Citrix Application Delivery Management 13.0

Security Insight

面向 Internet 的 Web 和 Web 服务应用程序越来越易受攻击。为了保护应用程序不受攻击,需要了解过去、现在及将来的威胁的本质和范围、有关攻击的实时可操作数据以及有关防范措施的建议。Security Insight 提供单窗格解决方案来帮助您评估应用程序安全状态,并采取更正措施来保护应用程序的安全。

注意

Citrix Application Delivery Management (ADM) 支持安全洞察,Citrix ADC 设备在版本 11.0 版本 65.31 及更高版本上运行。

安全洞察的工作原理

Security Insight 是基于控制板的直观安全分析解决方案,让您可以完全了解与应用程序关联的威胁环境。安全洞察包含在 Citrix ADM 中,并根据您的应用程序防火墙和 Citrix ADC 系统安全配置定期生成报告。报告包含每个应用程序的以下信息:

  • 威胁指数。一个单位数评级系统,指示应用程序攻击的严重程度,无论应用程序是否受到 Citrix ADC 设备的保护。应用程序上的攻击越严重,该应用程序的威胁指数越高。值的范围是 1 到 7。

    威胁指数基于攻击信息。攻击相关的信息(例如,违反类型、攻击类别、位置和客户端详细信息)让您可以了解应用程序上的攻击。只有在发生违规或攻击时,才会向 Citrix ADM 发送违规信息。大量违反和漏洞会导致较高的威胁指数值。

  • 安全指数。一个单位数评级系统,用于指示您配置 Citrix ADC 实例以保护应用程序免受外部威胁和漏洞的安全性。应用程序的安全风险越低,安全指数越高。值的范围是 1 到 7。

    安全指标同时考虑应用程序防火墙配置和 Citrix ADC 系统安全配置。为了获得较高的安全指数值,两个配置都必须强健。例如,如果进行了严格的应用程序防火墙检查,但尚未采用 Citrix ADC 系统安全措施(如 nsroot 用户的强密码),则会为应用程序分配一个较低的安全指数值。

  • 可操作信息。降低威胁指数及提高安全指数所需的信息,可显著提高应用程序安全性。例如,可以查看有关违反、应用程序防火墙和其他安全功能的现有和缺少的安全配置以及应用程序被攻击速率等的信息。

配置安全智能分析

Citrix ADM 支持来自所有已配置应用程序防火墙的 Citrix ADC 实例的安全智能分析。

要在 ADC 实例上配置安全洞察,请首先配置应用程序防火墙配置文件和应用程序防火墙策略。尽管随后可以在全局范围内绑定应用程序防火墙策略,但 Citrix 建议将该策略绑定到虚拟服务器。

要查看 Citrix ADM 上的分析,请在实例上启用 AppFlow 功能,配置 AppFlow 收集器、操作和策略,并在全局范围内绑定策略。此外,尽管您随后可以在全局范围内绑定应用程序防火墙策略,但 Citrix 建议将该策略绑定到虚拟服务器。Citrix 还建议您使用 Citrix ADM 在 ADC 实例上部署 AppFlow 配置。配置收集器时,必须指定要在其上监视报表的 Citrix ADM 服务器的 IP 地址。

要在 Citrix ADC 实例上配置安全洞察,请执行以下操作:

  1. 运行以下命令来配置应用程序防火墙配置文件和策略,并全局绑定应用程序防火墙策略,或将应用程序防火墙策略绑定到负载平衡虚拟服务器。

    添加 appfw 配置文件 <name> [-默认值 (基本 | 高级)]

    设置应用程序配置文件 <name> [-启动动作 <startURLAction>…]

    添加应用程序策略 <name> <rule> <profileName>

    绑定应用程序全局 <policyName> <priority>

    或者,

    绑定 lb 虚拟服务器 <lb vserver> -策略名称 <policy> -优先级 <priority>

    add appfw profile pr_appfw -defaults advanced
    set  appfw profile pr_appfw -startURLaction log stats learn
    add appfw policy pr_appfw_pol "HTTP.REQ.HEADER("Host").EXISTS" pr_appfw
    bind appfw global pr_appfw_pol 1
    or,
    bind lb vserver outlook –policyName pr_appfw_pol –priority “20”
    <!--NeedCopy-->
    
  2. 运行以下命令来启用 AppFlow 功能、配置 AppFlow 收集器、操作及策略,并全局绑定策略,或将策略绑定到负载平衡虚拟服务器:

    添加应用程序流收集器 <name> -IP 地址 <ipaddress>

    设置应用程序流参 数 [-安全见解记录间隔 <secs>] [-安全见解流量 (已启用) | DISABLED )]

    添加应用程序流操作 <name> -收集器 <string>

    add appflow policy <name> <rule> <action>

    bind appflow global <policyName> <priority> [<gotoPriorityExpression>] [-type <type>]

    或者,

    绑定 lb 虚拟服务器 <vserver> -策略名称 <policy> -优先级 <priority>

    add appflow collector col -IPAddress 10.102.63.85
    set appflow param  -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED
    add appflow action act1 -collectors col
    add appflow action af_action_Sap_10.102.63.85 -collectors col
    add appflow policy pol1 true act1
    add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85
    bind appflow global pol1 1 END -type REQ_DEFAULT
    or,
    bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority “20”
    <!--NeedCopy-->
    

要从 Citrix ADM 启用安全洞察,请执行以下操作:

如果您的 Citrix ADM 是 13.0 版本 41.x版本:

  1. 导航到 “ 网络 ” > “ 实例 ” > “ Citrix ADC”,然后选择实例类型。例如,VPX。

  2. 选择实例,然后从 “ 选择操作 ” 列表中单击 “ 配置分析”。

  3. 在 “在 虚拟服务器上配置分析” 页上 ,选择虚拟服务器,然后单击 启用分析

  4. 启用分析 窗口中:

    1. 选择 Security Insight

    2. 选择 日志流 作为传输模式

      注意

      对于 Citrix ADC 12.0 或更早版本,IPFIX 是传输端模式的默认选项。对于 Citrix ADC 12.0 或更高版本,您可以选择日志流IPFIX 作为传输模式。

      有关 IPFIX 和日志流的详细信息,请参阅 日志流概述

    3. 默认情况下,表达式为 true

    4. 单击 OK(确定)

      启用分析

      注意

      • 如果选择未获得许可的虚拟服务器,则 Citrix ADM 首先许可这些虚拟服务器,然后启用分析

      • 对于管理分区,仅支持 Web Insight

      • 对于缓存重定向、身份验证和 GSLB 等虚拟服务器,您无法启用分析。将显示一条错误消息。

单击 确定” 后,Citrix ADM 将处理在所选虚拟服务器上启用分析。

处理分析

如果您的 Citrix ADM 是 13.0 版本 36.27

  1. 导航到 “ 网络 ” > “ 实例”,然后选择要启用 AppFlow 的 Citrix ADC 实例。

  2. 选择操作列表中,选择配置分析

  3. 选择虚拟服务器,然后单击 启用 AppFlow

  4. 在 “ 启用 AppFlow ” 字段中,键入 true,然后选择 “ 安全智能分析”。

  5. 单击 “ 确定”。

    本地化后的图片

    注意:

    创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。Citrix ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和向组分配用户的详细信息,请参阅 配置组

查看安全智能分析报告的地理位置

安全智能分析报告包括客户端请求源自的确切地理位置。您可以查看 Citrix ADM 中的地理位置。Citrix ADC 中内置的地理数据库文件包含大多数公有 IP 地址。该文件位于 Citrix ADC 中的位置 /变量/网络扩展器/内置数据库 处。

要启用地理位置,请执行以下操作:

运行以下命令以启用地理位置日志记录及采用 CEF 格式的日志记录:

  • 添加位置文件 <Complete path with the DB filename>

  • set appfw settings -geoLocationLogging ON

  • set appfw settings -CEFLogging ON

如果地理数据库文件中没有任何 IP 地址,则可以添加该地理位置的 IP 地址。除 IP 地址外,您还可以添加城市/州/国家/地区名称以及每个位置的纬度和经度坐标。

使用文本编辑器(如 vi 编辑器)打开 geo 数据库文件,并为每个位置添加一个条目。

该条目必须采用以下格式:

\<start IP\>,\<end IP\>,,\<country\>,\<state\>,,\<city\>,,longitude,latitude

例如,

4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568
<!--NeedCopy-->

知识产权信誉

可以使用 NetScaler Insight Center 来监视和管理您的传入流量的 IP 信誉。可以配置策略以将更多 IP 添加为恶意 IP,并创建自定义的阻止列表。

要了解有关配置和使用 IP 信誉的信息,请参阅 IP 信誉

监控 IP 信誉

IP 信誉功能提供有关恶意 IP 地址的攻击相关信息。例如,它报告有关客户端 IP 地址的 IP 信誉分数、IP 信誉类别、IP 信誉攻击时间、设备 IP 及详细信息。

IP 信誉分数指示与 IP 地址关联的风险。该分数范围如下:

IP 信誉分数 风险级别
1–20 高风险
21–40 可疑
41–60 中等风险
61–80 低风险
81–100 可信

要监视 IP 信誉,请执行以下操作:

  1. 导航到 “ 分析” > “ 安全智能分析”,然后选择要监视的应用程序。

  2. 威胁索引选项卡中,选择 IP 信誉。

    本地化后的图片

  3. 选择严重性以显示该级别的攻击的更多详细信息。您可以单击条形图或图表下方的表格中。

  4. 选择要查看详细信息的时间段。可以使用时间滑块来进一步自定义所选时间段。然后,单击 Go(继续)。

    本地化后的图片

  5. 要自定义显示,请单击设置按钮。

    本地化后的图片

阈值

您可以设置应用程序的安全指数和威胁指数的阈值,以及在 Security Insight 中查看这些阈值。

要设置阈值,请执行以下操作:

  1. 导航至 “ 分析 ” > “ 设置 ” > “ 阈值”,然后选择 “ 添加”。

  2. 在 “流量类型” 字段中选择 通信类型 作为 安全 性,并在其他相应字段(如名称、持续时间和实体)中输入所需信息。

  3. 在 “ 配置规则 ” 部分中,使用 “度量”、“比较器” 和 “值” 字段来设置阈值。

    例如,“Threat Index”(威胁指数)“>” “5”

  4. 在 “通 知设置” 中,选择通知类型。

  5. 单击创建

要查看违反阈值,请执行以下操作:

  1. 导航到 “ 分析 ” > “ 安全智 能分析” > “ 设备”,然后选择 Citrix ADC 实例。

  2. 在 “ 应用程序 ” 部分,您可以在 “阈值违规” 列中查看每个虚拟服务器发生的 阈值违 规次数。

安全洞察使用案例

以下用例说明了如何使用 Security Insight 来评估应用程序面临的威胁以及改进安全措施。

获取有关威胁环境的概述

在此使用案例中,您有一组可能遭受攻击的应用程序,并且您已将 Citrix ADM 配置为监视威胁环境。需要频繁查看应用程序可能经受的任何攻击的威胁指数、安全指数以及类型和严重性,以便可以首先关注最需要注意的应用程序。安全洞察仪表板提供了应用程序在您选择的一段时间内以及所选 Citrix ADC 设备所遇到的威胁的摘要。它显示应用程序列表、它们的威胁指数和安全指数以及在所选时间段的攻击总数。

例如,您可能在监视 Microsoft Outlook、Microsoft Lync、SharePoint 和 SAP 应用程序,您可能希望查看这些应用程序的威胁环境的摘要。

要获取威胁环境的摘要,请登录到 Citrix ADM,然后导航到 “分析” > “安全智能分析”

此时将显示每个应用程序的主要信息。默认时间段是 1 小时。

本地化后的图片

要查看不同时段的信息,请从左上角的列表中选择一个时段。

本地化后的图片

要查看其他 Citrix ADC 实例的摘要,请在 “ 设备” 下单击 Citrix ADC 实例的 IP 地址。要按给定列对应用程序列表排序,请单击列标题。

确定应用程序的威胁风险

要在 “安全智能分析” 仪表板上识别具有高威胁指数和低安全指数的应用程序,您希望在决定保护这些威胁风险之前确定威胁风险。即,您希望确定降低了其指数值的攻击的类型和严重性。可以通过查看应用程序摘要来确定应用程序面临的威胁。

在此示例中,Microsoft Outlook 的威胁指数值是 6,您希望知道哪些因素导致此高威胁指数。

要确定 Microsoft Outlook 面临的威胁,请在 Security Insight(安全见解)控制板上,单击 Outlook。应用程序摘要包含标识服务器地理位置的地图。

本地化后的图片

单击 Threat Index(威胁指数)> Security Check Violations(安全检查违反),并查看显示的违反信息。

本地化后的图片

单击 签名违 规并查看显示的违规信息。

本地化后的图片

确定应用程序的现有和缺少的安全配置

查看了应用程序面临的威胁后,您希望确定哪些应用程序安全配置正在实施,以及该应用程序缺少哪些配置。可以深度查看应用程序的安全指数摘要来获取此信息。

安全指数摘要为您提供有关以下安全配置的有效性:

  • 应用程序防火墙配置。显示多少签名和安全实体未配置。
  • NetScaler 系统安全。显示多少系统安全设置未配置。

本地化后的图片

在之前的用例中,您查看了 Microsoft Outlook 面临的威胁,它的威胁指数值为 6。现在,您希望知道 Outlook 有哪些安全配置正在实施,以及可以添加哪些配置来改进其威胁指数。

Security Insight(安全见解)控制板上,单击 Outlook,然后单击 Safety Index(安全指数)选项卡。查看 Safety Index Summary(安全指数摘要)区域提供的信息。

本地化后的图片

Application Firewall Configuration(应用程序防火墙配置)节点上,单击 Outlook_Profile 并查看饼图中的安全检查和签名违反信息。

本地化后的图片

本地化后的图片

查看应用程序防火墙摘要表中每个保护类型的配置状态。要按列对表排序,请单击列标题。

本地化后的图片

单击 NetScaler System Security(NetScaler 系统安全)节点,并查看系统安全设置和 Citrix 建议以改进应用程序安全指数。

确定需要立即关注的应用程序

需要立即注意的应用程序是那些具有较高威胁指数和较低安全指数的应用程序。

在此示例中,Microsoft Outlook 和 Microsoft Lync 都具有较高威胁指数值 6,但在两个安全指数中,Lync 的安全指数较低。因此,可能必须先将注意力放在 Lync 上,然后再改进 Outlook 的威胁环境。

本地化后的图片

确定给定时间内的攻击次数

您可能希望确定在给定时间点给定应用程序上发生了多少攻击,或者您可能希望研究特定时间段的攻击速率。

在 “安全智能分析” 页面上,单击任何应用程 序,然后在 “应用程序摘要” 中单击违规数。“违规总数”页面以图形方式显示攻击时间为 1 小时、1 天、1 周和 1 个月。

本地化后的图片

“应用程序摘要”表提供了有关攻击的详细信息。其中一些内容如下:

  • 攻击时间

  • 发生攻击的客户端的 IP 地址

  • 严重性

  • 违反行为的类别

  • 发起攻击的 URL 以及其他详细信息。

本地化后的图片

虽然您始终可以在每小时报告中查看攻击时间(如图所示),但现在您可以查看聚合报告的攻击时间范围,即使是每日或每周报告也是如此。如果您从时间段列表中选择“1 天”,安全智能分析报告将显示所有已聚合的攻击,攻击时间显示在 1 小时范围内。如果您选择“1 周”或“1 个月”,则所有攻击将被汇总,攻击时间显示在一天范围内。

本地化后的图片

获取有关安全漏洞的详细信息

您可能希望查看应用程序攻击的列表,并深入了解攻击的类型和严重性、Citrix ADC 实例采取的操作、请求的资源以及攻击的来源。

例如,您可能希望确定 Microsoft Lync 上多少攻击被阻止了、请求了什么资源以及来源的 IP 地址。

安全智能分析仪表板上,单击 Lync > 总违规。在表中,单击 Action Taken(采取的操作)列标题中的过滤器图标,然后选择 Blocked(被阻止)。

本地化后的图片

有关请求的资源的信息,请查看 URL 列。有关攻击来源的信息,请查看 Client IP(客户端 IP)列。

查看日志表达式详细信息

Citrix ADC 实例使用配置为 “应用程序防火墙” 配置文件的日志表达式对企业中应用程序的攻击采取措施。在安全智能分析中,您可以查看为 Citrix ADC 实例使用的日志表达式返回的值。这些值包括请求标头、请求正文等。除了日志表达式值之外,您还可以查看日志表达式名称和在应用程序防火墙配置文件中定义的日志表达式的注释,Citrix ADC 实例用于对攻击执行操作。

必备条件

确保您:

  • 在应用程序防火墙配置文件中配置日志表达式。有关详细信息,请参阅 应用程序防火墙

  • 在 Citrix ADM 中启用基于日志表达式的安全见解设置。请执行以下操作:

    1. 导航到 “分析” > “设置”,然后单击 “ 启用分析功能”。

    2. 在 “启用分析功能” 页中,选择 “ 基于日志表达式的 **安全智能分析设置” 部分下的 “启用 安全智** 能分析”,然后单 击 “确定”。

    本地化后的图片

例如,您可能希望查看由 Citrix ADC 实例返回的日志表达式的值,用于针对企业中的 Microsoft Lync 攻击采取的操作。

在安全智能分析控制板上,导航到 Lync > 总冲突。在 “ 应用程序摘要” 表中,单击 URL 可在 “违规信息” 页中查看 违规的完整详细信息 ,包括日志表达式名称、注释以及 Citrix ADC 实例为操作返回的值。

本地化后的图片

突出显示 Web 应用程序防火墙 (WAF) 的违规模式

您现在可以获取攻击的详细信息,如 http 标头和 http 负载,以排除或分析攻击。要获取攻击的详细信息,必须使用以下命令更新应用程序防火墙配置文件中的 “VerboseLogLevel”:

Set appfw profile <profile_name> -VerboseLogLevel (pattern|patternPayload|patternPayloadHdr)

  • pattern -仅记录违规模式

  • patternPayload -记录攻击模式前的违规模式 + 150 字节字段元素值

  • patternPayloadHdr -记录攻击模式前的违规模式 + 150 字节字段元素值 + http 请求头

根据 “详细日志级别” 配置,Citrix ADM 显示详细的日志表达式记录。

下图是一个突出显示 GET 请求的攻击模式的示例:

详细日志表达式

下图是突出显示 POST 请求的攻击模式的示例:

详细的日志表达式发布

在这两个例子中:

  • 字段名称 是指攻击模式的相应字段名称。

  • 效载荷偏移 是指实际有效载荷中的攻击偏移。

  • 攻击模式 突出显示攻击模式,并在值中包含 150 字节的前缀有效负载。

有关在 Citrix ADC 中配置详细日志级别的详细信息,请参阅 易于使用 Web App Firewall 日志进行故障排除

在部署配置之前确定安全指数

在 Citrix ADC 实例上部署安全配置后,会发生安全漏洞,但您可能希望在部署安全配置之前评估安全配置的有效性。

例如,您可能需要评估具有 10.102.60.27 IP 地址的 Citrix ADC 实例上 SAP 应用程序配置的安全索引。

在 “ 安全智能分析 ” 仪表板上的 “ 设备” 下,单击您配置的 Citrix ADC 实例的 IP 地址。可以看到威胁指数和攻击总数都是 0。威胁指数直接反映应用程序上攻击的数量和类型。攻击数为零表示应用程序没有面临任何威胁。

本地化后的图片

单击 Sap > Safety Index(安全指数)> SAP_Profile,并评估显示的安全指数信息。

本地化后的图片

在应用程序防火墙摘要中,可以查看不同保护设置的配置状态。如果一个设置被设置为日志或如果一个设置未配置,则为应用程序分配较低的安全指数。

本地化后的图片