ADC

使用命令行界面手动配置

注意:

如果您需要手动配置 Web App Firewall 功能,Citrix 建议您使用 NetScaler GUI 程序。

您可以从 NetScaler 命令界面配置 Web App Firewall 功能。但是,也有一些重要的例外。您无法从命令界面启用签名。七个类别中大约有 1,000 个默认签名,任务对于命令界面来说太复杂了。您可以通过命令行启用或禁用功能和配置参数,但不能配置手动放松。虽然您可以配置自适应学习功能并启用命令行学习,但您无法查看已学到的放松或学习的规则并批准或跳过它们。命令行界面适用于熟悉使用 NetScaler 设备和 Web App Firewall 的高级用户。

要使用 NetScaler 命令行手动配置 Web App Firewall,请使用您选择的 telnet 或安全 shell 客户端登录 NetScaler 命令行。

使用命令行界面创建配置文件

在命令提示符下,键入以下命令:

  • add appfw profile <name> [-defaults ( basic | advanced )]
  • set appfw profile <name> -type ( HTML | XML | HTML XML )
  • save ns config

示例

以下示例添加一个名为 pr-basic 的配置文件,其中包含基本默认值,并分配 HTML 的配置文件类型。这是用于保护 HTML 网站的配置文件的合适初始配置。

add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->

使用命令行界面配置配置文件

在命令提示符下,键入以下命令:

  • set appfw profile <name> <arg1> [<arg2> ...]其中<arg1> 表示一个参数,并<arg2> 表示另一个参数或要分配给由<arg1>。有关配置特定安全检查时要使用的参数的说明,请参阅 高级保护 及其子主题。有关其他参数的描述,请参阅“创建配置文件的参数”。“
  • save ns config

示例

以下示例说明如何配置使用基本默认值创建的 HTML 配置文件,以开始保护基于 HTML 的简单网站。此示例为大多数安全检查启用统计记录和维护功能,但仅对误报率低且不需要特殊配置的检查启用阻止。它还开启了不安全的 HTML 和不安全 SQL 的转换,这可以防止攻击,但不会阻止对您的网站的请求。启用日志记录和统计信息后,您可以稍后查看日志,以确定是否为特定安全检查启用阻止。

set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config
<!--NeedCopy-->

创建和配置策略

在命令提示符下,键入以下命令:

  • add appfw policy <name> <rule> <profile>
  • save ns config

示例

下面的示例添加了一个名为 pl-blog 的策略,其中包含拦截主机 blog.example.com 的所有流量的规则,并将该策略与配置文件 pr-blog 相关联。

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
<!--NeedCopy-->

绑定 Web App Firewall 策略

在命令提示符下,键入以下命令:

  • bind appfw global <policyName> <priority>
  • save ns config

示例

以下示例绑定名为 pl-blog 的策略并将其优先级分配为 10。

bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->

配置每个 PE 的会话限制

在命令提示符下,键入以下命令:

  • set appfw settings <session limit>

示例

以下示例配置每个 PE 的会话限制。

> set appfw settings -sessionLimit 500000`

Done

Default value:100000   Max value:500000 per PE
<!--NeedCopy-->
使用命令行界面手动配置