Der Web App Firewall-Assistent
Im Gegensatz zu den meisten Assistenten wurde der Citrix Web App Firewall-Assistent nicht nur dazu entwickelt, den Erstkonfigurationsprozess zu vereinfachen, sondern auch zuvor erstellte Konfigurationen zu ändern und Ihr Web App Firewall-Setup beizubehalten. Ein typischer Benutzer führt den Assistenten mehrmals aus, wobei jedes Mal einige Bildschirme übersprungen werden.
Der Web App Firewall Wizard erstellt automatisch Profile, Richtlinien und Signaturen.
Den Wizard öffnen
Um den Web App Firewall Wizard auszuführen, öffnen Sie die GUI und gehen Sie wie folgt vor:
- Navigieren Sie zu Sicherheit > Application Firewall.
- Klicken Sie im Detailbereich unter Getting Startedauf Application Firewall Wizard. Der Assistent wird geöffnet.
Weitere Informationen zur GUI finden Sie unter “Die Web App Firewall-Konfigurationsschnittstellen. “
Die Bildschirme des Assistenten
Der Web App Firewall-Assistent zeigt die folgenden Bildschirme auf einer tabellarischen Seite an:
1. Namen angeben: Geben Sie auf diesem Bildschirm beim Erstellen einer neuen Sicherheitskonfiguration einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil an. Die Standardrichtlinie und die Signaturen werden automatisch unter Verwendung desselben Namens generiert.
Name des Profils
Der Name kann mit einem Buchstaben, einer Zahl oder dem Unterstrichsymbol beginnen und aus 1 bis 31 Buchstaben, Zahlen und den Symbolen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At (@), Gleichheit (=), Doppelpunkt (:) und Unterstrich (_) bestehen. Wählen Sie einen Namen, anhand dessen andere leicht erkennen können, welche Inhalte Ihre neue Sicherheitskonfiguration schützt.
Hinweis:
Da der Assistent diesen Namen sowohl für die Richtlinie als auch für das Profil verwendet, ist er auf 31 Zeichen begrenzt. Manuell erstellte Richtlinien können Namen mit einer Länge von bis zu 127 Zeichen haben.
Wenn Sie eine vorhandene Konfiguration ändern, wählen Sie Bestehende Konfiguration ändern und wählen Sie dann in der Dropdownliste Name den Namen der vorhandenen Konfiguration aus, die Sie ändern möchten.
Hinweis:
In dieser Liste werden nur Richtlinien angezeigt, die an einen globalen oder an einen Bindungspunkt gebunden sind. Sie können eine ungebundene Richtlinie nicht mithilfe des Application Firewall-Assistenten ändern. Sie müssen es entweder manuell an Global oder einen Bindungspunkt binden oder es manuell ändern. (Zur manuellen Änderung in der GUI) Application Firewall >Richtlinien>Firewall-Bereich**, wählen Sie die Richtlinie aus und klicken Sie auf **Öffnen.
Profiltyp
Auf diesem Bildschirm wählen Sie auch einen Profiltyp aus. Der Profiltyp bestimmt die Arten des erweiterten Schutzes (Sicherheitsprüfungen), die konfiguriert werden können. Da bestimmte Arten von Inhalten nicht für bestimmte Arten von Sicherheitsbedrohungen anfällig sind, spart die Einschränkung der Liste der verfügbaren Prüfungen Zeit bei der Konfiguration. Die Typen von Web App Firewall-Profilen sind:
- Webanwendung (HTML). Jede HTML-basierte Website, die keine XML- oder Web 2.0-Technologien verwendet.
- XML-Anwendung (XML, SOAP). Jeder XML-basierte Webdienst.
- Web 2.0-Anwendung (HTML, XML, REST). Jede Web 2.0-Site, die HTML- und XML-basierte Inhalte kombiniert, z. B. eine Atom-basierte Website, ein Blog, ein RSS-Feed oder ein Wiki.
Hinweis: Wenn Sie sich nicht sicher sind, welche Art von Inhalten auf Ihrer Website verwendet wird, können Sie Web 2.0-Anwendung wählen, um sicherzustellen, dass Sie alle Arten von Webanwendungsinhalten schützen.
2. Regel angeben: Auf diesem Bildschirm geben Sie die Richtlinienregel (Ausdruck) an, die den Datenverkehr definiert, den die aktuelle Konfiguration untersucht. Wenn Sie eine Erstkonfiguration zum Schutz Ihrer Websites und Webdienste erstellen, können Sie den Standardwert trueakzeptieren, der den gesamten Webverkehr auswählt.
Wenn Sie möchten, dass diese Sicherheitskonfiguration nicht den gesamten HTTP-Verkehr, der durch die Appliance geleitet wird, sondern bestimmten Datenverkehr untersucht, können Sie eine Richtlinienregel schreiben, die den Traffic angibt, den sie untersuchen soll. Die Regeln sind in der NetScaler ADC Expressions Language geschrieben, einer voll funktionsfähigen objektorientierten Programmiersprache.
Hinweis: Zusätzlich zur Syntax der Standardausdrücke unterstützt das NetScaler ADC-Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax für klassische Ausdrücke von NetScaler ADC auf NetScaler ADC Classic- und NCore-Appliances und virtuellen Appliances. Klassische Ausdrücke werden auf NetScaler ADC Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Benutzer, die ihre vorhandenen Konfigurationen in den NetScaler ADC Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.
- Eine einfache Beschreibung zur Verwendung der Syntax für NetScaler ADC-Ausdrücke zum Erstellen von Web App Firewall-Regeln und eine Liste nützlicher Regeln finden Sie unter Firewall-Richtlinien.
- Eine ausführliche Erklärung zum Erstellen von Richtlinienregeln in der Syntax von NetScaler ADC Ausdrücken finden Sie unter Richtlinien und Ausdrücke.
4. Wählen Sie Signaturen: Auf diesem Bildschirm wählen Sie die Signaturkategorien aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten.
Dies ist kein obligatorischer Schritt. Sie können ihn überspringen, wenn Sie möchten, und zum Bildschirm Specify Deep Protections wechseln. Wenn der Bildschirm “Signaturen auswählen” übersprungen wird, werden nur ein Profil und die zugehörigen Richtlinien erstellt, und die Signaturen werden nicht erstellt.
Sie können Neue Signatur erstellen oder Bestehende Signatur auswählen.
Wenn Sie eine neue Sicherheitskonfiguration erstellen, sind die ausgewählten Signaturkategorien aktiviert und werden standardmäßig in einem neuen Signaturobjekt aufgezeichnet. Dem neuen Signaturobjekt wird derselbe Name zugewiesen, den Sie auf dem Bildschirm “Namen angeben” eingegeben haben, als Name der Sicherheitskonfiguration.
Wenn Sie bereits Signaturobjekte konfiguriert haben und eines davon als Signaturobjekt verwenden möchten, das der Sicherheitskonfiguration zugeordnet ist, die Sie erstellen, klicken Sie auf Bestehende Signatur auswählen und wählen Sie ein Signaturobjekt aus der Liste Signaturen aus.
Wenn Sie eine vorhandene Sicherheitskonfiguration ändern, können Sie auf Bestehende Signatur auswählen klicken und der Sicherheitskonfiguration ein anderes Signaturobjekt zuweisen.
Wenn Sie auf Neue Signatur erstellen klicken, können Sie den Bearbeitungsmodus auf Einfach oder Erweitertwählen.
- Signaturschutz angeben (einfacher Modus)
Der einfache Modus ermöglicht eine einfache Konfiguration der Signatur mit einer voreingestellten Liste von Schutzdefinitionen für gängige Anwendungen wie IIS (Internet Information Server), PHP und ActiveX. Die Standardkategorien im einfachen Modus sind:
-
CGI. Schutz vor Angriffen auf Websites, die CGI-Skripts in jeder Sprache verwenden, einschließlich PERL-Skripts, Unix-Shell-Skripts und Python-Skripts.
-
Cold Fusion. Schutz vor Angriffen auf Websites, die die Adobe Systems® ColdFusion® Webentwicklungsplattform verwenden.
-
FrontPage. Schutz vor Angriffen auf Websites, die die Microsoft® FrontPage® Webentwicklungsplattform verwenden.
-
PHP. Schutz vor Angriffen auf Websites, die die Open-Source-Webentwicklungsskriptsprache PHP verwenden.
-
Client side. Schutz vor Angriffen auf clientseitige Tools, die für den Zugriff auf Ihre geschützten Websites verwendet werden, wie Microsoft Internet Explorer, Mozilla Firefox, den Opera-Browser und den Adobe Acrobat Reader.
-
Microsoft IIS. Schutz vor Angriffen auf Websites, auf denen der Microsoft Internet Information Server (IIS) ausgeführt wird
-
Diverses. Schutz vor Angriffen auf andere serverseitige Tools wie Webserver und Datenbankserver.
Auf diesem Bildschirm wählen Sie die Aktionen aus, die den Signaturkategorien zugeordnet sind, die Sie auf dem Bildschirm “Signaturen auswählen” ausgewählt haben. Die Aktionen, die Sie konfigurieren können, sind:
- Blockieren
- Protokoll
- Statistiken
Standardmäßig sind die Aktionen Log und Stats aktiviert, aber nicht die Aktion Blockieren. Um Aktionen zu konfigurieren, klicken Sie auf Einstellungen. Sie können die Aktionseinstellungen aller ausgewählten Kategorien mithilfe der Dropdownliste Aktion ändern.
- Signaturschutz angeben (Erweiterter Modus)
Der erweiterte Modus ermöglicht eine genauere Kontrolle der Signaturdefinitionen und bietet deutlich mehr Informationen. Verwenden Sie den erweiterten Modus, wenn Sie vollständige Kontrolle über die Signaturdefinition wünschen.
Der Inhalt dieses Bildschirms entspricht dem Inhalt des Dialogfelds “Signatures-Objekt ändern”, wie unter Konfigurieren oder Ändern eines Signatures-Objektsbeschrieben. In diesem Bildschirm können Sie Aktionen konfigurieren, indem Sie entweder auf die Dropdownliste Aktionen oder auf das Aktionsmenü klicken, das als Kreis mit drei Punkten angezeigt wird.
7. Deep Protections angeben: Auf diesem Bildschirm wählen Sie die erweiterten Schutzmaßnahmen (auch Sicherheitsüberprüfungen oder einfach Prüfungen genannt) aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten. Welche Prüfungen verfügbar sind, hängt vom Profiltyp ab, den Sie auf dem Bildschirm “Namen angeben” ausgewählt haben. Alle Prüfungen sind für Web 2.0-Anwendungsprofile verfügbar.
Weitere Informationen finden Sie unter Überblick über Sicherheitsprüfungenund unter Erweiterte Formularschutzprüfungen.
Sie konfigurieren die Aktionen für den erweiterten Schutz, den Sie aktiviert haben.Die Aktionen, die Sie konfigurieren können, sind:
- Blockieren: blockiert Verbindungen, die der Signatur entsprechen. Diese Funktion ist standardmäßig deaktiviert.
- Protokoll: protokolliert Verbindungen, die der Signatur entsprechen, für eine spätere Analyse. Standardmäßig aktiviert.
- Statistiken: führt Statistiken für jede Signatur, die zeigt, wie viele Verbindungen zugeordnet wurden, und enthält bestimmte andere Informationen über die Arten von Verbindungen, die blockiert wurden. Diese Funktion ist standardmäßig deaktiviert.
- Lernen. Beobachten Sie den Traffic auf dieser Website oder diesem Webservice und verwenden Sie Verbindungen, die wiederholt gegen diese Prüfung verstoßen, um empfohlene Ausnahmen von der Überprüfung oder neue Regeln für die Überprüfung zu generieren. Nur für einige Schecks verfügbar. Weitere Informationen zur Lernfunktion finden Sie unter Konfigurieren und Verwenden der Lernfunktionund wie Lernen funktioniert und wie Ausnahmen (Entspannungen) konfiguriert oder erlernte Regeln für eine Überprüfung bereitstellen, finden Sie unter Manuelle Konfiguration mit der GUI.
Um Aktionen zu konfigurieren, aktivieren Sie den Schutz, indem Sie auf das Kontrollkästchen klicken, und klicken Sie dann auf Aktionseinstellungen, um die erforderlichen Aktionen auszuwählen. Wählen Sie ggf. andere Parameter aus, und klicken Sie dann auf OK, um das Fenster Aktionseinstellungen zu schließen.
Um alle Protokolle für eine bestimmte Prüfung anzuzeigen, wählen Sie diese Prüfung aus, und klicken Sie dann auf Protokolle, um den Syslog Viewer anzuzeigen, wie in Web App Firewall Logsbeschrieben. Wenn eine Sicherheitsüberprüfung den legitimen Zugriff auf Ihre geschützte Website oder Ihren geschützten Webdienst blockiert, können Sie eine Entspannung für diese Sicherheitsprüfung erstellen und implementieren, indem Sie ein Protokoll auswählen, das die unerwünschte Blockierung anzeigt, und dann auf Bereitstellenklicken.
Nachdem Sie die Angabe der Aktionseinstellungen abgeschlossen haben, klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.
Im Folgenden finden Sie vier Verfahren, die zeigen, wie bestimmte Konfigurationstypen mithilfe des Web App Firewall-Assistenten durchgeführt werden.
Erstellen Sie eine neue Konfiguration
Gehen Sie wie folgt vor, um mithilfe des Application Firewall-Assistenten eine neue Firewallkonfiguration und Signaturobjekte zu erstellen.
-
Navigieren Sie zu Sicherheit > Application Firewall.
-
Klicken Sie im Detailbereich unter Getting Startedauf **Application Firewall. Der Assistent wird geöffnet.
-
Wählen Sie auf dem Bildschirm Namen angeben die Option **Neue Konfiguration erstellen.
-
Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.
-
Klicken Sie im Bildschirm „Regel angeben “ erneut auf Weiter .
-
Wählen Sie im Bildschirm Signaturen auswählen die Option Neue Signatur erstellen und Einfach als Bearbeitungsmodus aus, und klicken Sie dann auf Weiter.
-
Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen. Weitere Informationen darüber, welche Signaturen für das Blockieren in Betracht gezogen werden sollten und wie Sie bestimmen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unter Signaturen.
-
Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
-
Wenn Sie fertig sind, klicken Sie auf Fertig stellen, um den Application Firewall-Assistenten zu schließen.
Ändern Sie eine bestehende Konfiguration
Gehen Sie wie folgt vor, um eine bestehende Konfiguration und bestehende Signaturkategorien zu ändern.
- Navigieren Sie zu Sicherheit > Application Firewall.
- Klicken Sie im Detailbereich unter Getting Startedauf Application Firewall Wizard. Der Assistent wird geöffnet.
- Wählen Sie auf dem Bildschirm Namen angeben die Option “Bestehende Konfiguration ändern” und wählen Sie in der Dropdownliste Name die Sicherheitskonfiguration aus, die Sie bei der neuen Konfiguration erstellt haben, und klicken Sie dann auf Weiter.
- Klicken Sie im Fenster Regel angeben auf “Weiter”, um den Standardwert “true” beizubehalten. Wenn Sie die Regel ändern möchten, führen Sie die unter Konfigurieren eines benutzerdefinierten Richtlinienausdrucks beschriebenen Schritte aus.
- Klicken Sie im Bildschirm Signaturen auswählen auf Vorhandene Signatur auswählen. Wählen Sie in der Dropdownliste Vorhandene Unterschrift die entsprechende Option aus, und klicken Sie dann auf Weiter. Der Bildschirm mit erweitertem Signaturschutz wird angezeigt. Hinweis: Wenn Sie eine vorhandene Signatur auswählen, ist der Standardbearbeitungsmodus für signaturgeschützt “Erweitert”.
- Konfigurieren Sie im Bildschirm “Specify Signature Protections” die erforderlichen Einstellungen, und klicken Sie auf Next. Weitere Informationen darüber, welche Signaturen für das Blockieren in Betracht gezogen werden sollten und wie Sie bestimmen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unter Signaturen.
- Konfigurieren Sie im Fenster Deep Protections angeben die Einstellungen, und klicken Sie auf Weiter.
- Wenn Sie fertig sind, klicken Sie auf Fertig stellen, um den Web App Firewall-Assistentenzu schließen.
Erstellen Sie eine neue Konfiguration ohne Signaturen
Gehen Sie wie folgt vor, um mit dem Application Firewall Wizard den Bildschirm “Signaturen auswählen” zu überspringen und eine neue Konfiguration zu erstellen, die nur das Profil und die zugehörigen Richtlinien enthält, aber keine Signaturen enthält.
- Navigieren Sie zu Sicherheit > Application Firewall.
- Klicken Sie im Detailbereich unter Getting Startedauf Application Firewall Wizard. Der Assistent wird geöffnet.
- Wählen Sie auf dem Bildschirm Namen angeben die Option Neue Konfiguration erstellen aus.
- Geben Sie im Feld Name einen Namen ein, und klicken Sie dann auf Weiter.
- Klicken Sie im Bildschirm Regel angeben erneut auf Weiter.
- Klicken Sie im Bildschirm Signaturen auswählen auf Überspringen.
- Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
- Wenn Sie fertig sind, klicken Sie auf Fertig stellen, um den Application Firewall Wizard zu schließen.
Benutzerdefinierten Richtlinienausdruck konfigurieren
Gehen Sie wie folgt vor, um mit dem Application Firewall Wizard eine spezielle Sicherheitskonfiguration zu erstellen, die nur bestimmte Inhalte schützt. In diesem Fall erstellen Sie eine neue Sicherheitskonfiguration, anstatt die ursprüngliche Konfiguration zu ändern. Für diese Art der Sicherheitskonfiguration ist eine benutzerdefinierte Regel erforderlich, sodass die Richtlinie die Konfiguration nur auf den ausgewählten Webverkehr anwendet.
- Navigieren Sie zu Sicherheit > Application Firewall.
- Klicken Sie im Detailbereich unter Getting Startedauf Application Firewall Wizard.
- Geben Sie auf dem Bildschirm “Namen angeben” einen Namen für Ihre neue Sicherheitskonfiguration in das Textfeld Name ein, wählen Sie den Typ der Sicherheitskonfiguration aus der Dropdownliste Typ aus, und klicken Sie dann auf Weiter.
- Geben Sie auf dem Bildschirm Regel angeben eine Regel ein, die nur dem Inhalt entspricht, den diese Webanwendung schützen soll. Verwenden Sie die Dropdownliste Häufig verwendete Ausdrücke und den Ausdruckseditor, um einen benutzerdefinierten Ausdruck zu erstellen. Wenn Sie fertig sind, klicken Sie auf Weiter.
- Wählen Sie im Bildschirm Signaturen auswählen den Bearbeitungsmodus aus, und klicken Sie dann auf Weiter.
- Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen.
- Konfigurieren Sie im Bildschirm Deep Protections angeben die erforderlichen Aktionen und Parameter in den Aktionseinstellungen.
- Wenn Sie fertig sind, klicken Sie auf Fertig stellen, um den Application Firewall Wizard zu schließen.