Konfigurieren der Web App Firewall
Sie können die NetScaler Web App Firewall (Web App Firewall) mithilfe einer der folgenden Methoden konfigurieren:
- Web App Firewall-Assistent. Ein Dialogfeld, das aus einer Reihe von Bildschirmen besteht, die Sie durch den Konfigurationsprozess führen.
- AppExpert-Vorlage für das NetScaler-Webinterface. Eine AppExpert-Vorlage (eine Reihe von Konfigurationseinstellungen), die entwickelt wurden, um Websites angemessen zu schützen. Diese AppExpert-Vorlage enthält die entsprechenden Web App Firewall-Konfigurationseinstellungen zum Schutz vieler Websites.
- NetScaler-Benutzeroberfläche. Die webbasierte Konfigurationsoberfläche.
- NetScaler-Befehlszeilenschnittstelle. Die Befehlszeilen-Konfigurationsschnittstelle.
Citrix empfiehlt, den Web App Firewall Wizard zu verwenden. Für die meisten Benutzer ist dies die einfachste Methode, die Web App Firewall zu konfigurieren, und sie wurde entwickelt, um Fehler zu vermeiden. Wenn Sie über einen neuen NetScaler oder VPX verfügen, den Sie hauptsächlich zum Schutz von Websites verwenden werden, ist die AppExpert-Vorlage für das Webinterface möglicherweise die bessere Option, da sie eine gute Standardkonfiguration bietet, nicht nur für die Web App Firewall, sondern für die gesamte Appliance. Sowohl die GUI als auch die Befehlszeilenschnittstelle sind für erfahrene Benutzer gedacht, in erster Linie um eine vorhandene Konfiguration zu ändern oder erweiterte Optionen zu verwenden.
Web App Firewall Wizard
Der Web App Firewall-Assistent ist ein Dialogfeld, das aus mehreren Bildschirmen besteht, in denen Sie aufgefordert werden, jeden Teil einer einfachen Konfiguration zu konfigurieren. Die Web App Firewall erstellt dann die entsprechenden Konfigurationselemente aus den Informationen, die Sie ihr geben. Dies ist die einfachste und für die meisten Zwecke die beste Methode, die Web App Firewall zu konfigurieren.
Um den Assistenten zu verwenden, stellen Sie mit dem Browser Ihrer Wahl eine Verbindung zur GUI her. Wenn die Verbindung hergestellt ist, überprüfen Sie, ob die Web App Firewall aktiviert ist, und führen Sie dann den Web App Firewall-Assistenten aus, der Sie zur Eingabe von Konfigurationsinformationen auffordert. Sie müssen nicht alle angeforderten Informationen angeben, wenn Sie den Assistenten zum ersten Mal verwenden. Stattdessen können Sie Standardeinstellungen akzeptieren, einige relativ einfache Konfigurationsaufgaben ausführen, um wichtige Funktionen zu aktivieren, und dann der Web App Firewall erlauben, wichtige Informationen zu sammeln, um Sie bei der Konfiguration zu unterstützen.
Wenn der Assistent Sie beispielsweise auffordert, eine Regel für die Auswahl des zu verarbeitenden Datenverkehrs anzugeben, können Sie die Standardeinstellung akzeptieren, bei der der gesamte Datenverkehr ausgewählt wird. Wenn Ihnen eine Liste von Signaturen angezeigt wird, können Sie die entsprechenden Signaturkategorien aktivieren und die Erfassung von Statistiken für diese Signaturen aktivieren. Bei dieser Erstkonfiguration können Sie die erweiterten Schutzfunktionen (Sicherheitsüberprüfungen) überspringen. Der Assistent erstellt automatisch die entsprechende Richtlinie, das Signaturobjekt und das entsprechende Profil (zusammen die Sicherheitskonfiguration) und bindet die Richtlinie an die globale Richtlinie. Die Web App Firewall beginnt dann, Verbindungen zu Ihren geschützten Websites zu filtern, alle Verbindungen zu protokollieren, die mit einer oder mehreren der von Ihnen aktivierten Signaturen übereinstimmen, und Statistiken über die Verbindungen zu sammeln, denen jede Signatur entspricht. Nachdem die Web App Firewall einen Teil des Datenverkehrs verarbeitet hat, können Sie den Assistenten erneut ausführen und die Protokolle und Statistiken überprüfen, um festzustellen, ob eine der von Ihnen aktivierten Signaturen dem legitimen Verkehr entspricht. Nachdem Sie ermittelt haben, welche Signaturen den Datenverkehr identifizieren, den Sie blockieren möchten, können Sie die Sperrung für diese Signaturen aktivieren. Wenn Ihre Website oder Ihr Webdienst nicht komplex ist, kein SQL verwendet und keinen Zugriff auf vertrauliche private Informationen hat, bietet diese grundlegende Sicherheitskonfiguration wahrscheinlich einen angemessenen Schutz.
Möglicherweise benötigen Sie zusätzlichen Schutz, wenn Ihre Website beispielsweise dynamisch ist. Inhalte, die Skripts verwenden, benötigen möglicherweise Schutz vor websiteübergreifenden Skriptangriffen. Webinhalte, die SQL verwenden — wie Einkaufswagen, viele Blogs und die meisten Content-Management-Systeme — müssen möglicherweise vor SQL-Injection-Angriffen geschützt werden. Websites und Webdienste, die vertrauliche private Informationen wie Sozialversicherungsnummern oder Kreditkartennummern sammeln, müssen möglicherweise vor einer unbeabsichtigten Offenlegung dieser Informationen geschützt werden. Bestimmte Arten von Webserver- oder XML-Server-Software müssen möglicherweise vor Angriffsarten geschützt werden, die auf diese Software zugeschnitten sind. Eine weitere Überlegung ist, dass bestimmte Elemente Ihrer Websites oder Webdienste möglicherweise einen anderen Schutz erfordern als andere Elemente. Anhand der Protokolle und Statistiken der Web App Firewall können Sie die zusätzlichen Schutzmaßnahmen ermitteln, die Sie möglicherweise benötigen.
Nachdem Sie entschieden haben, welche erweiterten Schutzfunktionen für Ihre Websites und Webdienste erforderlich sind, können Sie den Assistenten erneut ausführen, um diese Schutzmaßnahmen zu konfigurieren. Bei bestimmten Sicherheitskontrollen müssen Sie Ausnahmen (Lockerungen) eingeben, um zu verhindern, dass die Überprüfung legitimen Datenverkehr blockiert. Sie können dies manuell tun, aber in der Regel ist es einfacher, die Funktion für adaptives Lernen zu aktivieren und ihr die erforderliche Entspannung empfehlen zu lassen. Sie können den Assistenten so oft wie nötig verwenden, um Ihre grundlegende Sicherheitskonfiguration zu verbessern und/oder zusätzliche Sicherheitskonfigurationen zu erstellen.
Der Assistent automatisiert einige Aufgaben, die Sie manuell ausführen müssten, wenn Sie den Assistenten nicht verwenden würden. Es erstellt automatisch eine Richtlinie, ein Signaturobjekt und ein Profil und weist ihnen den Namen zu, den Sie angegeben haben, als Sie nach dem Namen Ihrer Konfiguration gefragt wurden. Der Assistent fügt dem Profil außerdem Ihre erweiterten Schutzeinstellungen hinzu, bindet das Signaturobjekt an das Profil, verknüpft das Profil mit der Richtlinie und setzt die Richtlinie in Kraft, indem er sie an Global bindet.
Einige Aufgaben können im Wizard nicht ausgeführt werden. Sie können den Assistenten nicht verwenden, um eine Richtlinie an einen anderen Bindpunkt als Global zu binden. Wenn Sie möchten, dass das Profil nur für einen bestimmten Teil Ihrer Konfiguration gilt, müssen Sie die Bindung manuell konfigurieren. Sie können die Engine-Einstellungen oder bestimmte andere globale Konfigurationsoptionen im Assistenten nicht konfigurieren. Sie können zwar eine der erweiterten Schutzeinstellungen im Assistenten konfigurieren, aber wenn Sie eine bestimmte Einstellung in einer einzigen Sicherheitsprüfung ändern möchten, ist es möglicherweise einfacher, dies auf den manuellen Konfigurationsbildschirmen in der GUI zu tun.
Weitere Informationen zur Verwendung des Web App Firewall-Assistenten finden Sie unter Der Web App Firewall-Assistent.
Die NetScaler Web Interface AppExpert Vorlage
AppExpert Templates sind ein anderer und einfacherer Ansatz zur Konfiguration und Verwaltung komplexer Unternehmensanwendungen. Die AppExpert-Anzeige in der GUI besteht aus einer Tabelle. Anwendungen werden in der Spalte ganz links aufgeführt, wobei die NetScaler-Funktionen, die für diese Anwendung gelten, jeweils in einer eigenen Spalte auf der rechten Seite angezeigt werden. (In der AppExpert-Oberfläche werden die Funktionen, die einer Anwendung zugeordnet sind, als Anwendungseinheitenbezeichnet.) In der AppExpert-Oberfläche konfigurieren Sie den interessanten Traffic für jede Anwendung und aktivieren Regeln für Komprimierung, Caching, Rewrite, Filterung, Responder und die Web App Firewall, anstatt jede Funktion einzeln konfigurieren zu müssen.
Web Interface AppExpert Template enthält Regeln für die folgenden Web App Firewall -Signaturen und Sicherheitsprüfungen:
- URL-Prüfung verweigern. Erkennt Verbindungen zu Inhalten, die bekanntermaßen ein Sicherheitsrisiko darstellen, oder zu anderen URLs, die Sie festlegen.
- Pufferüberlauf-Prüfung. Erkennt Versuche, einen Pufferüberlauf auf einem geschützten Webserver zu verursachen.
- Überprüfung der Cookie-Konsistenz. Erkennt bösartige Änderungen an Cookies, die von einer geschützten Website gesetzt werden.
- Konsistenzprüfung für Formularfelder. Erkennt Änderungen an der Struktur eines Webformulars auf einer geschützten Website.
- Überprüfung der CSRF-Formularkennzeichnung. Erkennt Angriffe zur siteübergreifenden Anforderungsfälschung.
- Überprüfung der Feldformate. Erkennt unangemessene Informationen, die in Webformularen auf einer geschützten Website hochgeladen wurden.
- Überprüfung der HTML SQL-Einschleusung. Erkennt Versuche, nicht autorisierten SQL-Code zu injizieren.
- HTML-Site-übergreifende Skript-Überprüfung Erkennt Cross-Site-Scripting-Angriffe.
Informationen zum Installieren und Verwenden einer AppExpert-Vorlage finden Sie unter AppExpert AppExpert AppApplications and Templates.
Die GUI
Die GUI ist eine webbasierte Oberfläche, die Zugriff auf alle Konfigurationsoptionen für die Web App Firewall-Funktion bietet, einschließlich erweiterter Konfigurations- und Verwaltungsoptionen, die in keinem anderen Konfigurationstool oder einer anderen Benutzeroberfläche verfügbar sind. Insbesondere können viele erweiterte Signaturoptionen nur in der GUI konfiguriert werden. Sie können die von der Lernfunktion generierten Empfehlungen nur in der GUI überprüfen. Sie können Richtlinien nur in der GUI an einen anderen Bindepunkt als Global binden.
Eine Beschreibung der GUI finden Sie unter Die Web App Firewall-Konfigurationsschnittstellen. Weitere Informationen zur Verwendung der GUI zum Konfigurieren der Web App Firewall finden Sie unter Manuelle Konfiguration mit der GUI.
Anweisungen zum Konfigurieren der Web App Firewall über die grafische Benutzeroberfläche finden Sie unter Manuelle Konfiguration mit der GUI. Informationen zur Citrix-ADC-GUI finden Sie unter Die Web App Firewall-Konfigurationsschnittstellen.
Die NetScaler Befehlszeilenschnittstelle
Die NetScaler-Befehlszeilenschnittstelle ist eine modifizierte UNIX-Shell, die auf der FreeBSD-Bash-Shell basiert. Um die Web App Firewall über die Befehlszeilenschnittstelle zu konfigurieren, geben Sie Befehle an der Eingabeaufforderung ein und drücken die Eingabetaste, genau wie bei jeder anderen Unix-Shell. Sie können die meisten Parameter und Optionen für die Web App Firewall mithilfe der NetScaler-Befehlszeile konfigurieren. Ausnahmen sind die Signaturfunktion, von denen viele Optionen nur über die GUI oder den Web App Firewall Assistenten konfiguriert werden können, und die Lernfunktion, deren Empfehlungen nur in der GUI überprüft werden können.
Anweisungen zum Konfigurieren der Web App Firewall mithilfe der NetScaler-Befehlszeile finden Sie unter Manuelle Konfiguration mit der Befehlszeilenschnittstelle.