Manuelle Konfiguration mit der Citrix ADC GUI
Wenn Sie die Web App Firewall-Funktion manuell konfigurieren müssen, empfiehlt Citrix, das Citrix ADC GUI-Verfahren zu verwenden.
Um ein Signaturobjekt zu erstellen und zu konfigurieren
Bevor Sie die Signaturen konfigurieren können, müssen Sie anhand der entsprechenden Standardvorlage für Signaturobjekte ein Signaturobjekt erstellen. Weisen Sie der Kopie einen neuen Namen zu, und konfigurieren Sie dann die Kopie. Sie können die Standardsignaturobjekte nicht direkt konfigurieren oder ändern. Das folgende Verfahren enthält grundlegende Anweisungen zum Konfigurieren eines Signaturobjekts. Ausführlichere Anweisungen finden Sie unter Manuelles Konfigurieren der Signature-Funktion.
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Signaturen.
-
Wählen Sie im Detailbereich das Signaturobjekt aus, das Sie als Vorlage verwenden möchten, und klicken Sie dann auf Hinzufügen.
Ihre Auswahlmöglichkeiten:
- Standardsignaturen. Enthält die Signaturregeln, die SQL-Einschleusungsregeln und die Cross-Site-Scripting-Regeln.
- XPath-Einschleusung. Enthält alle Elemente der Standardsignaturen und enthält zusätzlich die XPath-Injektionsregeln.
- Geben Sie im Dialogfeld Signaturobjekt hinzufügen einen Namen für Ihr neues Signaturobjekt ein, klicken Sie auf OK und dann auf Schließen. Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstrichsymbol beginnen und aus einem bis 31 Buchstaben, Zahlen und dem Bindestrich (-), Punkt (.) Pfund (#), Leerzeichen (), bei (@), gleich (=) und Unterstrichen (_) bestehen.
- Wählen Sie das Signaturobjekt aus, das Sie erstellt haben, und klicken Sie dann auf Öffnen.
-
Stellen Sie im Dialogfeld „Signaturobjekt ändern “ links die Optionen „ Filterkriterien anzeigen“ ein, um die Filterelemente anzuzeigen, die Sie konfigurieren möchten.
Wenn Sie diese Optionen ändern, werden die von Ihnen angegebenen Ergebnisse im Fenster Gefilterte Ergebnisse rechts angezeigt. Weitere Informationen zu den Kategorien von Signaturen finden Sie unter Signaturen.
- Konfigurieren Sie im Bereich Gefilterte Ergebnisse die Einstellungen für eine Signatur, indem Sie die entsprechenden Kontrollkästchen aktivieren und deaktivieren.
- Wenn Sie fertig sind, klicken Sie auf Schließen.
So erstellen Sie ein Web App Firewall-Profil mit der GUI
Zum Erstellen eines Web App Firewall-Profils müssen Sie nur wenige Konfigurationsdetails angeben.
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Klicken Sie im Detailbereich auf Hinzufügen.
-
Geben Sie im Dialogfeld Web App Firewall-Profil erstellen einen Namen für Ihr Profil ein.
Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstrich beginnen und aus einem bis 31 Buchstaben, Zahlen und den Symbolen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), at (@), Gleichheit (=), Doppelpunkt (:) und Unterstrich (_) bestehen.
- Wählen Sie den Profiltyp aus der Dropdownliste aus.
- Klicken Sie auf Erstellenund dann auf Schließen.
So konfigurieren Sie ein Web App Firewall-Profil über die GUI
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie im Detailbereich das zu konfigurierende Profil aus, und klicken Sie dann auf Bearbeiten.
- Konfigurieren Sie im Dialogfeld Web App Firewall-Profil konfigurieren auf der Registerkarte Sicherheitsüberprüfungen die Sicherheitsüberprüfungen.
- Um eine Aktion für eine Prüfung zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie in der Liste das Kontrollkästchen für diese Aktion.
-
Um weitere Parameter für die Prüfungen zu konfigurieren, die sie haben, klicken Sie in der Liste auf den blauen Chevron ganz rechts neben dieser Prüfung. Konfigurieren Sie im daraufhin angezeigten Dialogfeld die Parameter. Diese variieren von Scheck zu Scheck.
Sie können auch eine Prüfung auswählen und unten im Dialogfeld auf Öffnen klicken, um das Dialogfeld Entspannung konfigurieren oder Regel konfigurieren für diese Überprüfung anzuzeigen. Diese Dialogfelder variieren auch von Prüfung zu Prüfung. Die meisten von ihnen enthalten eine Registerkarte Schecks und eine Registerkarte Allgemein. Wenn die Prüfung Entspannungen oder benutzerdefinierte Regeln unterstützt, enthält die Registerkarte Prüfungen eine Schaltfläche Hinzufügen, wodurch ein weiteres Dialogfeld geöffnet wird, in dem Sie eine Entspannung oder Regel für die Prüfung angeben können. (Eine Entspannung ist eine Regel, um bestimmten Verkehr vom Scheck auszunehmen.) Wenn Entspannungen bereits konfiguriert wurden, können Sie eine auswählen und auf Öffnen klicken, um sie zu ändern.
-
Um gelernte Ausnahmen oder Regeln für eine Prüfung zu überprüfen, wählen Sie die Prüfung aus, und klicken Sie dann auf Erlernte Verletzungen. Wählen Sie im Dialogfeld Gelernte Regeln verwalten nacheinander jede gelernte Ausnahme oder Regel aus.
- Um die Ausnahme oder Regel zu bearbeiten und sie dann zur Liste hinzuzufügen, klicken Sie auf Bearbeiten und bereitstellen.
- Um die Ausnahme oder Regel ohne Änderung zu akzeptieren, klicken Sie auf Bereitstellen.
- Um die Ausnahme oder Regel aus der Liste zu entfernen, klicken Sie auf Überspringen.
- Um die Liste der zu überprüfenden Ausnahmen oder Regeln zu aktualisieren, klicken Sie auf Aktualisieren.
- Um den Learning Visualizer zu öffnen und damit die erlernten Regeln zu überprüfen, klicken Sie auf Visualizer.
- Um die Protokolleinträge für Verbindungen zu überprüfen, die einer Prüfung entsprechen, wählen Sie die Prüfung aus und klicken Sie dann auf Protokolle. Anhand dieser Informationen können Sie ermitteln, welche Checks mit Angriffen übereinstimmen, sodass Sie die Blockierung für diese Prüfungen aktivieren können. Sie können diese Informationen auch verwenden, um zu bestimmen, welche Prüfungen mit dem legitimen Datenverkehr übereinstimmen, sodass Sie eine entsprechende Ausnahme konfigurieren können, um diese legitimen Verbindungen zuzulassen. Weitere Informationen zu den Protokollen finden Sie unter Protokolle, Statistiken und Berichte.
- Um eine Überprüfung vollständig zu deaktivieren, deaktivieren Sie in der Liste alle Kontrollkästchen rechts neben dieser Prüfung.
- Konfigurieren Sie auf der Registerkarte Einstellungen die Profileinstellungen.
-
Um das Profil mit den Signaturen zu verknüpfen, die Sie zuvor erstellt und konfiguriert haben, wählen Sie unter Allgemeine Einstellungendiese Gruppe von Signaturen in der Dropdownliste Signaturen aus.
Hinweis:
Sie können die Bildlaufleiste auf der rechten Seite des Dialogfelds verwenden, um nach unten zu scrollen und den Abschnitt Allgemeine Einstellungen anzuzeigen.
-
Um ein HTML- oder XML-Fehlerobjekt zu konfigurieren, wählen Sie das Objekt aus der entsprechenden Dropdownliste aus.
Hinweis:
Sie müssen zuerst das Fehlerobjekt, das Sie verwenden möchten, im Importbereich hochladen.
-
Um den Standard-XML-Inhaltstyp zu konfigurieren, geben Sie die Zeichenfolge für den Inhaltstyp direkt in die Textfelder Standardanforderung und Standardantwort ein, oder klicken Sie auf Zulässige Inhaltstypen verwalten, um die Liste der zulässigen Inhaltstypen zu verwalten.
-
-
Wenn Sie die Lernfunktion verwenden möchten, klicken Sie auf Lernen, und konfigurieren Sie die Lerneinstellungen für das Profil. Weitere Informationen finden Sie unter Konfigurieren und Lernen Feature.
- Klicken Sie auf OK, um Ihre Änderungen zu speichern und zum Bereich Profile zurückzukehren.
Konfiguration einer Web App Firewall-Regel oder Lockerung
In diesem Dialogfeld konfigurieren Sie zwei verschiedene Arten von Informationen, je nachdem, welche Sicherheitsüberprüfung Sie konfigurieren. In den meisten Fällen konfigurieren Sie eine Ausnahme (oder Lockerung) für die Sicherheitsüberprüfung. Wenn Sie die Prüfung „URL ablehnen“ oder „Feldformate“ konfigurieren, konfigurieren Sie eine Ergänzung (oder Regel). Der Prozess für beide ist derselbe.
So konfigurieren Sie eine Entspannungsregel mit der Citrix ADC GUI
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie im Bereich Profile das Profil aus, das Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.
- Klicken Sie auf der Seite Web App Firewall-Profil konfigurieren im Abschnitt Erweiterte Einstellungen auf Relaxationsregel. Der Abschnitt Entspannungsregeln enthält die vollständige Liste der Lockerungsregeln für die Web App Firewall.
- Klicken Sie auf eine Sicherheitsregel, die Sie konfigurieren möchten, und klicken Sie dann auf Bearbeiten.
- Die Seite mit den URL-Entspannungsregeln enthält eine Liste von Aktionen, die Sie für diese Regel konfigurieren können, sowie eine Liste vorhandener Lockerungen oder Regeln. Die Liste ist möglicherweise leer, wenn Sie weder manuell irgendwelche Lockerungen hinzugefügt noch alle von der Lernmaschine empfohlenen Lockerungen genehmigt haben. Unter der Liste befindet sich eine Reihe von Schaltflächen, mit denen Sie die Lockerungen in der Liste hinzufügen, ändern, löschen, aktivieren oder deaktivieren können.
-
Gehen Sie wie folgt vor, um eine Entspannung oder Regel hinzuzufügen oder zu ändern:
- Um eine neue Entspannung hinzuzufügen, klicken Sie auf Hinzufügen.
- Um eine vorhandene Entspannung zu ändern, wählen Sie die Entspannung aus, die Sie ändern möchten, und klicken Sie dann auf Öffnen.
Die Seite mit den Relaxationsregeln für die Start-URL wird angezeigt. Mit Ausnahme des Titels sind diese Dialogfelder identisch.
-
Füllen Sie das Dialogfeld wie unten beschrieben aus. Die Dialogfelder für jede Prüfung sind unterschiedlich. Die folgende Liste deckt alle Elemente ab, die in einem beliebigen Dialogfeld erscheinen können.
- Aktiviertes Kontrollkästchen— Wählen Sie dieses Kontrollkästchen aus, um diese Relaxation oder Regel aktiv zu verwenden. Deaktivieren Sie das Kontrollkästchen, um sie zu deaktivieren.
- Inhaltstyp des Anhangs— Das Content-Type-Attribut eines XML-Anhangs. Geben Sie im Textbereich einen regulären Ausdruck ein, der dem Content-Type-Attribut der zuzulassen XML-Anlagen entspricht.
- Aktions-URL— Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der die URL definiert, an die die in das Webformular eingegebenen Daten übermittelt werden.
- Cookie— Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der das Cookie definiert.
- Feldname— Ein Webformular-Feldnamenelement kann mit Feldname, Formularfeld oder einem anderen ähnlichen Namen beschriftet sein. Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der den Namen des Formularfeldes definiert.
- Von Origin-URL— Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der die URL definiert, die das Webformular hostet.
- Aus Aktions-URL— Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der die URL definiert, an die die in das Webformular eingegebenen Daten übermittelt werden.
- Name— Ein XML-Element- oder Attributname. Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der den Namen des Elements oder Attributs definiert.
- URL— Ein URL-Element kann als Aktions-URL, Ablehnungs-URL, Formular-Aktions-URL, Formular-Ursprungs-URL, Start-URL oder einfach als URL bezeichnet werden. Geben Sie im Textbereich einen regulären Ausdruck im PCRE-Format ein, der die URL definiert.
-
Format— Der Abschnitt „Format“ enthält mehrere Einstellungen, darunter Listenfelder und Textfelder. Folgendes kann auftreten:
- Typ— Wählen Sie in der Dropdownliste Typ einen Feldtyp aus. Um eine neue Feldtypdefinition hinzuzufügen, klicken Sie auf Verwalten—
- Mindestlänge— Geben Sie eine positive Ganzzahl ein, die die Mindestlänge in Zeichen darstellt, wenn Sie Benutzer zwingen möchten, dieses Feld auszufüllen. Standard: 0 (Ermöglicht es, das Feld leer zu lassen.)
- Maximale Länge— Um die Länge der Daten in diesem Feld zu begrenzen, geben Sie eine positive Ganzzahl ein, die die maximale Länge in Zeichen darstellt. Standard: 65535
-
Position— Wählen Sie aus der Dropdownliste das Element der Anforderung aus, auf das Ihre Entspannung angewendet wird. Für HTML-Sicherheitsprüfungen stehen folgende Optionen zur Verfügung:
- FormField — Formularfelder in Webformularen.
- Header — Header anfordern.
- Cookie-Set-Cookie-Header.
Für XML-Sicherheitsprüfungen stehen folgende Optionen zur Verfügung:
- ELEMENT — XML-Element.
- ATTRIBUE — XML-Attribut.
- Maximale Anlagengröße— Die maximal zulässige Größe in Byte für einen XML-Anhang.
- Kommentare— Geben Sie im Textbereich einen Kommentar ein. Optional.
Hinweis: Für jedes Element, das einen regulären Ausdruck erfordert, können Sie den regulären Ausdruck eingeben, das Menü „Regex-Tokens“ verwenden, um reguläre Ausdruckselemente und Symbole direkt in das Textfeld einzufügen, oder auf Regex-Editor klicken, um das Dialogfeld „ Regulären Ausdruck hinzufügen “ zu öffnen und es zum Erstellen des Ausdrucks zu verwenden.
- Um eine Entspannung oder Regel zu entfernen, wählen Sie sie aus, und klicken Sie dann auf Löschen.
- Um eine Entspannung oder Regel zu aktivieren, wählen Sie sie aus, und klicken Sie dann auf Aktivieren.
- Um eine Entspannung oder Regel zu deaktivieren, wählen Sie sie aus, und klicken Sie dann auf Deaktivieren.
-
Um die Einstellungen und Beziehungen aller vorhandenen Relaxationen in einer integrierten interaktiven Grafikdarstellung zu konfigurieren, klicken Sie auf Visualizer, und verwenden Sie die Anzeigetools.
Hinweis:
Die Schaltfläche Visualizer wird nicht in allen Dialogfeldern für die Überprüfung der Entspannung angezeigt.
- Um die erlernten Regeln für diese Prüfung zu überprüfen, klicken Sie auf Lernen und führen Sie die Schritte unter So konfigurieren und verwenden Sie die Lernfunktionaus
- Klicken Sie auf OK.
So konfigurieren Sie die gelernten Regeln mit der Citrix ADC GUI
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Profile.
- Wählen Sie im Bereich Profile das Profil aus, und klicken Sie dann auf Bearbeiten.
- Klicken Sie auf der Profilseite der Citrix Web App Firewall in den erweiterten Einstellungenauf Gelernte Regeln. Im Abschnitt Gelernte Regeln finden Sie eine Liste der Sicherheitsüberprüfungen, die im aktuellen Profil verfügbar sind und die Lernfunktion unterstützen.
- Um die Lernschwellen zu konfigurieren, wählen Sie eine Sicherheitsüberprüfung aus und klicken Sie auf Einstellungen.
-
Auf der Seite Einstellungen für dynamische Profilerstellung und Lernregeln können Sie die Einstellungen festlegen. Weitere Informationen finden Sie unter Dynamische Profileinstellungen
-
Mindestzahlschwelle. Je nachdem, welche Lerneinstellungen Sie für die Sicherheitsüberprüfung konfigurieren, bezieht sich der Schwellenwert für die Mindestanzahl der Benutzersitzungen, die insgesamt eingehalten werden müssen, auf die Mindestanzahl von Anfragen, die eingehalten werden müssen, oder auf die Mindestanzahl, mit der ein bestimmtes Formularfeld eingehalten werden muss, bevor eine erlernte Entspannung generiert wird. Standard: 1
-
Prozentsatz des Schwellenwerts. Je nachdem, welche Lerneinstellungen der Sicherheitsüberprüfung Sie konfigurieren, bezieht sich der Schwellenwert in Prozent auf den Prozentsatz der gesamten beobachteten Benutzersitzungen, die gegen die Sicherheitsüberprüfung verstoßen haben, auf den Prozentsatz der Anfragen oder auf den Prozentsatz, mit dem ein Formularfeld mit einem bestimmten Feldtyp übereinstimmte, vor erlernte Entspannung wird erzeugt. Standard: 0
-
- Um alle gelernten Daten zu entfernen und die Lernfunktion zurückzusetzen, sodass sie ihre Beobachtungen erneut von vorne beginnen muss, wählen Sie die Aktion Alle gelernten Daten entfernen.
Hinweis:
Mit dieser Schaltfläche werden nur gelernte Empfehlungen entfernt, die nicht geprüft und entweder genehmigt oder übersprungen wurden. Erlernte Entspannungen, die akzeptiert und eingesetzt wurden, werden nicht beseitigt.
- Um die Lernmaschine auf den Datenverkehr von einer bestimmten Gruppe von IPs zu beschränken, klicken Sie auf Trusted Learning Clientsund fügen Sie die zu verwendenden IP-Adressen zur Liste hinzu.
- Um der Liste der vertrauenswürdigen Lernclients eine IP-Adresse oder einen IP-Adressbereich hinzuzufügen, klicken Sie auf Hinzufügen.
- Klicken Sie auf der Seite AppFirewall-Profile to Trusted Clint Binding auf Hinzufügen.
- Markieren Sie das Kontrollkästchen Aktiviert, um die Funktion zu aktivieren.
- Geben Sie in das** Feld Trusted Learning Client die IP-Adresse oder einen IP-Adressbereich im CIDR-Format ein.
- Geben Sie im Textbereich Kommentare einen Kommentar ein, der diese IP-Adresse oder diesen Bereich beschreibt.
- Klicken Sie auf Erstellen und Schließen.
- Um eine vorhandene IP-Adresse oder einen Bereich zu ändern, klicken Sie auf die IP-Adresse oder den Bereich und dann auf Bearbeiten. Bis auf den Namen ist das angezeigte Dialogfeld identisch mit dem Dialogfeld Trusted Learning Clients hinzufügen.
- Um eine IP-Adresse oder einen Bereich zu deaktivieren oder zu aktivieren, ihn aber in der Liste zu belassen, klicken Sie auf die IP-Adresse oder den Bereich und dann je nach Bedarf auf Deaktivieren oder Aktivieren.
-
Um eine IP-Adresse oder einen Bereich vollständig zu entfernen, klicken Sie auf die IP-Adresse oder den Bereich und dann auf Löschen.
- Klicken Sie auf Schließen, um zur Profilseite der Citrix Web App Firewall zurückzukehren.
So erstellen Sie eine Citrix Web App Firewall-Richtlinie mit der Citrix ADC GUI
-
Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien.
- Klicken Sie auf der Seite Richtlinien auf den Link Citrix Web App Firewall Policy.
- Klicken Sie auf der Seite Citrix Web App Firewall Policies auf Hinzufügen.
-
Stellen Sie auf der Seite Citrix Web App Firewall-Richtlinie erstellen die folgenden Parameter ein.
- Name. Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstrich beginnen und aus einem bis 128 Buchstaben, Zahlen und den Symbolen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), at (@), Gleichheit (=), Doppelpunkt (:) und Unterstrich (_) bestehen.
- Steckbrief. Wählen Sie in der Dropdown-Liste Profil das Profil aus, das Sie dieser Richtlinie zuordnen möchten. Sie können ein Profil erstellen, das mit Ihrer Richtlinie verknüpft wird, indem Sie auf Neu klicken, und Sie können ein vorhandenes Profil ändern, indem Sie auf Ändernklicken.
- Expression. Erstellen Sie im Textbereich Ausdruck eine Regel für Ihre Richtlinie.
- Aktion protokollieren. Fügen Sie eine Log-Aktion hinzu, oder Sie können eine bestehende Log-Aktion ändern.
- Kommentare. Eine kurze Beschreibung der Richtlinie.
- Klicken Sie auf Erstellen oder OK und dann auf Schließen.
So erstellen oder konfigurieren Sie eine Web App Firewall-Regel (Ausdruck)
Die Richtlinienregel, auch Ausdruckgenannt, definiert den Webverkehr, den die Web App Firewall mithilfe des mit der Richtlinie verknüpften Profils filtert. Wie andere Citrix ADC-Richtlinienregeln (oder Ausdrücke) verwenden Web App Firewall-Regeln die Citrix ADC-Ausdruckssyntax. Diese Syntax ist leistungsstark, flexibel und erweiterbar. Es ist zu komplex, um es in diesen Anweisungen vollständig zu beschreiben. Sie können das folgende Verfahren verwenden, um eine einfache Firewall-Richtlinienregel zu erstellen, oder Sie können sie als Überblick über den Richtlinienerstellungsprozess lesen.
-
Wenn Sie dies noch nicht getan haben, navigieren Sie zum entsprechenden Speicherort im Web App Firewall-Assistenten oder in der Citrix ADC GUI, um Ihre Richtlinienregel zu erstellen:
- Wenn Sie eine Richtlinie im Web App Firewall-Assistenten konfigurieren, klicken Sie im Navigationsbereich auf Citrix Web App Firewall Wizard, dann im Detailbereich auf Citrix Web App Firewall Wizardund navigieren Sie dann zur Registerkarte Regel angeben.
-
Wählen Sie auf der Seite Regel angeben das Präfix für Ihren Ausdruck aus der Dropdownliste aus. Ihre Auswahlmöglichkeiten:
- HTTP. Das HTTP-Protokoll. Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf das HTTP-Protokoll bezieht.
- SYS. Eine oder mehrere geschützte Websites. Wählen Sie diese Option, wenn Sie einen Aspekt der Anfrage untersuchen möchten, der sich auf den Empfänger der Anfrage bezieht.
- CLIENT. Der Computer, der die Anfrage gesendet hat. Wählen Sie diese Option aus, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
- SERVER. Der Computer, an den die Anfrage gesendet wurde. Wählen Sie diese Option, wenn Sie einige Aspekte des Empfängers der Anfrage untersuchen möchten.
Nachdem Sie ein Präfix ausgewählt haben, zeigt die Web App Firewall ein zweiteiliges Eingabeaufforderungsfenster an, in dem oben die möglichen nächsten Optionen angezeigt werden, und eine kurze Erklärung, was die ausgewählte Auswahl unten bedeutet.
-
Wähle dein nächstes Semester.
Wenn Sie HTTP als Präfix ausgewählt haben, ist Ihre einzige Wahl REQ, das das Request/Response-Paar angibt. (Die Web App Firewall arbeitet bei der Anfrage und Antwort als Einheit statt auf jeder separat.) Wenn Sie ein anderes Präfix gewählt haben, sind Ihre Auswahl vielfältiger. Um Hilfe zu einer bestimmten Auswahl zu erhalten, klicken Sie einmal auf diese Auswahl, um Informationen darüber im unteren Eingabeaufforderungsfenster anzuzeigen.
Wenn Sie entschieden haben, welchen Begriff Sie möchten, doppelklicken Sie darauf, um ihn in das Ausdrucksfenster einzufügen.
-
Geben Sie einen Zeitraum nach dem gerade gewählten Term ein. Sie werden dann aufgefordert, Ihren nächsten Begriff zu wählen, wie im vorherigen Schritt beschrieben. Wenn für einen Begriff die Eingabe eines Wertes erforderlich ist, geben Sie den entsprechenden Wert ein. Wenn Sie beispielsweise HTTP.REQ.HEADER (“”) wählen, geben Sie den Kopfzeilennamen zwischen den Anführungszeichen ein.
-
Wählen Sie weiterhin Begriffe aus den Eingabeaufforderungen aus und geben Sie alle benötigten Werte ein, bis Ihr Ausdruck beendet ist.
Im Folgenden finden Sie einige Beispiele für Ausdrücke für bestimmte Zwecke.
- Spezifischer Webhost. So stimmen Sie den Datenverkehr von einem bestimmten Webhost ab:
HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
Ersetzen Sie shopping.example.com durch den Namen des Webhosts, den Sie abgleichen möchten.
- Bestimmter Webordner oder -verzeichnis. So stimmen Sie den Datenverkehr aus einem bestimmten Ordner oder Verzeichnis auf einem Webhost ab:
HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")
Ersetzen Sie für www.example.com den Namen des Webhosts. Ersetzen Sie für Ordner den Ordner oder Pfad durch den Inhalt, den Sie abgleichen möchten. Wenn sich Ihr Warenkorb beispielsweise in einem Ordner namens /solutions/orders befindet, ersetzen Sie diese Zeichenfolge durch Ordner.
- Bestimmte Art von Inhalt: GIF-Bilder. So passen Sie Bilder im GIF-Format an:
HTTP.REQ.URL.ENDSWITH(".gif")
Um Bilder in anderen Formaten zu entsprechen, ersetzen Sie anstelle von .gif eine andere Zeichenfolge.
- Spezifischer Inhaltstyp: Skripts. So passen Sie alle CGI-Skripts an, die sich im CGI-BIN-Verzeichnis befinden:
HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")
So passen Sie alle JavaScripts mit .js-Erweiterungen an:
HTTP.REQ.URL.ENDSWITH(".js")
Weitere Informationen zum Erstellen von Richtlinienausdrücken finden Sie unter Richtlinien und Ausdrücke.
Hinweis:
Wenn Sie die Befehlszeile zum Konfigurieren einer Richtlinie verwenden, denken Sie daran, doppelte Anführungszeichen in Citrix ADC-Ausdrücken zu umgehen. Der folgende Ausdruck ist beispielsweise korrekt, wenn er in die GUI eingegeben wird:
HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
Wenn Sie es jedoch über die Befehlszeile eingeben, müssen Sie stattdessen Folgendes eingeben:
HTTP.REQ.HEADER("Host").EQ("shopping.example.com")
![Policy expression configuration](/en-us/citrix-adc/media/waf-rule.png)
So fügen Sie eine Firewallregel (Ausdruck) mithilfe des Dialogfelds Ausdruck hinzufügen hinzu
Das Dialogfeld Ausdruck hinzufügen (auch als Ausdruckseditor bezeichnet) hilft Benutzern, die mit der Sprache der Citrix ADC-Ausdrücke nicht vertraut sind, eine Richtlinie zu erstellen, die dem Datenverkehr entspricht, den sie filtern möchten.
- Wenn Sie dies noch nicht getan haben, navigieren Sie im Web App Firewall-Assistenten oder in der Citrix ADC GUI zum entsprechenden Speicherort:
- Wenn Sie im Web App Firewall-Assistenten eine Richtlinie konfigurieren, klicken Sie im Navigationsbereich auf Web App Firewall, dann im Detailbereich auf Web App Firewall-Assistent und navigieren Sie dann zum Bildschirm Regel angeben.
- Wenn Sie eine Richtlinie manuell konfigurieren, erweitern Sie im Navigationsbereich Web App Firewall, Richtlinienund dann Firewall. Klicken Sie im Detailbereich auf Hinzufügen, um eine Richtlinie zu erstellen. Um eine vorhandene Richtlinie zu ändern, wählen Sie die Richtlinie aus, und klicken Sie dann auf Öffnen.
- Klicken Sie auf dem Bildschirm Regel angeben im Dialogfeld Web App-Firewall-Profil erstellen oder im Dialogfeld Web App Firewall-Profil konfigurieren auf Hinzufügen.
- Wählen Sie im Dialogfeld Ausdruck hinzufügen im Bereich “Ausdruck erstellen” im ersten Listenfeld eines der folgenden Präfixe aus:
- HTTP. Das HTTP-Protokoll. Wählen Sie diese Option, wenn Sie einen Aspekt der Anforderung untersuchen möchten, der sich auf das HTTP-Protokoll bezieht. Die Standardauswahl.
- SYS. Eine oder mehrere geschützte Websites. Wählen Sie diese Option, wenn Sie einen Aspekt der Anfrage untersuchen möchten, der sich auf den Empfänger der Anfrage bezieht.
- CLIENT. Der Computer, der die Anfrage gesendet hat. Wählen Sie diese Option aus, wenn Sie einen Aspekt des Absenders der Anfrage untersuchen möchten.
- SERVER. Der Computer, an den die Anfrage gesendet wurde. Wählen Sie diese Option, wenn Sie einige Aspekte des Empfängers der Anfrage untersuchen möchten.
- Wählen Sie im zweiten Listenfeld Ihren nächsten Begriff aus. Die verfügbaren Begriffe unterscheiden sich je nach Auswahl, die Sie im vorherigen Schritt getroffen haben, da das Dialogfeld die Liste automatisch so anpasst, dass sie nur die Begriffe enthält, die für den Kontext gültig sind. Wenn Sie beispielsweise im vorherigen Listenfeld HTTP ausgewählt haben, ist REQ für Anfragen die einzige Wahl. Da die Web App Firewall Anfragen und zugehörige Antworten als eine einzige Einheit behandelt und beide filtert, müssen Sie keine spezifischen Antworten separat eingehen. Nachdem Sie Ihren zweiten Begriff gewählt haben, erscheint rechts neben dem zweiten ein drittes Listenfeld. Im Hilfefenster wird eine Beschreibung des zweiten Begriffs angezeigt, und im Fenster Vorschauausdruck wird Ihr Ausdruck angezeigt.
- Wählen Sie im dritten Listenfeld den nächsten Begriff aus. Rechts erscheint ein neues Listenfeld, und das Hilfefenster ändert sich, um eine Beschreibung des neuen Begriffs anzuzeigen. Das Fenster Vorschauausdruck wird aktualisiert, um den Ausdruck so anzuzeigen, wie Sie ihn bis zu diesem Zeitpunkt angegeben haben.
- Wählen Sie weiterhin Begriffe aus und wenn Sie dazu aufgefordert werden, Argumente auszufüllen, bis Ihr Ausdruck vollständig ist. Wenn Sie einen Fehler machen oder Ihren Ausdruck ändern möchten, nachdem Sie bereits einen Begriff ausgewählt haben, können Sie einfach einen anderen Begriff wählen. Der Ausdruck wird geändert, und alle Argumente oder weitere Begriffe, die Sie nach dem geänderten Begriff hinzugefügt haben, werden gelöscht.
- Wenn Sie mit der Erstellung Ihres Ausdrucks fertig sind, klicken Sie auf OK, um das Dialogfeld Ausdruck hinzufügen zu schließen. Ihr Ausdruck wird in den Ausdruckstextbereich eingefügt.
So binden Sie eine Web App Firewall-Richtlinie mithilfe der Citrix ADC GUI
- Führen Sie einen der folgenden Schritte aus:
- Navigieren Sie zu Sicherheit > Web App Firewallund klicken Sie im Detailbereich auf Application Firewall Policy Manager.
- Navigieren Sie zu Sicherheit > Citrix Web App Firewall > Richtlinien > Firewallund klicken Sie im Bereich „Citrix Web App Firewall Policies“ auf Policy Manager.
- Wählen Sie im Dialogfeld Anwendungsfirewall Policy Manager aus der Dropdownliste den Bindpunkt aus, an den Sie die Richtlinie binden möchten. Es stehen folgende Optionen zur Auswahl:
- Global überschreiben. Richtlinien, die an diesen Bindpunkt gebunden sind, verarbeiten den gesamten Datenverkehr von allen Schnittstellen auf der Citrix ADC Appliance und werden vor allen anderen Richtlinien angewendet.
- LB Virtueller Server. Richtlinien, die an einen virtuellen Lastausgleichsserver gebunden sind, werden nur auf den Datenverkehr angewendet, der von diesem virtuellen Lastausgleichsserver verarbeitet wird, und sie werden vor allen globalen Standardrichtlinien angewendet. Nachdem Sie LB Virtual Server ausgewählt haben, müssen Sie auch den spezifischen virtuellen Load-Balancing-Server auswählen, an den Sie diese Richtlinie binden möchten.
- CS Virtueller Server. Richtlinien, die an einen virtuellen Content Switching-Server gebunden sind, werden nur auf den Datenverkehr angewendet, der von diesem virtuellen Content Switching-Server verarbeitet wird, und sie werden vor allen globalen Standardrichtlinien angewendet. Nachdem Sie CS Virtual Server ausgewählt haben, müssen Sie auch den spezifischen virtuellen Content Switching-Server auswählen, an den Sie diese Richtlinie binden möchten.
- Standard Global. Richtlinien, die an diesen Bindpunkt gebunden sind, verarbeiten den gesamten Datenverkehr von allen Schnittstellen auf der Citrix ADC Appliance.
- Richtlinien-Etikett. Richtlinien, die an ein Richtlinienlabel gebunden sind, verarbeiten den Datenverkehr, den das Richtlinienlabel an sie weiterleitet. Das Richtlinienlabel bestimmt die Reihenfolge, in der Richtlinien auf diesen Verkehr angewendet werden.
- Keine. Binden Sie die Richtlinie an keinen Bindungspunkt.
- Klicken Sie auf Weiter. Eine Liste der vorhandenen Web App Firewall-Richtlinien wird angezeigt.
- Wählen Sie die Richtlinie aus, die Sie binden möchten, indem Sie darauf klicken.
- Nehmen Sie weitere Anpassungen an der Bindung vor.
- Um die Richtlinienpriorität zu ändern, klicken Sie auf das Feld, um es zu aktivieren, und geben Sie dann eine neue Priorität ein. Sie können auch Prioritäten neu generieren auswählen, um die Prioritäten gleichmäßig neu zu nummerieren.
- Um den Richtlinienausdruck zu ändern, doppelklicken Sie auf dieses Feld, um das Dialogfeld Web App Firewall-Richtlinie konfigurieren zu öffnen, in dem Sie den Richtlinienausdruck bearbeiten können.
- Um den Gehe zu Ausdruck festzulegen, doppelklicken Sie auf das Feld in der Spaltenüberschrift Gehe zu Ausdruck, um die Dropdownliste anzuzeigen, in der Sie einen Ausdruck auswählen können.
- Um die Option “Aufrufen” festzulegen, doppelklicken Sie auf das Feld in der Spaltenüberschrift “Aufrufen”, um die Dropdownliste anzuzeigen, in der Sie einen Ausdruck auswählen können.
- Wiederholen Sie die Schritte 3 bis 6, um weitere Web App Firewall-Richtlinien hinzuzufügen, die Sie global binden möchten.
- Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich gebunden wurde.
In diesem Artikel
- Um ein Signaturobjekt zu erstellen und zu konfigurieren
- So erstellen Sie ein Web App Firewall-Profil mit der GUI
- So konfigurieren Sie ein Web App Firewall-Profil über die GUI
- Konfiguration einer Web App Firewall-Regel oder Lockerung
- So konfigurieren Sie die gelernten Regeln mit der Citrix ADC GUI
- So erstellen Sie eine Citrix Web App Firewall-Richtlinie mit der Citrix ADC GUI
- So erstellen oder konfigurieren Sie eine Web App Firewall-Regel (Ausdruck)
- So fügen Sie eine Firewallregel (Ausdruck) mithilfe des Dialogfelds Ausdruck hinzufügen hinzu
- So binden Sie eine Web App Firewall-Richtlinie mithilfe der Citrix ADC GUI