ADC

编辑签名以添加或修改规则

您可以编辑用户定义的签名来添加或修改规则。本地签名规则与 Citrix 的默认签名规则具有相同的属性,并且其运行方式相同。您可以启用或禁用它,并为其配置签名操作,就像对默认签名所做的那样。

如果您需要保护您的网站和服务免受现有签名不匹配的已知攻击,请添加本地规则。例如,您可以发现一种新的攻击类型并通过检查 Web 服务器上的日志来确定其特征,或者您可能会获得有关新型攻击的第三方信息。

签名规则的核心是规则 模式,它们共同描述了该规则旨在匹配的攻击特征。每种模式可以由简单的字符串、PCRE 格式的正则表达式或内置的 SQL 注入或跨站点脚本模式组成。

您可能需要通过添加新模式或修改现有模式来修改签名规则以匹配攻击。例如,您可能会发现攻击的变化,或者您可以通过检查 Web 服务器上的日志或第三方信息来确定更好的模式。

添加或修改本地签名规则

  1. 导航到安全 > NetScaler Web App Firewall > 签名

  2. 在详细信息窗格中,选择要编辑的用户定义签名,然后单击“编辑”。

  3. 在“签名规则”部分中,单击“添加”。此时将显示“签名规则”窗格。

  4. 通过选中相应的复选框来配置签名的操作。

    • 已启用。启用新的签名规则。如果您不选择此选项,则此新签名规则将添加到您的配置中,但处于非活动状态。
    • 阻止。阻止违反此签名规则的连接。
    • 日志。将违反此签名规则的行为记录到 NetScaler 日志中。
    • 统计数据。在统计数据中包括违反此签名规则的行为。
    • 删除。从响应中删除与签名规则匹配的信息。(仅适用于响应规则。)
    • X-Out。掩盖与字母 X 相匹配的签名规则的信息(仅适用于响应规则。)
    • 允许重复。允许在此签名对象中重复此签名规则。
  5. 从“类别”下拉列表中为新签名规则选择一个 类别

    如果要创建类别,请单击“添加”。有关更多信息,请参阅 添加签名规则类别

  6. LogString 文本框中,键入要在日志中使用的签名规则的简要说明。

  7. 评论 文本框中,键入注释。(可选)

  8. 单击“更多”修改高级选项。

    1. 要在应用此签名规则之前删除 HTML 注释,请在“删除注释”下拉列表中选择“全部”或“排除脚本标签”。
    2. 要设置 CSRF 反向链接标头检查,请在 CSRF 反向链接标题检查单选按钮阵列中,选择“如果存在”或“始终存在”单选按钮。
    3. 要手动修改分配给此本地签名规则的规则 ID,请在“规则 ID”文本框中修改编号。ID 必须是介于 100000 到 1999999 之间的正整数,尚未分配给本地签名规则。
    4. 要为新签名规则分配版本号,请在版本号文本框中修改版本号。
    5. 要分配来源 ID,请修改源 ID 文本框中的字符串。
    6. 要指定来源,请从“源”下拉列表中选择“本地”或“Snort”,或者单击列表右侧的“添加”图标并添加新源。
    7. 要为违反此本地签名规则的行为分配伤害分数,请在伤害分数文本框中键入介于 1 到 10 之间的数字。
    8. 要为此本地签名规则分配严重性等级,请在严重性下拉列表中选择高、中或低,或者单击列表右侧的添加图标并添加新的严重性等级。
    9. 要为此本地签名规则分配冲突类型,请在“类型”下拉列表中选择“易受攻击”或“警告”,或单击列表右侧的“添加”图标并添加新的冲突类型。
  9. 规则模式中,单击“添加”以添加模式。也可以编辑现有模式,然后单击“编辑”。

    有关添加或编辑模式的详细信息,请参阅 签名规则模式

  10. 单击“确定”

添加签名规则类别

将签名规则归入类别使您能够为一组签名配置操作,而不是为每个单独的签名配置操作。您可能出于以下原因想要这样做:

  • 易于选择。例如,假设特定组中的所有签名规则都保护特定类型的 Web 服务器软件或技术免受攻击。如果您的受保护网站使用该软件或技术,则需要将其全部启用。如果他们不这样做,则您不想启用其中任何一个。
  • 易于初始配置。最简单的方法是将一组签名的默认值设置为一个类别,而不是逐个设置。然后,您可以根据需要对单个签名进行任何更改。
  • 易于持续配置。如果只能显示符合特定条件的签名,例如属于特定类别的签名,则配置签名会更容易。
编辑签名以添加或修改规则