ADC

配置 Web App Firewall 配置文件

要配置用户定义的 Web App Firewall 配置文件,请首先配置安全检查,在 Web App Firewall 向导中称为 深度保护**或高级保护 。如果要使用某些检查,则需要进行配置。其他网站具有安全但范围有限的默认配置;您的网站可能需要或受益于利用某些安全检查的更多功能的其他配置。

配置安全检查后,还可以配置其他一些控制行为的设置,不是单个安全检查,而是 Web App Firewall 功能。默认配置足以保护大多数网站,但您必须查看它们以确保它们适用于受保护的网站。

注意:

配置文件名称长度和所有导入对象名称长度最多可设置为 127 个字符。

有关 Web App Firewall 安全检查的更多信息,请参阅 高级保护

使用命令行配置 Web App Firewall 配置文件

在命令提示符下,键入以下命令:

  • set appfw profile <name> <arg1> [<arg2> ...]

    其中:

    • <arg1> = 一个参数和任何关联的选项。
    • <arg2> = 第二个参数和任何关联的选项。
    • … = 其他参数和选项。

    有关配置特定安全检查时要使用的参数的说明,请参阅 高级保护

  • save ns config

示例

以下示例说明如何在名为 pr-basic 的配置文件中为 HTML SQL 注入和 HTML 跨站点脚本编写检查启用阻止。此命令允许在不对配置文件进行其他更改的情况下阻止这些操作。

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

将放宽规则绑定到 Web App Firewall 配置文件

当 Web App Firewall 检测到违规时,用户可以绕过通过放宽规则应用的操作。放宽规则是应用于检测到的安全违规的例外情况。例如,开始 URL 放宽规则可防止强制浏览。通过启用一组默认的拒绝 URL 规则,可以检测和阻止黑客利用的已知 Web 服务器漏洞。也可以轻松检测经常启动的攻击,例如缓冲区溢出、SQL 或跨站点脚本编写。

使用 CLI 绑定安全豁免或放宽规则

在命令提示符下,键入:

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

使用 GUI 绑定安全豁免或放宽规则

  1. 导航到 安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择配置文件,然后单击 编辑
  3. Citrix Web App Firewall 配置文件 页面中,单击“高级设置”部分中的“放宽规则”。
  4. 在“放宽规则”部分中,单击 StarTURL ,然后单击 编辑
  5. 在“开 始 URL 放宽规则”页面中,单击“添加”。
  6. 在“开 始 URL 放宽规则”页面中,设置以下参数:

    1. 已启用。选中该复选框以启用放宽规则
    2. 开始 URL。输入正则表达式值
    3. 评论。提供有关放宽规则的简短说明。
  7. 单击创建关闭

使用 GUI 配置 Web App Firewall 配置文件

  1. 导航到 安全 > Citrix Web App Firewall > 配置文件
  2. 在详细信息窗格中,选择要配置的配置文件,然后单击 编辑
  3. 在“配置 Web App Firewall 配置文件”对话框的“安全检查”选项卡上,配置安全检查。

    • 要启用或禁用检查操作,请在列表中选中或清除该操作的复选框。

    • 要为具有这些参数的校验配置其他参数,请在列表中单击该校验最右侧的蓝色 V 形图标。在出现的对话框中,配置参数。这些因支票而异。

      您也可以选择一个复选框,然后在对话框底部单击“打开”以显示该检查的“配置放宽”对话框或“配置规则”对话框。这些对话框也因选中而异。其中大多数包括“检查”选项卡和“常规”选项卡。如果校验支持放松或用户定义的规则,则检查选项卡将包含一个添加按钮,该按钮会打开另一个对话框,您可以在其中为检查指定放松度或规则。(放宽是将特定交通免于支票的规则。)如果已经配置了放松,则可以选择一个并单击“打开”进行修改。

    • 要查看已知的异常或检查规则,请选择该校验,然后单击已 知的违规。在“管理学习规则”对话框中,依次选择每个学习到的异常或规则。

      • 要编辑例外或规则,然后将其添加到列表中,请单击“编辑和部署”。
      • 要接受例外或规则而不作修改,请单击“部署”。
      • 要从列表中删除例外或规则,请单击“跳过”。
    • 要刷新要查看的例外或规则的列表,请单击“刷新”。

    • 打开学习可视化工具并使用它来查看学习规则,然后单击 可视化工具

    • 查看与校验匹配的连接的日志条目,选择该检查,然后单击日志。您可以使用此信息来确定哪些检查与攻击相匹配,以便对这些检查启用阻止。您还可以使用此信息确定哪些检查与合法流量匹配,以便您可以配置适当的豁免以允许这些合法连接。有关日志的更多信息,请参阅 日志、统计信息和报告

    • 要完全禁用检查,请在列表中清除该检查右侧的所有复选框。

  4. 设置 选项卡上,配置配置文件设置。
    • 要将配置文件与您之前创建和配置的一组签名相关联,请在“常用设置”下的“签名”下拉列表中选择该组 签名

      注意:

      您可能必须使用对话框右侧的滚动条向下滚动才能显示“常用设置”部分。

    • 要配置 HTML 或 XML 错误对象,请从相应的下拉列表中选择该对象。

      注意:

      您必须首先上载要在“导入”窗格中使用的错误对象。有关导入错误对象的更多信息,请参阅 入。

    • 要配置默认 XML 内容类型,请直接在默认请求和默认响应文本框中键入内容类型字符串,或单击管理允许的内容类型来管理允许的内容类型列表。 » 更多…
  5. 如果要使用学习功能,请单击学习,然后配置配置文件的学习设置,如 配置和使用学习功能中所述。
  6. 单击“确定”保存更改并返回“配置文件”窗格。
配置 Web App Firewall 配置文件