Web App Firewall 向导
与大多数向导不同,NetScaler Web App Firewall 向导不仅旨在简化初始配置过程,还旨在修改之前创建的配置并维护 Web App Firewall 设置。典型用户多次运行向导,每次都会跳过一些屏幕。
Web App Firewall 向导自动创建配置文件、策略和签名。
打开向导
要运行 Web App Firewall 向导,请打开 GUI 并按照以下步骤操作:
- 导航到 安全 > 应用程序防火墙。
- 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。
有关 GUI 的更多信息,请参阅 Web App Firewall 配置接口。
向导屏幕
Web App Firewall 向导在表格页面上显示以下屏幕:
1. 指定名称:在此屏幕上,创建新的安全配置时,为您的配置文件指定一个有意义的名称和相应的类型(HTML、XML 或 WEB 2.0)。默认策略和签名是使用相同的名称自动生成的。
配置文件名称
名称可以以字母、数字或下划线符号开头,可以由 1 到 31 个字母、数字和连字符 (-)、句点 (.) pound (#)、空格 ()、at (@)、等于 (=)、冒号 (:) 和下划线 (_) 符号组成。选择一个可以让其他人轻松分辨您的新安全配置保护哪些内容的名称。
注意:
由于向导在策略和配置文件中都使用此名称,因此限制为 31 个字符。手动创建的策略的名称长度可达 127 个字符。
修改现有配置时,选择修改现有配置,然后在名称下拉列表中选择要修改的现有配置的名称。
注意:
只有绑定到全局或绑定点的策略才会出现在此列表中;您无法使用应用程序防火墙向导修改未绑定的策略。您必须手动将其绑定到全局或绑定点,或者手动对其进行修改。(要手动修改,请在 GUI 中) 应用程序防火墙 > 策略 > 防火墙 窗格,选择策略并单击“打开”。
配置文件类型
您还可以在此屏幕上选择配置文件类型。配置文件类型决定了可以配置的高级保护(安全检查)的类型。由于某些类型的内容不易受到某些类型的安全威胁的影响,因此限制可用检查列表可以节省配置期间的时间。Web App Firewall 配置文件的类型为:
- Web 应用程序 (HTML)。任何不使用 XML 或 Web 2.0 技术的基于 HTML 的网站。
- XML 应用程序 (XML、SOAP)。任何基于 XML 的 Web 服务。
- Web 2.0 应用程序(HTML、XML、REST)。任何结合了基于 HTML 和 XML 的内容的 Web 2.0 站点,例如基于 Atom 的网站、博客、RSS 提要或维基。
注意: 如果您不确定您的网站上使用的是哪种类型的内容,则可以选择 Web 2.0 应用程序来确保保护所有类型的 Web 应用程序内容。
2. 指定规则:在此屏幕上,您可以指定定义当前配置检查的流量的策略规则(表达式)。如果您创建初始配置来保护您的网站和 Web 服务,则可以接受默认值 true,该值会选择所有 Web 流量。
如果您要检查此安全配置,而不是检查通过设备路由的所有 HTTP 流量,而是要检查特定流量,则可以编写策略规则,指定要检查的流量。规则以 NetScaler 表达式语言编写,这是一种功能齐全的面向对象编程语言。
注意: 除了默认表达式语法外,为了向后兼容,NetScaler 操作系统还支持 NetScaler Classic 和 nCore 设备及虚拟设备上的 NetScaler 经典表达式语法。NetScaler 群集设备和虚拟设备不支持传统表达式。要将现有配置迁移到 NetScaler 群集的当前用户必须将包含经典表达式的任何策略迁移到默认表达式语法。
- 有关使用 NetScaler 表达式语法创建 Web App Firewall 规则的简单说明以及有用的规则列表,请参阅 防火墙策略。
- 有关如何使用 NetScaler 表达式语法创建策略规则的详细说明,请参阅 策略和表达式。
4. 选择签名:在此屏幕上,选择要用于保护网站和 Web 服务的签名类别。
这不是强制性步骤,如果您愿意,可以跳过该步骤,然后转到“指定深度保护”屏幕。如果跳过“选择签名”屏幕,则仅创建配置文件和关联策略,而不会创建签名。
您可以选择“创建新签名”或“选择现有签名”。
如果您正在创建新的安全配置,则您选择的签名类别处于启用状态,默认情况下,它们会记录在新的签名对象中。分配给新签名对象的名称与您在“指定名称”屏幕上输入的名称与安全配置的名称相同。
如果您之前配置了签名对象,并且想要使用其中一个作为与正在创建的安全配置相关的签名对象,请单击“选择现有签 名”,然后从“签名”列表中选择一个签名对象。
如果您正在修改现有的安全配置,则可以单击“选择现有签名”,为安全配置分配不同的签名对象。
如果单击“创建新签名”,则可以选择“简单”或“高级”编辑模式。
- 指定签名保护(简单模式)
简单模式允许轻松配置签名,并预设了 IIS(互联网信息服务器)、PHP 和 ActiveX 等常见应用程序的保护定义列表。简单模式下的默认类别是:
-
CGI。保护使用任何语言的 CGI 脚本(包括 PERL 脚本、Unix shell 脚本和 Python 脚本)的网站免受攻击。
-
Cold Fusion。保护使用 Adobe Systems® ColdFusion® Web 开发平台的网站免受攻击。
-
FrontPage。保护使用 Microsoft® FrontPage® Web 开发平台的网站免受攻击。
-
PHP。防止使用 PHP 开源 Web 开发脚本语言的网站受到攻击。
-
客户端。防范用于访问受保护网站的客户端工具的攻击,例如 Microsoft Internet Explorer、Mozilla Firefox、Opera 浏览器和 Adobe Acrobat Reader。
-
Microsoft IIS。保护运行 Microsoft Internet Information Server (IIS) 的网站免受攻击
-
杂项。防范对其他服务器端工具(例如 Web 服务器和数据库服务器)的攻击。
在此屏幕上,您可以选择与您在“选择签名”屏幕上选择的签名类别相关的操作。您可以配置的操作是:
- 阻止
- 日志
- 统计信息
默认情况下,“记录”和“统计”操作处于启用状态,但不启用“阻止”操作。要配置操作,请单击“设置”。您可以使用操作下拉列表更改所有选定类别的 操作 设置。
- 指定签名保护(高级模式)
高级模式允许对签名定义进行更精细的控制,并提供更多的信息。如果希望完全控制签名定义,请使用高级模式。
此屏幕的内容与“修改签名对象”对话框的内容相同,如 配置或修改签名对象中所述。在此屏幕中,您可以通过单击操作下拉列表或 操 作菜单来配置操作,该菜单显示为带有三个点的圆圈。
7. 指定深度保护: 在此屏幕上,您可以选择要用来保护网站和 Web 服务的高级保护(也称为安全检查或简称检查)。可用的检查取决于您在“指定名称”屏幕上选择的配置文件类型。所有检查都可用于 Web 2.0 应用程序配置文件。
您可以为已启用的高级保护配置操作。您可以配置的操作包括:
- 阻止:阻止与签名匹配的连接。默认情况下禁用。
- 日志:记录与签名匹配的连接以供日后分析。默认已启用。
- 统计信息:维护每个签名的统计信息,这些统计信息显示其匹配了多少个连接,并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。
- 学习。观察访问该网站或网络服务的流量,并使用反复违反此检查的连接来生成检查的推荐例外情况或检查的新规则。仅适用于部分检查。有关学习功能的详细信息,请参阅 配置和使用学习功能,以及学习的工作原理以及如何配置例外(放宽)或为检查部署学习规则,请参阅 使用 GUI 手动配置。
若要配置操作,请通过单击复选框选中保护,然后单击 操作设置 以选择所需的操作。如果需要,选择其他参数,然后单 击确定 以关闭“操作设置”窗口。
要查看特定检查的所有日志,请选择该检查,然后单击 日志 以显示 Syslog 查看器,如 Web App Firewall 日志中所述。如果安全检查阻止了对受保护网站或 Web 服务的合法访问,则可以通过选择显示不需要的阻止的日志,然后单击 部署来创建和实施该安全检查的放宽。
指定完操作设置后,单击“完成”以完成向导。
以下是四个步骤,它们显示了如何使用 Web App Firewall 向导执行特定类型的配置。
创建新配置
按照以下步骤使用应用程序防火墙向导创建新的防火墙配置和签名对象。
-
导航到 安全 > 应用程序防火墙。
-
在详细信息窗格的“入门”下,单击“**应用程序防火墙”。将打开该向导。
-
在“指定名称”屏幕上,选择“**创建新配置”。
-
在“名称”字段中,键入名称,然后单击“下一步”。
-
在“指定规则”屏幕中,再次单击“下一步”。
-
在“选择签名”屏幕中,选择“创建新签名 和 简单”作为编辑模式,然后单击“下一步”。
-
在“指定签名保护”屏幕中,配置所需的设置。有关应考虑屏蔽哪些签名以及如何确定何时可以安全地为签名启用屏蔽功能的更多信息,请参阅 签名。
-
在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。
-
完成后,单击“完成”关闭“应用程序防火墙”向导。
修改现有配置
按照以下步骤修改现有配置和现有签名类别。
- 导航到 安全 > 应用程序防火墙。
- 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。
- 在“指定名称”屏幕上,选择“修改现有配置”,然后在“名称”下拉列表中选择您在新配置期间创建的安全配置,然后单击“下一步”。
- 在“指定规则”屏幕中,单击“下一步”以保持默认值“true”。“ 如果要修改规则,请按照 配置自定义策略表达式中描述的步骤进行操作。
- 在“选择签名”屏幕中,单击“选择现有签 名”。从“现有签名”下拉列表中,选择相应的选项,然后单击“下一步”。出现高级签名保护屏幕。 注意: 如果选择现有签名,则受签名保护的默认编辑模式为高级。
- 在“指定签名保护”屏幕中,配置所需的设置,然后单击“下一步”。 有关应考虑屏蔽哪些签名以及如何确定何时可以安全地为签名启用屏蔽功能的更多信息,请参阅 签名。
- 在“指定深度保护”屏幕中,配置设置,然后单击“下一步”。
- 完成后,单击“完成”关闭 Web App Firewall 向导。
创建不带签名的新配置
按照以下步骤使用“应用程序防火墙向导”跳过“选择签名”屏幕,创建仅包含配置文件和关联策略但不包含任何签名的新配置。
- 导航到 安全 > 应用程序防火墙。
- 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。将打开该向导。
- 在“指定名称”屏幕上,选择“创建新配置”。
- 在“名称”字段中,键入名称,然后单击“下一步”。
- 在“指定规则”屏幕中,再次单击“下一步”。
- 在“选择签名”屏幕中,单击“跳过”。
- 在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。
- 完成后,单击“完成”以关闭“应用程序防火墙向导”。
配置自定义策略表达式
按照以下步骤使用应用程序防火墙向导创建专门的安全配置,仅保护特定内容。在这种情况下,您可以创建新的安全配置,而不是修改初始配置。此类安全配置需要自定义规则,因此策略仅将配置应用于选定的 Web 流量。
- 导航到 安全 > 应用程序防火墙。
- 在详细信息窗格的“入门”下,单击“应用程序防火墙向导”。
- 在“指定名称”屏幕上,在“名称”文本框中键入新安全配置的名称,从“类型”下拉列表中选择安全配置的类型,然后单击“下一步”。
- 在“指定规则”屏幕上,输入仅匹配您希望此 Web 应用程序保护的内容的规则。使用 常用表达式 下拉列表和 表达式编辑器 创建自定义表达式。完成后,单击“下一步”。
- 在“选择签名”屏幕中,选择编辑模式,然后单击“下一步”。
- 在“指定签名保护”屏幕中,配置所需的设置。
- 在“**指定深度保护**”屏幕中,在“操作设置”中配置所需的操作和参数。
- 完成后,单击完成关闭应用程序防火墙向导。