ADC

文件上载保护

在多表单提交过程中,许多攻击者试图将恶意代码、病毒或恶意软件作为文件附件上载。保护我们的网络并克服此类威胁非常重要。为了防止此类恶意文件上载,Citrix ADC 管理员在 WAF 配置文件中配置了一组允许的文件上载格式。通过这样做,您可以将文件上载限制为特定格式,并保护设备免受恶意文件上载的侵害。只有在 WAF 配置文件中禁用 ExcludeFileUploadFormChecks 选项时,该保护才有效。

文件上载的工作原理

配置允许的文件上载格式时,组件交互如下所示:

 • 客户端请求具有文件上载类型的表单提交,例如 PDF。
 • 作为安全检查的一部分,WAF 会检查请求有效载荷并验证文件类型(基于魔法签名号)。
 • 如果文件类型不是支持的格式,则会根据文件类型绑定应用相应的操作。
 • 为了验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数。

使用 Citrix ADC CLI 配置文件类型上载

要配置允许的文件格式,设备使用绑定到文件上载参数的 WAF 配置文件。

 1. 配置 Web App Firewall配

在命令提示符下,键入:

set appfw profile <profile_name> [-fileUploadTypesAction <fileUploadTypesAction>]<fileUploadTypesAction> = ( none | block | log | stats )

示例

set appfw profile profile1 –fileUploadTypesAction block

 1. 使用文件上载参数绑定 Web App Firewall 配置。该命令将指定的豁免(放宽)或规则绑定到指定的应用程序防火墙配置文件。

在命令提示符下,键入:

bind appfw profile <profile_name> - fileUploadType <form_field> <formAction_url> [-isNameRegex ( REGEX | NOTREGEX )] -fileType <fileType> ( pdf | msdoc | text | image | any)

注意:

表单字段名是正则表达式类型。默认值为 NOTREGEX

示例

> bind appfw profile test -fileuploadType file "http://10.10.10.10/fileupload_sample/upload.php" -isNameRegex NOTREGEX -filetype image

使用 Citrix ADC GUI 配置文件上载安全保护

 1. 在导航窗格中,导航到安全 > Citrix Web App Firewall > 配置文件
 2. 配置文件页面中,单击添加
 3. Citrix Web App Firewall 配置文件页面中,单击“高级设置”下的“安全检查”。
 4. 在“安全检查”部分,选择“文件上载类型”,然后单击“操作设置”
 5. 在“文 件上载类型设置”页面中,设置文件上载操作。
 6. 单击确定
 7. Citrix Web App Firewall 配置文件 页面中,单击 确定完成

使用 Citrix ADC GUI 配置文件上载放宽规则

您可以放松文件上载安全保护以避免误报。例如,设备可能会阻止文件上载,但您可以添加放宽规则以允许从特定网站上载文件。这样,设备就会绕过对指定表单域的安全检查,并允许用户从操作 URL 中提到的网站上载文件。

注意:

如果未启用“文件上载类型重新评估规则”,文件上载验证将失败。

执行以下步骤创建放松规则。

 1. 在导航窗格中,导航到安全 > Citrix Web App Firewall > 配置文件
 2. 配置文件页面中,单击添加
 3. Citrix Web App Firewall 配置文件 页面中,单击 高级设置 下的 放宽规则
 4. 放宽规则 部分中,选择 文件上载类型 ,然后单击 编辑

  配置文件上载安全设置

 5. 在“文件上载类型重新调整规则”页中,单击“添加”。
 6. 在“文 件上载类型放宽规则”页面中,设置以下参数:

  1. 已启用 - 选择启用宽松规则。
  2. 是表单字段名正则表达式 - 选择更新表单字段名称的正则表达式模式。
  3. 表单字段名 - 输入不需要安全检查的文件名。
  4. 操作 URL - 必须免于安全检查的表单提交 URL。
  5. 文件类型-支持的可上载文件格式。
  6. 评论 - 关于文件上载的简要描述。
 7. 单击创建

  配置文件上载安全设置

 8. Citrix Web App Firewall 配置文件 页面中,单击 确定完成
文件上载保护