ADC

手动配置使用命令行界面

October 7, 2021

投稿者:

注意：如果需要手动配置 Web App Firewall 功能，Citrix 建议您使用 Citrix ADC GUI 过程。

您可以从 Citrix ADC 命令界面配置 Web App Firewall 功能。然而，也有一些重要的例外。无法从命令界面启用签名称。七个类别中有大约 1,000 个默认签名，任务对于命令界面来说太复杂了。您可以从命令行启用或禁用功能和配置参数，但无法配置手动放松。虽然您可以配置自适应学习功能并从命令行启用学习，但无法查看学习的放宽或学习的规则，也无法批准或跳过它们。命令行界面适用于熟悉使用 Citrix ADC 设备和 Web App Firewall 的高级用户。

要使用 Citrix ADC 命令行手动配置 Web App Firewall，请使用您选择的 Telnet 或安全外壳客户端登录到 Citrix ADC 命令行。

使用命令行界面创建配置文件

在命令提示符下，键入以下命令：

add appfw profile <name> [-defaults ( basic | advanced )]
set appfw profile <name> -type ( HTML | XML | HTML XML )
save ns config

示例

以下示例添加了一个名为 pr-basic 的配置文件，具有基本默认值，并分配 HTML 的配置文件类型。这是用于保护 HTML 网站的配置文件的适当初始配置。

add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->

使用命令行界面配置配置文件

在命令提示符下，键入以下命令：

set appfw profile <name> <arg1> [<arg2> ...]其中<arg1> 表示一个参数，并<arg2> 表示另一个参数或要分配给由<arg1>。有关配置特定安全检查时要使用的参数的说明，请参阅高级保护及其子主题。有关其他参数的描述，请参阅“创建配置文件的参数”。“
save ns config

示例

以下示例说明如何配置使用基本默认值创建的 HTML 配置文件，以开始保护简单的基于 HTML 的网站。此示例启用了大多数安全检查的统计记录和维护，但仅对误报率低且不需要特殊配置的检查启用拦截功能。它还打开了不安全的 HTML 和不安全的 SQL 的转换，这可以防止攻击，但不会阻止对您的网站的请求。启用日志记录和统计信息后，您可以稍后查看日志以确定是否为特定的安全检查启用阻止。

set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config
<!--NeedCopy-->

创建和配置策略

在命令提示符下，键入以下命令：

add appfw policy <name> <rule> <profile>
save ns config

示例

以下示例添加了一个名为 pl-blog 的策略，其中包含一个规则，该规则可拦截进入或从主机 blog.example.com 的所有流量，并将该策略与配置文件 pr-blog 相关联。

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
<!--NeedCopy-->

绑定 Web App Firewall 策略

在命令提示符下，键入以下命令：

bind appfw global <policyName> <priority>
save ns config

示例

以下示例绑定名为 pl-blog 的策略，并为其分配优先级 10。

bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->

配置每个 PE 的会话限制

在命令提示符下，键入以下命令：

set appfw settings <session limit>

示例

以下示例配置每个 PE 的会话限制。

> set appfw settings -sessionLimit 500000`

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

手动配置使用命令行界面

October 7, 2021

投稿者:

October 7, 2021

投稿者: