Häufig gestellte Fragen und Bereitstellungshandbuch

F: Warum ist Citrix Web App Firewall die bevorzugte Wahl für die Sicherung von Anwendungen?

Mit den folgenden Funktionen bietet die Citrix Web App Firewall eine umfassende Sicherheitslösung:

• Hybrid-Sicherheitsmodell: Das Hybridsicherheitsmodell von Citrix ADC ermöglicht es Ihnen, sowohl ein positives Sicherheitsmodell als auch ein negatives Sicherheitsmodell zu nutzen, um eine Konfiguration zu erstellen, die sich ideal für Ihre Anwendungen eignet.
  • Positives Sicherheitsmodell schützt vor Pufferüberlauf, CGI-BIN-Parameter-Manipulation, Manipulation von Formularen/versteckten Feldern, kraftvollem Browsen, Cookie- oder Sitzungsvergiftung, defekten ACLs, Cross-Site-Scripting (Cross-Site-Scripting), Command Injection, SQL Injection, Fehlerauslösung Informationsleck, unsichere Verwendung von Kryptographie, Server-Fehlkonfiguration, Hintertüren und Debug-Optionen, ratenbasierte Richtliniendurchsetzung, bekannte Plattform-Schwachstellen, Zero-Day-Exploits, Cross Site Request Forgery (CSRF) und das Auslaufen von Kreditkarten und anderen sensiblen Daten.
  • Negatives Sicherheitsmodell verwendet umfangreiche Signaturen zum Schutz vor L7- und HTTP-Anwendungsschwachstellen. Die Web App Firewall ist in verschiedene Scan-Tools von Drittanbietern integriert, wie sie von Cenzic, Qualys, Whitehat und IBM angeboten werden. Die integrierten XSLT-Dateien ermöglichen den einfachen Import von Regeln, die in Verbindung mit den native-Format Snort basierten Regeln verwendet werden können. Eine automatische Update-Funktion ruft die neuesten Updates für neue Schwachstellen ab.

Das positive Sicherheitsmodell könnte die bevorzugte Wahl für den Schutz von Anwendungen sein, die einen hohen Sicherheitsbedarf haben, da es Ihnen die Möglichkeit gibt, vollständig zu kontrollieren, wer auf welche Daten zugreifen kann. Sie erlauben nur, was Sie wollen und blockieren den Rest. Dieses Modell enthält eine integrierte Sicherheitskonfiguration, die mit wenigen Klicks bereitgestellt werden kann. Beachten Sie jedoch, dass je strenger die Sicherheit ist, desto größer der Verarbeitungsaufwand.

Das negative Sicherheitsmodell ist möglicherweise für benutzerdefinierte Anwendungen vorzuziehen. Mit den Signaturen können Sie mehrere Bedingungen kombinieren, und eine Übereinstimmung und die angegebene Aktion werden nur ausgelöst, wenn alle Bedingungen erfüllt sind. Sie blockieren nur das, was Sie nicht wollen, und erlauben den Rest. Ein bestimmtes Fast-Match-Muster an einem angegebenen Speicherort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Die Möglichkeit, eigene Signaturregeln auf der Grundlage der spezifischen Sicherheitsanforderungen Ihrer Anwendungen hinzuzufügen, gibt Ihnen die Flexibilität, Ihre eigenen benutzerdefinierten Sicherheitslösungen zu entwerfen.

• Request- und Reaktionsseitige Erkennung und Schutz: Sie können die eingehenden Anfragen überprüfen, um verdächtiges Verhalten zu erkennen und geeignete Maßnahmen zu ergreifen, und Sie können die Antworten überprüfen, um vertrauliche Daten zu erkennen und zu schützen.
• Umfassender integrierter Schutz für HTML-, XML- und JSON-Nutzlasten: Die Web App Firewall bietet 19 verschiedene Sicherheitsprüfungen. Sechs davon (z. B. Start-URL und URL verweigern) gelten sowohl für HTML- als auch für XML-Daten. Fünf Prüfungen (z. B. Feldkonsistenz und Feldformat) sind spezifisch für HTML, und acht (z. B. XML-Format und Webdienst-Interoperabilität) sind spezifisch für XML-Nutzlasten. Diese Funktion enthält eine umfangreiche Reihe von Aktionen und Optionen. Mit der URL-Schließung können Sie beispielsweise die Navigation über Ihre Website steuern und optimieren, um sich vor einem erzwungenden Surfen zu schützen, ohne dass Sie Relaxationsregeln konfigurieren müssen, um jede gültige URL zuzulassen. Sie haben die Möglichkeit, die sensiblen Daten, wie Kreditkartennummern, in der Antwort zu entfernen oder zu x-out. Ob SOAP-Array-Angriffsschutz, XML-Denial-of-Service (XDoS), WSDL-Scan-Prävention, Anlagenprüfung oder eine beliebige Anzahl anderer XML-Angriffe — Sie haben den Komfort zu wissen, dass Sie über einen ironclad Shield verfügen, der Ihre Daten schützt, wenn Ihre Anwendungen durch die Web App Firewall geschützt sind. Mit den Signaturen können Sie Regeln mithilfe von XPath-Ausdrücken konfigurieren, um Verletzungen im Körper sowie den Header einer JSON-Nutzlast zu erkennen.
• GWT: Unterstützung für den Schutz von Google Web Toolkit-Anwendungen zum Schutz vor SQL, Cross-Site-Scripting und Verstößen gegen die Formularfeldkonsistenzprüfung.
• Java-freie, benutzerfreundliche grafische Benutzeroberfläche (GUI): Eine intuitive Benutzeroberfläche und vorkonfigurierte Sicherheitsprüfungen erleichtern die Bereitstellung von Sicherheit durch Klicken auf ein paar Schaltflächen. Ein Assistent fordert Sie auf und führt Sie dazu, die erforderlichen Elemente wie Profile, Richtlinien, Signaturen und Bindungen zu erstellen. Die HTML5-basierte GUI ist frei von jeglicher Java-Abhängigkeit. Die Leistung ist deutlich besser als die der älteren, Java-basierten Versionen .
• Benutzerfreundliche und automatisierbare CLI: Die meisten Konfigurationsoptionen, die in GUI verfügbar sind, sind auch in der Befehlszeilenschnittstelle (CLI) verfügbar. Die CLI-Befehle können über eine Batchdatei ausgeführt werden und sind einfach zu automatisieren.
• Unterstützung für REST-API: Das Citrix ADC NITRO -Protokoll unterstützt eine Reihe von REST-APIs, um die Konfiguration der Web App Firewall zu automatisieren und relevante Statistiken für die laufende Überwachung von Sicherheitsverstößen zu sammeln.
• Lernen: Die Fähigkeit der Web App Firewall, durch Überwachung des Datenverkehrs zu lernen, um die Sicherheit zu optimieren, ist sehr benutzerfreundlich. Die Lern-Engine empfiehlt Regeln, die das Bereitstellen von Entspannungen ohne Kenntnisse in regulären Ausdrücken erleichtern.
• RegEx Editorunterstützung: Reguläre Ausdrücke bieten eine elegante Lösung für das Dilemma, Regeln zu konsolidieren und dennoch die Suche zu optimieren. Sie können die Möglichkeiten regulärer Ausdrücke nutzen, um URLs, Feldnamen, Signaturmuster usw. zu konfigurieren. Der umfangreiche integrierte GUI RegEx Editor bietet Ihnen eine schnelle Referenz für die Ausdrücke und bietet eine bequeme Möglichkeit, Ihre RegEx auf Genauigkeit zu überprüfen und zu testen.
• Angepasste Fehlerseite: Gesperrte Anforderungen können an eine Fehler-URL umgeleitet werden. Sie haben auch die Möglichkeit, ein benutzerdefiniertes Fehlerobjekt anzuzeigen, das unterstützte Variablen und Citrix Standardsyntax (erweiterte PI-Ausdrücke) verwendet, um Informationen zur Problembehandlung für den Client einzubetten.
• PCI-DSS, Statistiken und andere Verstöße: Mit dem umfangreichen Satz von Berichten ist es einfach, die PCI-DSS-Konformitätsanforderungen zu erfüllen, Statistiken über Verkehrszähler zu sammeln und Verstoßberichte für alle Profile oder nur ein Profil anzuzeigen.

• Protokollierung und Klick-zu-Regel aus Protokoll: Detaillierte Protokollierung wird sowohl für native als auch für CEF-Format unterstützt. Die Web App Firewall bietet Ihnen die Möglichkeit, gezielte Protokollmeldungen im Syslog-Viewer zu filtern. Sie können eine Protokollnachricht auswählen und eine entsprechende Relaxationsregel mit einem einfachen Klick auf eine Schaltfläche bereitstellen. Sie haben die Flexibilität, Protokollnachrichten anzupassen und unterstützen auch das Generieren von Webprotokollen. Weitere Informationen finden Sie unter Thema Web App Firewall-Protokolle.

• Verletzungsprotokolle in Trace-Datensätze einschließen: Die Möglichkeit, Protokollmeldungen in die Ablaufverfolgungsdatensätze einzuschließen, macht es sehr einfach, unerwartetes Verhalten wie Zurücksetzen und Blockieren zu debuggen.
• Klonen: Mit der nützlichen Profiloption Import/Export können Sie die Sicherheitskonfiguration von einer Citrix ADC Appliance auf andere klonen. Optionen zum Exportieren von erlernten Daten erleichtern den Export der erlernten Regeln in eine Excel-Datei. Sie können sie dann vom Anwendungseigentümer überprüfen und genehmigen lassen, bevor Sie sie anwenden.
• Eine AppExpert Vorlage (eine Reihe von Konfigurationseinstellungen) kann so gestaltet werden, dass sie Ihren Websites einen angemessenen Schutz bieten. Sie können die Bereitstellung eines ähnlichen Schutzes auf anderen Appliances vereinfachen und beschleunigen, indem Sie diese Cookie-Cutter-Vorlagen in eine Vorlage exportieren.

Weitere Informationen finden Sie im Thema AppExpert-Vorlage.

• Sitzungslose Sicherheitsprüfungen: Durch die Bereitstellung sitzungsloser Sicherheitsprüfungen können Sie den Speicherbedarf reduzieren und die Verarbeitung beschleunigen.
• Interoperabilität mit anderen Citrix ADC Funktionen: Die Web App Firewall arbeitet nahtlos mit anderen Citrix ADC Funktionen wie Rewrite, URL-Transformation, integriertes Caching, CVPN und Ratenbegrenzung.
• Unterstützung von PI-Ausdrücken in Richtlinien: Sie können die Leistungsfähigkeit erweiterter PI-Ausdrücke nutzen, um Richtlinien zu entwerfen, um unterschiedliche Sicherheitsebenen für verschiedene Teile Ihrer Anwendung zu implementieren.
• Unterstützung für IPv6: Die Web App Firewall unterstützt sowohl IPv4- als auch IPv6-Protokolle.
• Geolokalisierungsbasierter Sicherheitsschutz: Sie haben die Flexibilität, die Citrix Standardsyntax (PI-Expressions) für die Konfiguration standortbasierter Richtlinien zu verwenden, die in Verbindung mit einer integrierten Standortdatenbank zum Anpassen des Firewallschutzes verwendet werden können. Sie können die Standorte identifizieren, von denen bösartige Anforderungen stammen, und die gewünschte Stufe der Sicherheitskontrollen für Anforderungen, die von einem bestimmten geografischen Standort stammen, durchsetzen.
• Leistung: Anforderungsseitiges Streaming verbessert die Leistung erheblich. Sobald ein Feld verarbeitet wird, werden die resultierenden Daten an das Backend weitergeleitet, während die Auswertung für die übrigen Felder fortgesetzt wird. Die Verbesserung der Bearbeitungszeit ist besonders bei der Bearbeitung großer Pfosten signifikant.
• Weitere Sicherheitsfunktionen: Die Web App Firewall verfügt über mehrere andere Sicherheitseinstellungen, die dazu beitragen können, die Sicherheit Ihrer Daten zu gewährleisten. Mit dem vertraulichen Feld können Sie beispielsweise das Versenden vertraulicher Informationen in den Protokollmeldungen blockieren, und HTML-Kommentar streichen können Sie die HTML-Kommentare aus der Antwort entfernen, bevor Sie sie an den Client weiterleiten. Feldtypen können verwendet werden, um anzugeben, welche Eingaben in den Formularen zulässig sind, die an Ihre Anwendung gesendet werden.

F: Was muss ich tun, um die Web App Firewall zu konfigurieren?

Führen Sie folgende Schritte aus:

• Fügen Sie ein Web App Firewall Profil hinzu, und wählen Sie den entsprechenden Typ (html, xml, web2.0) für die Sicherheitsanforderungen der Anwendung aus.
• Wählen Sie die erforderliche Sicherheitsstufe (Basic oder Advanced) aus.
• Fügen Sie die erforderlichen Dateien hinzu, z. B. Signaturen oder WSDL.
• Konfigurieren Sie das Profil so, dass die Dateien verwendet werden, und nehmen Sie alle weiteren erforderlichen Änderungen an den Standardeinstellungen vor.
• Fügen Sie eine Web App Firewall Richtlinie für dieses Profil hinzu.
• Binden Sie die Richtlinie an den Ziel-Bindungspunkt und geben Sie die Priorität an.

F: Woher weiß ich, welchen Profiltyp ich wählen soll?

Das Web App Firewall Profil bietet Schutz sowohl für HTML- als auch für XML-Nutzlasten. Je nach Bedarf Ihrer Anwendung können Sie entweder ein HTML-Profil oder ein XML-Profil auswählen. Wenn Ihre Anwendung sowohl HTML- als auch XML-Daten unterstützt, können Sie ein Web2.0-Profil auswählen.

F: Was ist der Unterschied zwischen grundlegenden und erweiterten Profilen? Wie entscheide ich, welche ich brauche?

Die Entscheidung, ein Basis- oder ein Advance-Profil zu verwenden, hängt von den Sicherheitsanforderungen Ihrer Anwendung ab. Ein Basisprofil enthält einen vorkonfigurierten Satz von Start-URL und URL-Relaxationsregeln verweigern. Diese Relaxationsregeln bestimmen, welche Anfragen zulässig sind und welche abgelehnt werden. Eingehende Anforderungen werden mit den vorkonfigurierten Regeln abgeglichen, und die konfigurierten Aktionen werden angewendet. Der Benutzer kann Anwendungen mit minimaler Konfiguration von Relaxationsregeln sichern. Die Start-URL-Regeln schützen vor erzwungenem Browsen. Bekannte Webserver-Schwachstellen, die von Hackern ausgenutzt werden, können erkannt und blockiert werden, indem eine Reihe von Standard-URL-Regeln verweigern aktiviert wird. Häufig gestartete Angriffe wie Pufferüberlauf, SQL oder Cross-Site Scripting können ebenfalls leicht erkannt werden.

Wie der Name schon sagt, gelten erweiterte Schutzmaßnahmen für Anwendungen mit höheren Sicherheitsanforderungen. Relaxationsregeln sind so konfiguriert, dass nur der Zugriff auf bestimmte Daten ermöglicht und der Rest blockiert wird. Dieses positive Sicherheitsmodell mildert unbekannte Angriffe, die möglicherweise nicht durch grundlegende Sicherheitsüberprüfungen erkannt werden. Zusätzlich zu allen grundlegenden Schutzmaßnahmen verfolgt ein erweitertes Profil eine Benutzersitzung, indem es das Browsen steuert, nach Cookies sucht, Eingabeanforderungen für verschiedene Formularfelder spezifiziert und vor Manipulation von Formularen oder Cross-Site Request Forgery Angriffe schützt. Das Lernen, das den Datenverkehr beobachtet und die entsprechenden Entspannungen empfiehlt, ist standardmäßig für viele Sicherheitsprüfungen aktiviert. Obwohl sie einfach zu bedienen sind, erfordern erweiterte Schutzmaßnahmen gebührende Beachtung, da sie eine engere Sicherheit bieten, aber auch mehr Verarbeitung erfordern. Einige vorangehende Sicherheitsprüfungen erlauben die Verwendung von Caching nicht, was sich auf die Leistung auswirken kann.

Beachten Sie bei der Entscheidung, ob grundlegende oder erweiterte Profile verwendet werden sollen, die folgenden Punkte:

• Grundlegende und erweiterte Profile sind nur Startvorlagen. Sie können das Basisprofil jederzeit ändern, um erweiterte Sicherheitsfunktionen bereitzustellen, und umgekehrt.
• Erweiterte Sicherheitsprüfungen erfordern mehr Verarbeitung und können sich auf die Leistung auswirken. Wenn Ihre Anwendung keine erweiterte Sicherheit benötigt, sollten Sie möglicherweise mit einem Basisprofil beginnen und die für Ihre Anwendung erforderliche Sicherheit erhöhen.
• Sie möchten nicht alle Sicherheitsprüfungen aktivieren, es sei denn, Ihre Anwendung benötigt sie.

F: Was ist eine Richtlinie? Wie wähle ich den Bindepunkt aus und setze die Priorität ein?

Mithilfe von Web App Firewall Richtlinien können Sie Ihren Datenverkehr in logische Gruppen sortieren, um verschiedene Ebenen der Sicherheitsimplementierung zu konfigurieren. Wählen Sie sorgfältig die Bindungspunkte für die Richtlinien aus, um zu bestimmen, welcher Datenverkehr mit welcher Richtlinie abgeglichen wird. Wenn Sie beispielsweise möchten, dass jede eingehende Anfrage auf SQL/Cross-Site Scripting-Angriffe überprüft wird, können Sie eine generische Richtlinie erstellen und sie global binden. Wenn Sie strengere Sicherheitsprüfungen auf den Datenverkehr eines virtuellen Servers anwenden möchten, der Anwendungen hostet, die vertrauliche Daten enthalten, können Sie eine Richtlinie an diesen virtuellen Server binden.

Eine sorgfältige Zuordnung von Prioritäten kann die Datenverarbeitung verbessern. Sie möchten spezifischeren Richtlinien höhere Prioritäten zuweisen und generischen Richtlinien niedrigere Prioritäten zuweisen. Beachten Sie, dass je höher die Zahl, desto niedriger die Priorität. Eine Richtlinie mit der Priorität 10 wird vor einer Richtlinie mit der Priorität 15 bewertet.

Sie können verschiedene Sicherheitsebenen für verschiedene Arten von Inhalten anwenden, z. B. Anfragen für statische Objekte wie Bilder und Text können mithilfe einer Richtlinie umgangen werden, und Anfragen für andere vertrauliche Inhalte können mit einer zweiten Richtlinie einer sehr strengen Prüfung unterzogen werden.

F: Wie kann ich die Regeln zum Sichern meiner Anwendung konfigurieren?

Die Web App Firewall macht es sehr einfach, das richtige Maß an Sicherheit für Ihre Website zu entwerfen. Sie können über mehrere Web App Firewall Richtlinien verfügen, die an unterschiedliche Web-App-Firewall-Profile gebunden sind, um verschiedene Ebenen von Sicherheitsprüfungen für Ihre Anwendungen zu implementieren. Sie können die Protokolle zunächst überwachen, um festzustellen, welche Sicherheitsbedrohungen erkannt werden und welche Verletzungen ausgelöst werden. Sie können entweder manuell die Relaxationsregeln hinzufügen oder die empfohlenen Lernregeln der Web App Firewall nutzen, um die erforderlichen Relaxationen bereitzustellen, um Fehlalarme zu vermeiden.

Die Citrix Web App Firewall bietet Visualizer-Unterstützung in GUI, was die Regelverwaltung sehr einfach macht. Sie können auf einfache Weise alle Daten auf einem Bildschirm anzeigen und Aktionen für mehrere Regeln mit einem Klick durchführen. Der größte Vorteil des Visualizers besteht darin, dass reguläre Ausdrücke zur Konsolidierung mehrerer Regeln empfohlen werden. Sie können eine Teilmenge der Regeln auswählen, basierend auf dem Trennzeichen und der Aktions-URL. Visualizer-Unterstützung ist verfügbar, um 1) erlernte Regeln und 2) Relaxationsregeln anzuzeigen.

1. Der Visualizer für erlernte Regeln bietet die Möglichkeit, die Regeln zu bearbeiten und als Relaxation bereitzustellen. Sie können auch Regeln überspringen (ignorieren).

2. Der Visualizer für bereitgestellte Relaxationen bietet Ihnen die Möglichkeit, eine neue Regel hinzuzufügen oder eine vorhandene Regel zu bearbeiten. Sie können eine Gruppe von Regeln auch aktivieren oder deaktivieren, indem Sie einen Knoten auswählen und im Relaxationsvisualizer auf die Schaltfläche Aktivieren oder Deaktivieren klicken.

F: Was sind Unterschriften? Woher weiß ich, welche Signaturen ich verwenden soll?

Eine Signatur ist ein Objekt, das mehrere Regeln haben kann. Jede Regel besteht aus einem oder mehreren Mustern, die einem bestimmten Satz von Aktionen zugeordnet werden können. Die Web App Firewall verfügt über ein integriertes Standardsignaturobjekt, das aus mehr als 1.300 Signaturregeln besteht. Mit der Option können Sie die neuesten Regeln mit der automatischen Update-Funktion abrufen, um Schutz vor neuen Sicherheitsanfälligkeiten zu erhalten. Regeln, die von anderen Scan-Tools erstellt wurden, können ebenfalls importiert werden.

Signaturen sind sehr leistungsstark, da sie Pattern-Matching verwenden, um bösartige Angriffe zu erkennen, und können so konfiguriert werden, dass sowohl die Anforderung als auch die Antwort einer Transaktion überprüft werden. Sie sind eine bevorzugte Option, wenn eine anpassbare Sicherheitslösung benötigt wird. Mehrere Aktionsoptionen (z. B. Blockieren, Protokollieren, Lernen und Transformieren) stehen zur Verfügung, wenn eine Signaturübereinstimmung erkannt wird. Die Standardsignaturen umfassen Regeln zum Schutz verschiedener Arten von Anwendungen, wie web-cgi, web-coldfusion, web-frontpage, web-iis, web-php, web-client, web-activex, web-shell-shock und web-struts. Um den Anforderungen Ihrer Anwendung gerecht zu werden, können Sie die Regeln auswählen und bereitstellen, die zu einer bestimmten Kategorie gehören.

Tipps zur Signaturnutzung:

• Sie können einfach eine Kopie des Standardsignaturobjekts erstellen und es ändern, um die benötigten Regeln zu aktivieren und die gewünschten Aktionen zu konfigurieren.
• Das Signaturobjekt kann durch Hinzufügen neuer Regeln angepasst werden, die in Verbindung mit anderen Signaturregeln funktionieren können.
• Die Signaturregeln können auch so konfiguriert werden, dass sie in Verbindung mit den im Web App Firewall Profil angegebenen Sicherheitsprüfungen funktionieren. Wenn eine Übereinstimmung, die auf eine Verletzung hinweist, durch eine Signatur und eine Sicherheitsprüfung erkannt wird, wird die restriktivere Aktion durchgesetzt.
• Eine Signaturregel kann mehrere Muster aufweisen und so konfiguriert werden, dass sie nur dann eine Verletzung kennzeichnet, wenn alle Muster übereinstimmen, wodurch falsche Positive vermieden werden.
• Eine sorgfältige Auswahl eines literalen Fast-Match-Musters für eine Regel kann die Verarbeitungszeit erheblich optimieren.

F: Funktioniert die Web App Firewall mit anderen Citrix ADC Funktionen?

Die Web App Firewall ist vollständig in die Citrix ADC Appliance integriert und arbeitet nahtlos mit anderen Funktionen zusammen. Sie können maximale Sicherheit für Ihre Anwendung konfigurieren, indem Sie andere Citrix ADC -Sicherheitsfunktionen in Verbindung mit der Web App Firewall verwenden. AAA-TM kann beispielsweise verwendet werden, um den Benutzer zu authentifizieren, die Berechtigung des Benutzers für den Zugriff auf den Inhalt zu überprüfen und die Zugriffe zu protokollieren, einschließlich ungültiger Anmeldeversuche. Rewrite kann verwendet werden, um die URL zu ändern oder um Header hinzuzufügen, zu ändern oder zu löschen, und Responder kann verwendet werden, um benutzerdefinierte Inhalte an verschiedene Benutzer zu liefern. Sie können die maximale Belastung Ihrer Website definieren, indem Sie die Rate Limiting verwenden, um den Datenverkehr zu überwachen und die Rate zu drosseln, wenn sie zu hoch ist. HTTP-Denial-of-Service (DoS) -Schutz kann helfen, zwischen echten HTTP-Clients und bösartigen DoS-Clients zu unterscheiden. Sie können den Umfang der Sicherheitsprüfung einschränken, indem Sie die Web App Firewall Richtlinien an virtuelle Server binden und gleichzeitig die Benutzererfahrung optimieren, indem Sie die Funktion Lastenausgleich verwenden, um stark verwendete Anwendungen zu verwalten. Anforderungen für statische Objekte wie Bilder oder Text können die Sicherheitskontrolle umgehen und dabei die integrierte Zwischenspeicherung oder Komprimierung nutzen, um die Bandbreitenauslastung für solche Inhalte zu optimieren.

F: Wie wird die Nutzlast von der Web App Firewall und den anderen Citrix ADC Funktionen verarbeitet?

Ein Diagramm mit Details des L7-Paketflusses in einer Citrix ADC Appliance ist im Abschnitt Verarbeitungsreihenfolge der Features verfügbar.

F: Was ist der empfohlene Workflow für die Bereitstellung der Web App Firewall?

Da Sie nun die Vorteile der Verwendung des hochmodernen Sicherheitsschutzes der Citrix Web App Firewall kennen, können Sie zusätzliche Informationen sammeln, die Ihnen bei der Entwicklung der optimalen Lösung für Ihre Sicherheitsanforderungen helfen können. Citrix empfiehlt Folgendes:

• Kennen Sie Ihre Umgebung: Wenn Sie Ihre Umgebung kennen, können Sie die beste Sicherheitslösung (Signaturen, Sicherheitsprüfungen oder beides) für Ihre Anforderungen ermitteln. Bevor Sie mit der Konfiguration beginnen, müssen Sie die folgenden Informationen sammeln.
  • OS: Welche Art von Betriebssystem (MS Windows, Linux, BSD, Unix, andere) haben Sie?
  • Web Server: Welcher Webserver (IIS, Apache oder Citrix ADC Enterprise Server) wird ausgeführt?
  • Anwendung: Welche Art von Anwendungen werden auf Ihrem Anwendungsserver ausgeführt (z. B. ASP.NET, PHP, Cold Fusion, ActiveX, FrontPage, Struts, CGI, Apache Tomcat, Domino und WebLogic)?
  • Haben Sie benutzerdefinierte Anwendungen oder Standardanwendungen (z. B. Oracle, SAP)? Welche Version verwenden Sie?
  • SSL: Benötigen Sie SSL? Wenn ja, welche Schlüsselgröße (512, 1024, 2048, 4096) wird zum Signieren von Zertifikaten verwendet?
  • Traffic Volume: Wie hoch ist die durchschnittliche Traffic Rate durch Ihre Anwendungen? Haben Sie saisonale oder zeitspezifische Spitzen im Verkehr?
  • Serverfarm: Wie viele Server haben Sie? Müssen Sie den Lastausgleich verwenden?
  • Datenbank: Welche Art von Datenbank (MS-SQL, MySQL, Oracle, Postgres, SQLite, Nosql, Sybase, Informix usw.) verwenden Sie?
  • DB-Konnektivität: Welche Art von Datenbankkonnektivität haben Sie (DSN, Verbindungszeichenfolge pro Datei, Verbindungszeichenfolge für einzelne Dateien) und welche Treiber werden verwendet?
• Identifizieren Sie Ihre Sicherheitsanforderungen: Vielleicht möchten Sie bewerten, welche Anwendungen oder bestimmte Daten maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und welche für die Sicherheitsinspektion sicher umgangen werden kann. Dies hilft Ihnen bei der Erstellung einer optimalen Konfiguration und beim Entwerfen geeigneter Richtlinien und Bindungspunkte, um den Datenverkehr zu trennen. Sie können beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu umgehen, und eine andere Richtlinie so konfigurieren, dass erweiterte Sicherheitsprüfungen auf Anforderungen für dynamischen Inhalt angewendet werden. Sie können mehrere Richtlinien und Profile verwenden, um unterschiedliche Inhalte derselben Anwendung zu schützen.
• Lizenzanforderung: Citrix bietet eine einheitliche Lösung zur Optimierung der Leistung Ihrer Anwendung, indem Sie zahlreiche Funktionen wie Load Balancing, Content Switching, Caching, Komprimierung, Responder, Rewrite und Content-Filterung nutzen, um nur einige zu nennen. Wenn Sie die gewünschten Funktionen identifizieren, können Sie entscheiden, welche Lizenz Sie benötigen.
• Installieren und Basieren einer Citrix ADC Appliance: Erstellen Sie einen virtuellen Server, und führen Sie Testdatenverkehr durch diesen aus, um sich einen Überblick über die Geschwindigkeit und den Umfang des Datenverkehrs zu verschaffen, der durch Ihr System fließt. Diese Informationen helfen Ihnen dabei, Ihre Kapazitätsanforderungen zu identifizieren und die richtige Appliance (VPX, MPX oder SDX) auszuwählen.
• Bereitstellen der Web App Firewall: Verwenden Sie den Web App Firewall Assistenten, um mit einer einfachen Sicherheitskonfiguration fortzufahren. Der Assistent führt Sie durch mehrere Bildschirme und fordert Sie auf, ein Profil, eine Richtlinie, eine Signatur und Sicherheitsprüfungen hinzuzufügen.
  • Profil: Wählen Sie einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil. Die Richtlinie und Signaturen werden automatisch mit demselben Namen generiert.
  • Richtlinie: Die automatisch generierte Richtlinie hat den Standardausdruck (true), der den gesamten Datenverkehr auswählt und global gebunden ist. Dies ist ein guter Ausgangspunkt, es sei denn, Sie haben eine bestimmte Richtlinie, die Sie verwenden möchten.
  • Schutz: Der Assistent unterstützt Sie dabei, das Hybridsicherheitsmodell zu nutzen, in dem Sie die Standardsignaturen verwenden können, die eine Reihe von Regeln bieten, um verschiedene Arten von Anwendungen zu schützen. Imeinfachen Bearbeitungsmodus können Sie die verschiedenen Kategorien (CGI, Cold Fusion, PHP usw.) anzeigen. Sie können eine oder mehrere Kategorien auswählen, um einen bestimmten Satz von Regeln für Ihre Anwendung zu identifizieren. Verwenden Sie die Option Aktion, um alle Signaturregeln in den ausgewählten Kategorien zu aktivieren. Stellen Sie sicher, dass das Blockieren deaktiviert ist, damit Sie den Datenverkehr überwachen können, bevor Sie die Sicherheit verschärfen. Klicken Sie auf Weiter. Im Bereich Deep Protection angeben können Sie bei Bedarf Änderungen vornehmen, um den Schutz der Sicherheitsprüfung bereitzustellen. In den meisten Fällen reichen grundlegende Schutzmaßnahmen für die anfängliche Sicherheitskonfiguration aus. Führen Sie den Datenverkehr für eine Weile aus, um eine repräsentative Stichprobe der Sicherheitsinspektionsdaten zu sammeln.
  • Verschärfung der Sicherheit: Nach der Bereitstellung der Web App Firewall und der Überwachung des Datenverkehrs für eine Weile können Sie mit der Verschärfung der Sicherheit Ihrer Anwendungen beginnen, indem Sie Entspannungen bereitstellen und dann die Blockierung aktivieren. Learning, Visualizerund Click to Deployment-Regelnsind nützliche Funktionen, die es sehr einfach machen, Ihre Konfiguration zu optimieren, um genau das richtige Maß an Entspannung zu finden. An dieser Stelle können Sie auch den Richtlinienausdruck ändern und/oder zusätzliche Richtlinien und Profile konfigurieren, um die gewünschten Sicherheitsebenen für verschiedene Inhaltstypen zu implementieren.
  • Debugging: Wenn Sie unerwartetes Verhalten Ihrer Anwendung sehen, bietet die Web App Firewall verschiedene Optionen zum einfachen Debuggen:
    • Log. Wenn legitime Anfragen blockiert werden, überprüfen Sie zunächst die Datei ns.log, um zu sehen, ob eine unerwartete Sicherheitsüberprüfungsverletzung ausgelöst wird.
    • Funktion deaktivieren. Wenn Sie keine Verletzungen sehen, aber immer noch unerwartetes Verhalten sehen, z. B. eine Anwendung zurücksetzen oder teilweise Antworten senden, können Sie die Web App Firewall Funktion zum Debuggen deaktivieren. Wenn das Problem weiterhin besteht, schließt es die Web App Firewall als Verdächtiger aus.
    • Verfolgen Sie Datensätze mit Protokollmeldungen. Wenn das Problem im Zusammenhang mit der Web App Firewall zu sein scheint und eine genauere Überprüfung erforderlich ist, haben Sie die Option, Sicherheitsverletzungsmeldungen in ein nstrace aufzunehmen. Sie können Follow TCP-Stream im Trace verwenden, um die Details der einzelnen Transaktion, einschließlich Header, Payload und die entsprechende Log-Nachricht, zusammen auf demselben Bildschirm anzuzeigen. Einzelheiten zur Verwendung dieser Funktionalität finden Sie in den Anhängen.