备就会绕过对指定表单域的安全检查,并允许用户从操作 URL 中提到的网站上传文件。

按照以下步骤创建放宽规则。

  1. 在导航窗格中,导航到 安全 > Citrix Web App Firewall < 配置文件
  2. 在配置文件页面中,单击 添加
  3. Citrix Web App Firewall 配置文件 页面中,单击 高级设置 下的 放宽规则
  4. 放宽规则 部分中,选择 文件上传类型 ,然后单击 编辑

    配置文件上传安全设置

  5. 在 “ 文件上传类型重新调整规则 ” 页中,单击 “ 添加”。
  6. 在 “文 件上传类型放宽规则 ” 页面中,设置以下参数:

    1. 已启用。选中此复选框可启用放宽规则。
    2. 表单字段名称。输入不需要安全检查的字段名称。
    3. 操作 URL。必须免除安全检查的表单提交 URL。
    4. 文件类型。用户必须允许上传的文件类型。
    5. 评论。关于文件上传的简要说明。
  7. 单击创建

    配置文件上传安全设置

  8. Citrix Web App Firewall 配置文件 页面中,单击 确定完成

    配置文件上传安全设置

文件上传保护