ADC

Motoreinstellungen

Die Engine-Einstellungen wirken sich auf alle Anfragen und Antworten aus, die die Citrix Web App Firewall verarbeitet. Im Folgenden sind die Einstellungen aufgeführt:

  • Cookie-Name— Der Name des Cookies, das die Citrix ADC-Sitzungs-ID speichert.
  • Sitzungs-Timeout— Die maximal zulässige Inaktivitätsdauer. Wenn eine Benutzersitzung für diesen Zeitraum keine Aktivität zeigt, wird die Sitzung beendet und der Benutzer muss sie wiederherstellen, indem er eine bestimmte Startseite aufruft.
  • Präfix für nachverschlüsselte Cookies— Die Zeichenfolge, die dem verschlüsselten Teil aller verschlüsselten Cookies vorangeht.
  • Maximale Sitzungsdauer— Die maximale Zeit in Sekunden, für die eine Sitzung live bleiben darf. Nach Ablauf dieses Zeitraums wird die Sitzung beendet und der Benutzer muss sie wiederherstellen, indem er eine bestimmte Startseite aufruft. Diese Einstellung darf nicht kleiner als das Sitzungs-Timeout sein. Um diese Einstellung zu deaktivieren, sodass es keine maximale Sitzungsdauer gibt, setzen Sie den Wert auf Null (0).
  • Name des Logging-Headers— Der Name des HTTP-Headers, der die Client-IP für die Protokollierung enthält.
  • Undefiniertes Profil— Das Profil, das angewendet wird, wenn die entsprechende politische Aktion als undefiniert bewertet wird.
  • Standardprofil— Das Profil wird auf Verbindungen angewendet, die keiner Richtlinie entsprechen.
  • Importgrößenbeschränkung— Die maximale Bytezahl aller in die Appliance importierten Dateien, einschließlich Signaturen, WSDLs, Schemas, HTML- und XML-Fehlerseiten. Wenn während eines Imports die Größe des importierten Objekts dazu führt, dass die Gesamtzahl aller importierten Dateien den konfigurierten Grenzwert überschreitet, schlägt der Importvorgang fehl. Und die Appliance zeigt die folgende Fehlermeldung an: “FEHLER: Import fehlgeschlagen — Überschreitung der konfigurierten Gesamtgrößenbeschränkung für die importierten Objekte“.
  • Begrenzung der Lernnachrichtenrate— Die maximale Anzahl von Anfragen und Antworten pro Sekunde, die die Lernmaschine verarbeiten soll. Zusätzliche Anfragen oder Antworten, die dieses Limit überschreiten, werden nicht an die Learning Engine gesendet.
  • Entitätsdekodierung— Dekodieren Sie HTML-Entitäten, wenn Sie Web App Firewall-Prüfungen ausführen.
  • Fehlerhafte Anfrage protokollieren— Aktiviert die Protokollierung von falsch formatierten HTTP-Anfragen.
  • Konfigurierbaren geheimen Schlüssel verwenden— Verwenden Sie einen konfigurierbaren geheimen Schlüssel für Web App Firewall-Operationen. Dieser geheime Schlüssel wird zum Signieren und Überprüfen von Daten verwendet. Wenn „useConfigurableSecretKey“ aktiviert ist, müssen Sie den im Parameter „set ns encryptionParams“ aktivierten Schlüssel verwenden.
  • Gelernte Daten zurücksetzen— Löscht alle gelernten Daten aus der Web App Firewall. Startet den Lernprozess neu, indem neue Daten gesammelt werden.

Zwei Einstellungen, Gelernte Daten zurücksetzen und Automatische Signaturen, sind an verschiedenen Stellen, je nachdem, ob Sie die Citrix Web App Firewall über die Befehlszeilenschnittstelle oder die Citrix ADC GUI konfigurieren. Wenn Sie die Befehlszeilenschnittstelle verwenden, konfigurieren Sie “Gelernte Daten zurücksetzen” mithilfe des Befehls “appfw learning data”. Dies benötigt keine Parameter und hat keine anderen Funktionen. Sie können die automatische Aktualisierung der Signatur im Befehl set appfw settings konfigurieren. Der Parameter -SignatureAutoUpdate aktiviert oder deaktiviert die automatische Aktualisierung der Signaturen, und -SignatureUrl konfiguriert die URL, die die aktualisierte Signaturdatei hostet.

Wenn Sie die Citrix ADC GUI verwenden, konfigurieren Sie Gelernte Daten zurücksetzen unter Sicherheit > Citrix Web App Firewall > Engine-Einstellungen. Die Option Gelernte Daten zurücksetzen befindet sich unten im Dialogfeld. Sie konfigurieren die automatische Aktualisierung von Signaturen für jeden Signatursatz unter Sicherheit > Citrix Web App Firewall > Signaturen, indem Sie die Signaturdatei auswählen, mit der rechten Maustaste klicken und Einstellungen für automatische Updatesauswählen.

Normalerweise sind die Standardwerte für die Web App Firewall-Einstellungen korrekt. Wenn die Standardeinstellungen jedoch zu Konflikten mit anderen Servern oder zu einer vorzeitigen Unterbrechung der Verbindung Ihrer Benutzer führen, müssen Sie sie ändern.

Das Sitzungslimit der Web App Firewall kann mit dem folgenden Befehl konfiguriert werden:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

So konfigurieren Sie die Engine-Einstellungen mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

Beispiel

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config
<!--NeedCopy-->

So konfigurieren Sie Engine-Einstellungen mit der Citrix ADC GUI

  1. Navigieren Sie zu Sicherheit > Citrix Web App Firewall
  2. Klicken Sie im Detailbereich unter Einstellungen aufEngine-Einstellungenändern.
  3. Stellen Sie im Dialogfeld Einstellungen der Web App Firewall Engine die folgenden Parameter ein:
    • Name des Cookies
    • Sitzungs-Timeout
    • Präfix „Cookie Post Encrypt“
    • Maximale Sitzungsdauer
    • Name des Logging-Headers
    • Undefiniertes Profil
    • Standardprofil
    • Größenbeschränkung importieren
    • Ratenlimit für Lernnachrichten
    • Entitätsdekodierung
    • Fehlerhafte Anfrage protokollieren
    • Geheimen Schlüssel verwenden
    • Erlernen Sie das Nachrichtenratenlimit
    • Automatische Aktualisierung von Signaturen
  4. Klicken Sie auf OK.

    WAF-Engine-Einstellungen

Motoreinstellungen