ADC

配置 Web App Firewall 配置文件

要配置用户定义的 Web App Firewall 配置文件,请首先配置安全检查,在 Web App Firewall 向导中称为 深度保护**或高级保护 。如果要使用某些检查,则需要进行配置。其他网站具有安全但范围有限的默认配置;您的网站可能需要或受益于利用某些安全检查的更多功能的其他配置。

配置安全检查后,还可以配置其他一些控制行为的设置,不是单个安全检查,而是 Web App Firewall 功能。默认配置足以保护大多数网站,但您必须查看它们以确保它们适用于受保护的网站。

注意:

配置文件名称长度和所有导入对象名称长度最多可设置为 127 个字符。

有关 Web App Firewall 安全检查的更多信息,请参阅 高级保护

使用命令行配置 Web App Firewall 配置文件

在命令提示符下,键入以下命令:

  • set appfw profile <name> <arg1> [<arg2> ...]

    其中:

    • <arg1> = 一个参数和任何关联的选项。
    • <arg2> = 第二个参数和任何关联的选项。
    • … = 其他参数和选项。

    有关配置特定安全检查时要使用的参数的说明,请参阅 高级保护

  • save ns config

示例

以下示例说明如何在名为的配置文件中启用 HTML SQL 注入和 HTML 跨站点脚本编写检查的阻止 pr-basic。此命令允许在不对配置文件进行其他更改的情况下阻止这些操作。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

将放宽规则绑定到 Web App Firewall 配置文件

当 Web App Firewall 检测到违规时,用户可以绕过通过放宽规则应用的操作。放宽规则是应用于检测到的安全违规的例外情况。例如,开始 URL 放宽规则可防止强制浏览。通过启用一组默认的拒绝 URL 规则,可以检测和阻止黑客利用的已知 Web 服务器漏洞。也可以轻松检测经常启动的攻击,例如缓冲区溢出、SQL 或跨站点脚本编写。

使用 CLI 绑定安全豁免或放宽规则

在命令提示符下,键入:

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

使用 GUI 绑定安全豁免或放宽规则

  1. 导航到安全 > NetScaler Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择配置文件,然后单击 编辑
  3. NetScaler Web App Firewall 配置文件 页面中,单击“高级设置”部分中的“放宽规则”。
  4. 在“放宽规则”部分中,单击 StarTURL ,然后单击 编辑
  5. 在“开 始 URL 放宽规则”页面中,单击“添加”。
  6. 在“开 始 URL 放宽规则”页面中,设置以下参数:

    1. 已启用。选中该复选框以启用放宽规则
    2. 开始 URL。输入正则表达式值
    3. 评论。提供有关放宽规则的简短说明。
  7. 单击创建关闭

使用 GUI 配置 Web App Firewall 配置文件

  1. 导航到安全 > NetScaler Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择要配置的配置文件,然后单击 编辑
  3. 在“配置 Web App Firewall 配置文件”对话框的“安全检查”选项卡上,配置安全检查。

    • 要启用或禁用检查操作,请在列表中选中或清除该操作的复选框。

    • 要配置列表中安全检查的参数,请选中该复选框并单击“活动设置”

    • 要查看所选安全检查的日志条目,请选中该复选框并单击 日志。您可以使用此信息来确定与攻击匹配的安全检查,以便为安全检查阻止流量。您还可以使用这些信息来确定与合法流量匹配的检查,以便您可以配置适当的豁免以允许这些合法连接。有关日志的更多信息,请参阅 日志、统计信息和报告

    • 要完全禁用检查,请在列表中清除该检查右侧的所有复选框。

  4. 设置 选项卡上,配置配置文件设置。
    • 要将配置文件与您之前创建和配置的一组签名相关联,请在“常用设置”下的“签名”下拉列表中选择该组 签名

      注意:

      必须使用对话框右侧的滚动条向下滚动以显示“常用设置”部分。

    • 要配置 HTML 或 XML 错误对象,请从相应的下拉列表中选择该对象。

      注意:

      您必须首先上载要在“导入”窗格中使用的错误对象。有关导入错误对象的更多信息,请参阅 入。

    • 要配置默认 XML 内容类型,请直接在默认请求和默认响应文本框中键入内容类型字符串,或单击管理允许的内容类型来管理允许的内容类型列表。 » 更多…
  5. 如果要使用学习功能,请单击学习,然后配置配置文件的学习设置,如 配置和使用学习功能中所述。
  6. 单击“确定”保存更改并返回“配置文件”窗格。

WAF 配置文件中的机密字段

注意

此功能在版本 13.1 build 27.x 及更高版本中可用。

现在,您可以在 WAF 配置文件中添加机密字段。发生违规时,这些字段将被屏蔽,不会在 ADC 日志中捕获。之前只能使用设置来添加这些字段。有关使用设置添加机密字段的更多信息,请参阅 机密字段

  1. 导航到安全 > NetScaler Web App Firewall > 配置文件
  2. 选择配置文件,然后单击 编辑
  3. “高级设置”中,单击机密字段
  4. 单击添加
  5. 输入以下参数的值:
    • 表单域名*
    • 操作 URL*
    • 注释 * 表示必填字段
  6. 单击创建
  7. 单击 Done(完成)。
配置 Web App Firewall 配置文件