ADC

文件上载保护

在多表单提交过程中,许多攻击者试图将恶意代码、病毒或恶意软件作为文件附件上载。保护我们的网络并克服此类威胁非常重要。为了防止此类恶意文件上载,Citrix ADC 管理员在 WAF 配置文件中配置了一组允许的文件上载格式。通过这样做,您可以将文件上载限制为特定格式,并保护设备免受恶意文件上载的侵害。只有在 WAF 配置文件中禁用 ExcludeFileUploadFormChecks 选项时,该保护才有效。

文件上载的工作原理

配置允许的文件上载格式时,组件交互如下所示:

  • 客户端请求具有文件上载类型的表单提交,例如 PDF。
  • 作为安全检查的一部分,WAF 会检查请求有效载荷并验证文件类型(基于魔法签名号)。
  • 如果文件类型不是支持的格式,则会根据文件类型绑定应用相应的操作。
  • 为了验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数。

使用 Citrix ADC CLI 配置文件类型上载

要配置允许的文件格式,设备使用绑定到文件上载参数的 WAF 配置文件。

  1. 配置 Web App Firewall配

在命令提示符下,键入:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

示例

set appfw profile profile1 –fileUploadTypesAction block

  1. 使用文件上载参数绑定 Web App Firewall 配置。该命令将指定的豁免(放宽)或规则绑定到指定的应用程序防火墙配置文件。

在命令提示符下,键入:

bind appfw profile <profile_name> - fileUploadType <form_field> <formAction_url> [-isNameRegex ( REGEX | NOTREGEX )] -fileType <fileType> ( pdf | msdoc | text | image | any)

注意:

表单字段名是正则表达式类型。默认值为 NOTREGEX

示例

> bind appfw profile test -fileuploadType file "http://10.10.10.10/fileupload_sample/upload.php" -isNameRegex NOTREGEX -filetype image

使用 Citrix ADC GUI 配置文件上载安全保护

  1. 在导航窗格中,导航到安全 > Citrix Web App Firewall > 配置文件
  2. 配置文件页面中,单击添加
  3. Citrix Web App Firewall 配置文件页面中,单击“高级设置”下的“安全检查”。
  4. 在“安全检查”部分,选择“文件上载类型”,然后单击“操作设置”
  5. 在“文 件上载类型设置”页面中,设置文件上载操作。
  6. 单击确定
  7. Citrix Web App Firewall 配置文件 页面中,单击 确定完成

使用 Citrix ADC GUI 配置文件上载放宽规则

您可以放松文件上载安全保护以避免误报。例如,设备可能会阻止文件上载,但您可以添加放宽规则以允许从特定网站上载文件。这样,设备就会绕过对指定表单域的安全检查,并允许用户从操作 URL 中提到的网站上载文件。

注意:

如果未启用“文件上载类型重新评估规则”,文件上载验证将失败。

执行以下步骤创建放松规则。

  1. 在导航窗格中,导航到安全 > Citrix Web App Firewall > 配置文件
  2. 配置文件页面中,单击添加
  3. Citrix Web App Firewall 配置文件 页面中,单击 高级设置 下的 放宽规则
  4. 放宽规则 部分中,选择 文件上载类型 ,然后单击 编辑

    配置文件上载安全设置

  5. 在“文件上载类型重新调整规则”页中,单击“添加”。
  6. 在“文 件上载类型放宽规则”页面中,设置以下参数:

    1. 已启用 - 选择启用宽松规则。
    2. 是表单字段名正则表达式 - 选择更新表单字段名称的正则表达式模式。
    3. 表单字段名 - 输入不需要安全检查的文件名。
    4. 操作 URL - 必须免于安全检查的表单提交 URL。
    5. 文件类型-支持的可上载文件格式。
    6. 评论 - 关于文件上载的简要描述。
  7. 单击创建

    配置文件上载安全设置

  8. Citrix Web App Firewall 配置文件 页面中,单击 确定完成
文件上载保护