NetScaler Web App Firewall
Die NetScaler Web App Firewall bietet einfach zu konfigurierende Optionen, um eine Vielzahl von Anwendungssicherheitsanforderungen zu erfüllen. Web App Firewall-Profile, die aus einer Reihe von Sicherheitsprüfungen bestehen, können verwendet werden, um sowohl die Anfragen als auch die Antworten zu schützen, indem umfassende Inspektionen auf Paketebene durchgeführt werden. Jedes Profil enthält eine Option, mit der Sie grundlegende oder erweiterte Schutzmaßnahmen auswählen können. Einige Schutzmaßnahmen erfordern möglicherweise die Verwendung anderer Dateien. Beispielsweise können für XML-Validierungsprüfungen WSDL- oder Schemadateien erforderlich sein. Die Profile können auch andere Dateien verwenden, z. B. Signaturen oder Fehlerobjekte. Diese Dateien können lokal hinzugefügt oder im Vorfeld importiert und zur späteren Verwendung auf der Appliance gespeichert werden.
Jede Richtlinie identifiziert einen Typ von Datenverkehr, und dieser Datenverkehr wird auf die Sicherheitsüberprüfungsverletzungen überprüft, die in dem Profil angegeben sind, das der Richtlinie zugeordnet ist. Die Richtlinien können unterschiedliche Bindungspunkte haben, die den Geltungsbereich der Richtlinie bestimmen. Beispielsweise wird eine Richtlinie, die an einen bestimmten virtuellen Server gebunden ist, nur für den Datenverkehr aufgerufen und ausgewertet, der durch diesen virtuellen Server fließt. Die Richtlinien werden in der Reihenfolge ihrer festgelegten Prioritäten bewertet, und die erste, die der Anfrage oder Antwort entspricht, wird angewendet.
-
Schnelle Bereitstellung des Web App Firewall-Schutzes
Sie können das folgende Verfahren für die schnelle Bereitstellung der Web App Firewall-Sicherheit verwenden:
- Fügen Sie ein Web App Firewall-Profil hinzu und wählen Sie den entsprechenden Typ (html, xml, JSON) für die Sicherheitsanforderungen der Anwendung aus.
- Wählen Sie das erforderliche Sicherheitsniveau (Basic oder Advanced).
- Fügen Sie die erforderlichen Dateien wie Signaturen oder WSDL hinzu oder importieren Sie sie.
- Konfigurieren Sie das Profil für die Verwendung der Dateien und nehmen Sie alle anderen erforderlichen Änderungen an den Standardeinstellungen vor.
- Fügen Sie eine Web App Firewall-Richtlinie für dieses Profil hinzu.
- Binden Sie die Richtlinie an den Zielbindepunkt und geben Sie die Priorität an.
-
Web App Firewall Entitäten
Profil— Ein Web App Firewall-Profil gibt an, worauf zu achten ist und was zu tun ist. Es prüft sowohl die Anfrage als auch die Antwort, um festzustellen, welche potenziellen Sicherheitsverstöße überprüft werden müssen und welche Maßnahmen bei der Verarbeitung einer Transaktion ergriffen werden müssen. Ein Profil kann eine HTML-, XML- oder HTML- und XML-Payload schützen. Abhängig von den Sicherheitsanforderungen der Anwendung können Sie entweder ein Basisprofil oder ein erweitertes Profil erstellen. Ein Basisprofil kann vor bekannten Angriffen schützen. Wenn eine höhere Sicherheit erforderlich ist, können Sie ein erweitertes Profil bereitstellen, um den kontrollierten Zugriff auf die Anwendungsressourcen zu ermöglichen und Zero-Day-Angriffe zu blockieren. Ein Basisprofil kann jedoch geändert werden, um erweiterte Schutzfunktionen zu bieten, und umgekehrt. Es stehen mehrere Aktionsoptionen (z. B. blockieren, protokollieren, lernen und transformieren) zur Verfügung. Erweiterte Sicherheitsprüfungen verwenden möglicherweise Sitzungscookies und versteckte Formular-Tags zur Steuerung und Überwachung der Client-Verbindungen. Web App Firewall Profile können die ausgelösten Verstöße lernen und die Relaxationsregeln vorschlagen.
Grundlegender Schutz—Ein Basisprofil enthält einen vorkonfigurierten Satz von Regeln für die Lockerung von Start-URL und URL verweigern. Diese Relaxationsregeln legen fest, welche Anfragen erlaubt und welche abgelehnt werden müssen. Eingehende Anfragen werden mit diesen Listen abgeglichen und die konfigurierten Aktionen werden angewendet. Auf diese Weise kann der Benutzer Anwendungen mit minimaler Konfiguration für Entspannungsregeln sichern. Die Start-URL-Regeln schützen vor erzwungenen Surfen. Bekannte Webserver-Schwachstellen, die von Hackern ausgenutzt werden, können erkannt und blockiert werden, indem eine Reihe von standardmäßigen Deny-URL-Regeln aktiviert wird. Häufig gestartete Angriffe wie Pufferüberlauf, SQL oder siteübergreifende Skripterstellung können ebenfalls leicht erkannt werden.
Erweiterter Schutz— Wie der Name schon sagt, werden erweiterte Schutzmaßnahmen für Anwendungen verwendet, die höhere Sicherheitsanforderungen haben. Relaxationsregeln sind so konfiguriert, dass nur der Zugriff auf bestimmte Daten ermöglicht und der Rest blockiert wird. Dieses positive Sicherheitsmodell mildert unbekannte Angriffe, die durch grundlegende Sicherheitsüberprüfungen möglicherweise nicht erkannt werden. Zusätzlich zu allen grundlegenden Schutzmaßnahmen verfolgt ein erweitertes Profil die Benutzersitzung, indem es das Surfen steuert, nach Cookies sucht, Eingabeanforderungen für verschiedene Formularfelder spezifiziert und vor Manipulation von Formularen oder seitenübergreifenden Angriffen zur Fälschung von Anfragen schützt. Das Lernen, das den Verkehr beobachtet und die entsprechenden Entlastungen einleitet, ist für viele Sicherheitschecks standardmäßig aktiviert. Obwohl sie einfach zu bedienen sind, erfordern erweiterte Schutzmaßnahmen gebührende Berücksichtigung, da sie eine engere Sicherheit bieten, aber auch mehr Verarbeitung erfordern und keine Verwendung von Caching zulassen, was die Leistung beeinträchtigen kann.
Importieren— Die Importfunktion ist nützlich, wenn Web App Firewall-Profile externe Dateien verwenden müssen, dh Dateien, die auf einem externen oder internen Webserver gehostet werden, oder die von einem lokalen Computer kopiert werden müssen. Das Importieren einer Datei und das Speichern auf der Appliance ist nützlich, insbesondere in Situationen, in denen Sie den Zugriff auf externe Websites steuern müssen oder in denen die Kompilierung lange dauert, große Dateien über HA-Bereitstellungen synchronisiert werden müssen, oder Sie können eine Datei wiederverwenden, indem Sie sie auf mehrere Geräte kopieren. Zum Beispiel:
- WSDLs, die auf externen Webservern gehostet werden, können lokal importiert werden, bevor der Zugriff auf externe Websites blockiert wird.
- Große Signaturdateien, die von einem externen Scan-Tool wie Cenzic generiert wurden, können mithilfe eines Schemas auf der NetScaler ADC-Appliance importiert und vorkompiliert werden.
- Eine benutzerdefinierte HTML- oder XML-Fehlerseite kann von einem externen Webserver importiert oder aus einer lokalen Datei kopiert werden.
Signaturen— Signaturen sind mächtig, da sie Musterabgleich verwenden, um bösartige Angriffe zu erkennen und so konfiguriert werden können, dass sie sowohl die Anforderung als auch die Antwort einer Transaktion überprüfen. Sie sind eine bevorzugte Option, wenn eine anpassbare Sicherheitslösung benötigt wird. Für die Aktion, die ausgeführt werden soll, wenn eine Signaturübereinstimmung erkannt wird, stehen mehrere Optionen zur Verfügung (z. B. blockieren, protokollieren, lernen und transformieren). Die Web App Firewall verfügt über ein integriertes Standardsignaturobjekt, das aus mehr als 1.300 Signaturregeln besteht, mit der Option, die neuesten Regeln mithilfe der automatischen Aktualisierungsfunktion abzurufen. Regeln, die von anderen Scan-Tools erstellt wurden, können ebenfalls importiert werden. Das Signaturobjekt kann angepasst werden, indem neue Regeln hinzugefügt werden, die mit den anderen im Web App Firewall-Profil angegebenen Sicherheitsprüfungen funktionieren können. Eine Signaturregel kann mehrere Muster haben und kann einen Verstoß nur kennzeichnen, wenn alle Muster übereinstimmen, wodurch Fehlalarme vermieden werden. Die sorgfältige Auswahl eines wörtlichen Musters
fastmatch
für eine Regel kann die Bearbeitungszeit erheblich optimieren.Richtlinien— Web App Firewall-Richtlinien werden verwendet, um den Datenverkehr in verschiedene Typen zu filtern und zu trennen. Dies bietet die Flexibilität, verschiedene Sicherheitsebenen für die Anwendungsdaten zu implementieren. Der Zugriff auf hochsensible Daten kann durch erweiterte Sicherheitsprüfungen erfolgen, während weniger sensible Daten durch grundlegende Sicherheitsinspektionen geschützt werden. Richtlinien können auch so konfiguriert werden, dass die Sicherheitskontrolle auf harmlosen Datenverkehr Bypass wird. Höhere Sicherheit erfordert mehr Verarbeitung, sodass eine sorgfältige Gestaltung der Richtlinien die gewünschte Sicherheit sowie eine optimierte Leistung bieten kann. Die Priorität der Richtlinie bestimmt die Reihenfolge, in der sie bewertet wird, und ihr Bindungspunkt bestimmt den Anwendungsbereich.
Highlights
- Fähigkeit, eine Vielzahl von Anwendungen abzusichern, indem verschiedene Datentypen geschützt werden, das richtige Sicherheitsniveau für verschiedene Ressourcen implementiert und dennoch maximale Leistung erzielt wird.
- Flexibilität beim Hinzufügen oder Ändern einer Sicherheitskonfiguration. Sie können die Sicherheitskontrollen verschärfen oder lockern, indem Sie grundlegende und erweiterte Schutzmaßnahmen aktivieren oder deaktivieren.
- Option zur Konvertierung eines HTML-Profils in ein XML- oder Web2.0-Profil (HTML+XML) und umgekehrt, was die Flexibilität bietet, Sicherheit für verschiedene Payload-Typen hinzuzufügen.
- Einfach zu implementierende Aktionen, um Angriffe zu blockieren, sie in Protokollen zu überwachen, Statistiken zu sammeln oder sogar einige Angriffsfolgen zu transformieren, um sie unschädlich zu machen.
- Fähigkeit, Angriffe durch die Prüfung eingehender Anfragen zu erkennen und den Verlust sensibler Daten zu verhindern, indem die von den Servern gesendeten Antworten überprüft werden.
- Fähigkeit, aus dem Verkehrsmuster zu lernen, um Empfehlungen für leicht editierbare Lockerungsregeln zu erhalten, die eingesetzt werden können, um Ausnahmen zuzulassen.
- Hybrides Sicherheitsmodell, das die Macht anpassbarer Signaturen nutzt, um Angriffe zu blockieren, die bestimmten Mustern entsprechen, und das die Flexibilität bietet, die Prüfungen des positiven Sicherheitsmodells für grundlegende oder erweiterte Sicherheitsvorkehrungen zu verwenden.
- Verfügbarkeit umfassender Konfigurationsberichte, einschließlich Informationen zur PCI-DSS-Konformität.