Binden Web App Firewall Richtlinien
Nachdem Sie Ihre Web App Firewall Richtlinien konfiguriert haben, binden Sie sie an Global oder an einen Bindepunkt, um sie in Kraft zu setzen. Nach der Bindung wird jede Anforderung oder Antwort, die einer Web App Firewall Richtlinie entspricht, durch das Profil umgewandelt, das dieser Richtlinie zugeordnet ist.
Wenn Sie eine Richtlinie binden, weisen Sie ihr eine Priorität zu. Die Priorität bestimmt die Reihenfolge, in der die von Ihnen definierten Richtlinien ausgewertet werden. Sie können die Priorität auf eine beliebige positive Ganzzahl festlegen. Im Citrix ADC Betriebssystem funktionieren Richtlinienprioritäten in umgekehrter Reihenfolge - je höher die Zahl, desto niedriger die Priorität.
Da die Web App Firewall Funktion nur die erste Richtlinie implementiert, mit der eine Anforderung übereinstimmt, und keine zusätzlichen Richtlinien, die ebenfalls übereinstimmen, ist die Richtlinienpriorität wichtig, um die gewünschten Ergebnisse zu erzielen. Wenn Sie Ihrer ersten Richtlinie eine niedrige Priorität einräumen (z. B. 1000), konfigurieren Sie die Web App Firewall nur dann, wenn andere Richtlinien mit höherer Priorität nicht mit einer Anforderung übereinstimmen. Wenn Sie Ihrer ersten Richtlinie eine hohe Priorität einräumen (z. B. 1), konfigurieren Sie die Web App Firewall so, dass sie zuerst ausgeführt wird, und überspringen alle anderen Richtlinien, die möglicherweise ebenfalls übereinstimmen. Sie können sich viel Raum lassen, um andere Richtlinien in beliebiger Reihenfolge hinzuzufügen, ohne Prioritäten neu zuweisen zu müssen, indem Sie Prioritäten mit Intervallen von 50 oder 100 zwischen jeder Richtlinie festlegen, wenn Sie Ihre Richtlinien binden.
Weitere Informationen zum Binden von Richtlinien auf der Citrix ADC Appliance finden Sie unter “Richtlinien und Ausdrücke. “
So binden Sie eine Web App Firewall Richtlinie mit der Befehlszeilenschnittstelle
Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:
bind appfw global <policyName>
bind appfw profile <profile_name> -crossSiteScripting data
Beispiel
Im folgenden Beispiel wird die Richtlinie pl-blog gebunden und die Priorität 10 zugewiesen.
bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->
Konfigurieren von Protokollausdrücken
Die Protokollausdruck-Unterstützung für die Bindung der Web App Firewall wird hinzugefügt, um HTTP-Header-Informationen zu protokollieren, wenn eine Verletzung auftritt.
Der Protokollausdruck wird im Anwendungsprofil gebunden, und die Bindung enthält den Ausdruck, der ausgewertet und an Protokollierungsframeworks gesendet werden muss, wenn eine Verletzung auftritt.
Der Web App Firewall -Verletzungsprotokolleintrag mit HTTP-Header-Informationen wird aufgezeichnet. Sie können einen benutzerdefinierten Protokollausdruck angeben und hilft bei der Analyse und Diagnose, wenn Verletzungen für den aktuellen Fluss generiert werden (Anforderung/Antwort).
Beispielkonfiguration
bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"
<!--NeedCopy-->
Beispielprotokolle
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Hinweis:
Nur Auditlog-Unterstützung ist verfügbar. Unterstützung für Logstream und Sichtbarkeit in Sicherheitsinformationen würde in zukünftigen Versionen hinzugefügt werden.
Wenn Auditlogs generiert werden, können pro Protokollnachricht nur 1024 Byte Daten generiert werden.
Wenn Protokollstreaming verwendet wird, basieren die Grenzwerte auf der maximal unterstützten Größe von Protokollstream/IPFIX-Protokollgrößenbeschränkungen. Die maximale Unterstützungsgröße für Protokolldatenstrom ist größer als 1024 Bytes.
So binden Sie eine Web App Firewall Richtlinie mit der GUI
- Führen Sie einen der folgenden Schritte aus:
- Navigieren Sie zu Sicherheit > Web App Firewall, und klicken Sie im Detailbereich auf Web App Firewall Policy Manager.
- Navigieren Sie zu Sicherheit > Web App Firewall > Richtlinien > Firewall-Richtlinien, und klicken Sie im Detailbereich auf Richtlinien-Manager .
- Wählen Sie im Dialogfeld Web App Firewall-Richtlinien-Manager den Bindepunkt aus der Dropdownliste aus, an den Sie die Richtlinie binden möchten. Folgende Möglichkeiten stehen zur Auswahl:
- Global überschreiben. Richtlinien, die an diesen Bindungspunkt gebunden sind, verarbeiten den gesamten Datenverkehr von allen Schnittstellen der Citrix ADC Appliance und werden vor allen anderen Richtlinien angewendet.
- Virtueller LB Server. Richtlinien, die an einen virtuellen Lastausgleichsserver gebunden sind, werden nur auf Datenverkehr angewendet, der von diesem virtuellen Lastausgleichsserver verarbeitet wird, und werden vor allen globalen Standardrichtlinien angewendet. Nachdem Sie LB Virtual Server ausgewählt haben, müssen Sie auch den spezifischen virtuellen Lastausgleichsserver auswählen, an den Sie diese Richtlinie binden möchten.
- CS Virtual Server. Richtlinien, die an einen virtuellen Content Switching-Server gebunden sind, werden nur auf Datenverkehr angewendet, der von diesem virtuellen Content Switching-Server verarbeitet wird, und werden vor allen globalen Standardrichtlinien angewendet. Nachdem Sie CS Virtual Server ausgewählt haben, müssen Sie auch den spezifischen virtuellen Content Switching-Server auswählen, an den Sie diese Richtlinie binden möchten.
- Standard Global. Richtlinien, die an diesen Bindungspunkt gebunden sind, verarbeiten den gesamten Datenverkehr von allen Schnittstellen der Citrix ADC Appliance.
- Richtlinienbezeichnung. Richtlinien, die an eine Richtlinienbeschriftung gebunden sind, verarbeiten Datenverkehr, den die Richtlinienbeschriftung an sie weiterleitet. Die Richtlinienbezeichnung steuert die Reihenfolge, in der Richtlinien auf diesen Datenverkehr angewendet werden.
- Keine. Binden Sie die Richtlinie nicht an einen Bindepunkt.
- Klicken Sie auf Weiter. Eine Liste der vorhandenen Web App Firewall Richtlinien wird angezeigt.
- Wählen Sie die Richtlinie aus, die Sie binden möchten, indem Sie darauf klicken.
- Nehmen Sie zusätzliche Anpassungen an der Bindung vor.
- Um die Richtlinienpriorität zu ändern, klicken Sie auf das Feld, um es zu aktivieren, und geben Sie dann eine neue Priorität ein. Sie können auch Prioritäten neu generieren wählen, um die Prioritäten gleichmäßig neu zu nummerieren.
- Um den Richtlinienausdruck zu ändern, doppelklicken Sie auf dieses Feld, um das Dialogfeld Web App Firewall richtlinie konfigurieren zu öffnen, in dem Sie den Richtlinienausdruck bearbeiten können.
- Zum Festlegen des Gehen-Ausdrucks doppelklicken Sie auf das Feld in der Spaltenüberschrift Gehe zu Ausdruck, um die Dropdownliste anzuzeigen, in der Sie einen Ausdruck auswählen können.
- Um die Option Invoke festzulegen, doppelklicken Sie in der Spaltenüberschrift Invoke, um die Dropdownliste anzuzeigen, in der Sie einen Ausdruck auswählen können.
- Wiederholen Sie die Schritte 3 bis 6, um zusätzliche Web App Firewall Richtlinien hinzuzufügen, die Sie global binden möchten.
- Klicken Sie auf OK. In der Statusleiste wird eine Meldung angezeigt, die besagt, dass die Richtlinie erfolgreich gebunden wurde.