ADC

签名

Web App Firewall 签名提供特定的、可配置的规则,以简化保护您的网站免受已知攻击的任务。签名表示一种模式,该模式是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。一组丰富的预配置 Web App Firewall 内置或原生规则提供了一种易于使用的安全解决方案,利用模式匹配的强大功能来检测攻击并防范应用程序漏洞。

您可以创建自己的签名或在内置模板中使用签名。Web App Firewall 有两个内置模板:

  • 默认签名:此模板包含 1,300 多个签名的预配置列表,此外还包含 SQL 注入关键字、SQL 特殊字符串、SQL 转换规则和 SQL 通配符的完整列表。它还包含用于跨站点脚本的拒绝模式,以及用于跨站点脚本的允许属性和标签。这是一个只读模板。您可以查看内容,但不能在此模板中添加、编辑或删除任何内容。要使用它,您必须复制。在您自己的副本中,您可以启用要应用于流量的签名规则,并指定签名规则与流量匹配时要执行的操作。

Web App Firewall 签名源于 Snort发布的规则,该规则是一种开源入侵防御系统,能够执行实时流量分析以检测各种攻击和探测器。

  • *Xpath 注入模式:此模板包含一组预先配置的文字和 PCRE 关键字以及用于检测 XPath(XML 路径语言)注入攻击的特殊字符串。

空白签名:除了复制内置的*默认签名模板外,您还可以使用空白签名模板来创建签名对象。您使用空白签名选项创建的签名对象没有任何原生签名规则,但是,就像*Default 模板一样,它具有所有 SQL/跨站点脚本内置实体。

外部格式签名:Web App Firewall 还支持外部格式签名。您可以使用 NetScaler Web App Firewall 支持的 XSLT 文件导入第三方扫描报告。一组内置 XSLT 文件可用于以下扫描工具,用于将外部格式文件转换为本机格式:

  • Cenzic
  • Web 应用程序的深度安全
  • IBM AppScan Enterprise
  • IBM AppScan 标准。
  • Qualys
  • Qualys Cloud
  • Whitehat
  • Hewlett Packard Enterprise WebInspect
  • Rapid7 Appspider
  • Acunetix

为您的应用程序提供安全保护

更严格的安全性会增加处理开销。签名提供以下部署选项,可帮助您优化对应用程序的保护:

  • 负面安全模型:使用负面安全模型,您可以使用一组丰富的预配置签名规则来应用模式匹配的强大功能来检测攻击并防范应用程序漏洞。您只阻止您不想要的东西,然后允许其余的。您可以根据应用程序的特定安全需求添加自己的签名规则,以设计自己的自定义安全解决方案。

  • 混合安全模型:除了使用签名外,您还可以使用积极安全检查来创建非常适合您的应用程序的配置。使用签名屏蔽您不想要的内容,并使用积极的安全检查来强制执行允许的内容。

要使用签名保护应用程序,必须配置一个或多个配置文件以使用签名对象。在混合安全配置中,签名对象中的 SQL 注入和跨站点脚本模式以及 SQL 转换规则不仅由签名规则使用,还会被使用签名对象的 Web App Firewall 配置文件中配置的积极安全检查使用。

Web App Firewall 会检查流向您的受保护网站和 Web 服务的流量,以检测与签名相匹配的流量。仅当规则中的每个模式与流量匹配时,才会触发匹配。发生匹配时,将调用规则的指定操作。当请求被阻止时,您可以显示错误页面或错误对象。日志消息可以帮助您识别正在对应用程序发起的攻击。如果您启用统计信息,Web App Firewall 会保留与 Web App Firewall 签名或安全检查相匹配的请求的数据。

如果流量同时匹配签名和正面安全检查,则强制执行这两个操作中的限制性更强。例如,如果请求与禁用阻止操作的签名规则匹配,但请求也匹配该操作被阻止的 SQL 注入正面安全检查,则请求将被阻止。在这种情况下,尽管 SQL 注入检查阻止了请求,但签名违规可能会被记录为 <not blocked>

自定义:如有必要,您可以向签名对象添加自己的规则。您还可以自定义 SQL/跨站点脚本模式。根据应用程序的特定安全需求,选择添加自己的签名规则,使您可以灵活地设计自己的自定义安全解决方案。您只阻止您不想要的东西,然后允许其余的。指定位置的特定快速匹配模式可以显著降低处理开销,从而优化性能。您可以添加、修改或删除 SQL 注入和跨站点脚本模式。内置的 RegEx 和表达式编辑器可帮助您配置模式并验证其准确性。

自动更新:您可以手动更新签名对象以获取最新的签名规则,也可以应用自动更新功能,以便 Web App Firewall 可以自动更新来自基于云的 Web App Firewall 更新服务的签名。

注意:

如果在自动更新期间添加了新的签名规则,则默认情况下它们处于禁用状态。您必须定期查看更新的签名并启用与保护应用程序相关的新添加规则。

必须将 CORS 配置为在 IIS 服务器上托管签名。

当您从 NetScaler GUI 访问 URL 时,签名自动更新功能在本地 Web 服务器上不起作用。

入门

使用 Citrix 签名保护您的应用程序很简单,只需几个简单的步骤即可完成:

  1. 添加签名对象。
  • 您可以使用向导提示您创建整个 Web App Firewall 配置,包括添加配置文件和策略、选择和启用签名以及为签名和积极安全检查指定操作。签名对象是自动创建的。
  • 您可以从*Default Signatures 模板创建签名对象的副本,使用空白模板使用您自己的自定义规则创建签名,或者添加外部格式签名。启用规则并配置要应用的操作。
  1. 将目标 Web App Firewall 配置文件配置为使用此签名对象。

  2. 发送流量以验证功能

重要内容

  • 默认签名对象是一个模板。无法对其进行编辑或删除。要使用它,您必须创建一个副本。在您自己的副本中,您可以根据应用程序的需要为每条规则启用规则和所需的操作。要保护应用程序,必须将目标配置文件配置为使用此签名。
  • 处理签名模式会产生开销。尝试仅启用那些适用于保护应用程序的签名,而不是启用所有签名规则。
  • 规则中的每个模式都必须匹配才能触发签名匹配。
  • 您可以添加自己的自定义规则来检查传入的请求以检测各种类型的攻击,例如 SQL 注入或跨站脚本攻击。您还可以添加规则来检查响应,以检测和阻止信用卡号等敏感信息的泄露。
  • 您可以创建现有签名对象的副本,然后通过添加或编辑规则和 SQL/跨站点脚本模式对其进行调整,以保护其他应用程序。
  • 您可以使用自动更新来下载最新版本的 Web App Firewall 默认规则,无需持续监视以检查新更新的可用性。
  • 一个签名对象可以由多个配置文件使用。即使将一个或多个配置文件配置为使用签名对象,您仍然可以启用或禁用签名或更改操作设置。您可以手动创建和修改自己的自定义签名规则。这些更改适用于当前配置为使用此签名对象的所有配置文件。
  • 您可以配置签名以检测各种类型的有效负载中的违规行为,例如 HTML、XML、JSON 和 GWT。
  • 您可以导出已配置的签名对象并将其导入到另一台 NetScaler 设备,以便轻松复制您的自定义签名规则。

签名是与已知漏洞相关的模式。您可以使用签名保护来识别试图利用这些漏洞的流量,并采取特定措施。

签名分为几类。您可以通过仅启用适合于保护应用程序的类别中的规则来优化性能并降低处理开销。

签名