ADC

在 Azure 上部署 NetScaler Web App Firewall

NetScaler Web App Firewall 是一种企业级解决方案,为现代应用程序提供最先进的保护。NetScaler Web App Firewall 可缓解针对面向公众的资产(包括网站、Web 应用程序和 API)的威胁。NetScaler Web App Firewall 包括基于 IP 信誉的过滤、机器人缓解、OWASP 十大应用程序威胁防护、第 7 层 DDoS 防护等。还包括强制执行身份验证、强 SSL/TLS 密码、TLS 1.3、速率限制和重写策略的选项。NetScaler Web App Firewall 使用基本和高级 WAF 保护,以无与伦比的易用性为您的应用程序提供全面保护。启动和运行只需几分钟。此外,NetScaler Web App Firewall 使用一种称为动态分析的自动学习模型,为用户节省了宝贵的时间。通过自动学习受保护应用程序的工作原理,即使开发人员部署和更改应用程序,NetScaler Web App Firewall 也能适应应用程序。NetScaler Web App Firewall 有助于遵守所有主要的监管标准和机构,包括 PCI-DSS、HIPAA 等。借助我们的 CloudFormation 模板,快速启动和运行变得前所未有的简单。借助 auto Scaling,用户可以放心,他们的应用程序即使在流量增加时仍会受到保护。

NetScaler Web App Firewall 可以作为客户服务器和客户用户之间的第 3 层网络设备或第 2 层网络桥进行安装,通常安装在客户公司的路由器或防火墙后面。有关更多信息,请参阅 NetScaler Web App Firewall 简介

NetScaler Web App Firewall 部署策略

  1. 部署 Web Application Firewall 是为了评估哪些应用程序或特定数据需要最大限度的安全保护,哪些不那么容易受到攻击,以及哪些应用程序或特定数据可以安全地绕过安全检查。这有助于用户提出最佳配置,并设计适当的策略和绑定点来隔离流量。例如,用户可能希望将策略配置为绕过对静态 Web 内容(如图像、MP3 文件和电影)请求的安全检查,并配置另一个策略以对动态内容请求应用高级安全检查。用户可以使用多个策略和配置文件来保护同一应用程序的不同内容。

  2. 要确定部署基准,请创建虚拟服务器并通过它运行测试流量,以了解流经用户系统的流量的速率和流量。

  3. 部署 Web Application Firewall。使用 NetScaler 控制台和 Web Application Firewall 样书配置 Web Application Firewall。有关详细信息,请参阅本指南下方的“样书”部分。

  4. 实施 NetScaler Web App Firewall 和 OWASP 前十名。

Web Application Firewall 中的三种保护措施对常见类型的 Web 攻击特别有效,因此比其他任何一种都更常用。因此,它们应该在初始部署时实施。具体如下:

  • HTML 跨站点脚本编写:检查尝试访问或修改与脚本所在网站不同的网站上的内容的脚本的请求和响应。当此检查找到此类脚本时,它会在将请求或响应转发到其目标之前使脚本无害,或者阻止连接。

  • HTML SQL 注入:检查包含表单字段数据的请求,以确定是否尝试将 SQL 命令注入 SQL 数据库。当此检查检测到注入的 SQL 代码时,它会阻止请求或使注入的 SQL 代码无害,然后再将请求转发到 Web 服务器。

    注意:

    请确保正确配置您的 Web App Firewall,以便在您的配置中应用以下条件:

    >\*  如果用户启用了 HTML 跨站点脚本编写检查或 HTML SQL 注入检查(或两者兼而有之)。
    >
    >\*  受用户保护的网站接受文件上载或包含可能包含大量 POST 正文数据的 Web 表单。
    

有关配置 Web Application Firewall 以处理这种情况的详细信息,请参阅配置应用程序防火墙:配置 Web App Firewall

  • 缓冲区溢出:检查请求以检测是否有人企图在 Web 服务器上造成缓冲区溢出。

配置 Web Application Firewall

确保 NetScaler Web App Firewall 已启用并正常运行。我们建议您使用 Web Application Firewall 样书配置 NetScaler Web App Firewall。大多数用户认为它是配置 Web Application Firewall 的最简单方法,并且它旨在防止错误。GUI 和命令行界面均面向有经验的用户,主要用于修改现有配置或使用高级选项。

SQL 注入

NetScaler Web App Firewall HTML SQL 注入检查提供了特殊的防御措施,可防止注入可能破坏用户应用程序安全的未经授权的 SQL 代码。NetScaler Web App Firewall 在三个位置检查注入的 SQL 代码的请求负载:1) POST 正文、2) 标头和 3) Cookie。有关更多信息,请参阅 HTML SQL 注入检查

跨站点脚本编写

HTML 跨站点脚本编写(跨站点脚本编写)检查检查用户请求的标头和 POST 正文是否存在可能的跨站脚本编写攻击。如果发现跨站脚本,它要么修改(转换)请求以使攻击无害,要么阻止请求。有关更多信息,请参阅 HTML 跨站脚本编写检查

缓冲区溢出检查

缓冲区溢出检查检测试图导致 Web 服务器上的缓冲区溢出。如果 Web Application Firewall 检测到 URL、Cookie 或标头的长度超过配置的长度,则会阻止请求,因为这可能会导致缓冲区溢出。有关更多信息,请参阅缓冲区溢出检查

虚拟补丁/签名

特征码提供特定、可配置的规则,以简化保护用户 Web 站点免受已知攻击的任务。签名表示一种模式,该模式是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。一组丰富的预配置的内置规则或本机规则提供了易于使用的安全解决方案,利用模式匹配的强大功能来检测攻击并防范应用程序漏洞。有关详细信息,请参阅 签名

NetScaler Web App Firewall 支持自动和手动更新签名。 我们还建议启用签名 自动更新 以保持最新状态。

image-vpx-azure-appsecurity-deployment-05

这些签名文件托管在 AWS 环境中,允许从网络防火墙出站访问 NetScaler IP 地址以获取最新的签名文件非常重要。在处理实时流量时,向 NetScaler 更新签名不会产生任何影响。

应用程序安全分析

应用程序安全控制板提供用户应用程序安全状态的整体视图。例如,它显示了关键的安全指标,例如安全违规、签名违例和威胁索引。应用程序安全控制板还显示与攻击相关的信息,例如针对已发现的 NetScaler 的 syn 攻击、小窗口攻击和 DNS 洪水攻击。

注意:

要查看应用程序安全控制面板的指标,应在用户想要监视的 NetScaler 实例上启用 AppFlow for Security 洞察。

要在应用程序安全控制面板上查看 NetScaler 实例的安全指标,请执行以下操作:

  1. 使用管理员凭据登录 NetScaler 控制台。

  2. 导航到应用程序 > 应用程序安全控制面板,然后从设备列表中选择实例 IP 地址。

通过单击图表上绘制的气泡,用户可以进一步深入了解应用程序安全调查员报告的差异。

在 ADM 上集中学习

NetScaler Web App Firewall 保护用户 Web 应用程序免受 SQL 注入和跨站脚本编写 (XSS) 等恶意攻击。为了防止数据泄露并提供适当的安全保护,用户必须监视其流量中是否存在威胁,并实时监视攻击的可操作数据。有时,报告的攻击可能是误报,需要作为例外情况提供。

NetScaler 控制台上的集中学习是一种重复的模式过滤器,它使 WAF 能够学习用户 Web 应用程序的行为(正常活动)。根据监视,引擎会为应用于 HTTP 通信的每个安全检查生成建议的规则或例外列表。

使用学习引擎部署放松规则比在必要时手动部署放松规则要容易得多。

要部署学习功能,用户必须首先在用户 NetScaler 上配置 Web Application Firewall 配置文件(一组安全设置)。有关更多信息,请参阅创建 Web App Firewall 配置文件

NetScaler 控制台会为每项安全检查生成异常(放宽)列表。作为管理员,您可以查看 NetScaler 控制台中的例外列表,然后决定部署还是跳过。

使用 NetScaler 控制台中的 WAF 学习功能,您可以:

  • 使用以下安全检查配置学习档案。

    • 缓冲区溢出

    • HTML 跨站点脚本编写

      注意:

      跨站点脚本对位置的限制仅限于 FormField。

    • HTML SQL 注入

      注意:

      要进行 HTML SQL 注入检查,用户必须在 NetScaler 中配置 set -sqlinjectionTransformSpecialChars ONset -sqlinjectiontype sqlspclcharorkeywords

  • 在 NetScaler 控制台中查看放松规则,然后决定采取必要的措施(部署或跳过)。

  • 通过电子邮件、slack 和 ServiceNow 获取通知。

  • 使用控制板查看放松详情。

要在 NetScaler 控制台中使用 WAF 学习,请执行以下操作:

  1. 配置学习配置文件: 配置学习配置文件

  2. 查看放宽规则: 查看放宽规则和空闲规则

  3. 使用 WAF 学习控制面板: 查看 WAF 学习控制面板

样书

样书简化了为用户应用程序管理复杂 NetScaler 配置的任务。样书是用户可用于创建和管理 NetScaler 配置的模板。在这里,用户主要关心的是用于部署 Web Application Firewall 的样书。有关样书的更多信息,请参阅 样书

Security Insight 分析

面向 Internet 的 Web 和 Web 服务应用程序越来越易受攻击。为了保护应用程序免受攻击,用户需要了解过去、现在和即将发生的威胁的性质和程度、攻击的实时可操作数据以及对策建议。Security Insight 提供了一个单一窗格解决方案,可帮助用户评估用户应用程序的安全状态,并采取纠正措施来保护用户应用程序。 有关更多信息,请参阅 Security Insight。

获取有关安全漏洞的详细信息

用户可能希望查看对应用程序的攻击列表,并深入了解攻击的类型和严重性、ADC 实例采取的操作、请求的资源以及攻击的来源。

例如,用户可能想要确定阻止了多少对 Microsoft Lync 的攻击、请求了哪些资源以及源的 IP 地址。

在“Security Insight”控制板上,单击Lync > 违规总数。在表格中,单击“已采取的操作”列标题中的筛选器图标,然后选择“已阻止”。

image-vpx-azure-appsecurity-deployment-33

有关请求的资源的信息,请查看URL列。有关攻击来源的信息,请查看客户端 IP 列。

查看日志表达式详细信息

NetScaler 使用配置有应用程序防火墙配置文件的日志表达式来对用户企业中应用程序的攻击采取措施。在 Security Insight 中,用户可以查看 ADC 实例使用的日志表达式返回的值。这些值包括,请求标头、请求正文等。除了日志表达式值之外,用户还可以查看 ADC 实例用来对攻击采取措施的应用程序防火墙配置文件中定义的日志表达式名称和注释。

必备条件

确保用户:

  • 在应用程序防火墙配置文件中配置日志表达式。有关详细信息,请参阅应用程序防火墙。

  • 在 NetScaler 控制台中启用基于日志表达式的安全见解设置。请执行以下操作:

    • 导航到“分析”>“设置”,然后单击“启用分析功能”。

    • 在“启用分析功能”页面中,选择“基于日志表达式Security Insight 设置”部分下的“启用Security Insight”,然后单击“确定”。

image-vpx-azure-appsecurity-deployment-34

例如,您可能需要查看 ADC 实例返回的日志表达式的值,以了解其在用户企业中攻击 Microsoft Lync 时所采取的操作。

在“Secur ity Insight”控制板上,导航到Lync > 违规总数。在“应用程序摘要”表中,单击 URL 以在“违规信息”页面中查看违规的完整详细信息,包括日志表达式名称、注释以及 ADC 实例为操作返回的值。

image-vpx-azure-appsecurity-deployment-35

在部署配置之前确定安全指数。用户在 ADC 实例上部署安全配置后会发生安全漏洞,但用户可能希望在部署安全配置之前评估安全配置的有效性。

例如,用户可能想要评估 IP 地址为 10.102.60.27 的 ADC 实例上的 SAP 应用程序配置的安全指数。

在“Security Insight”控制面板的“设备”下,单击用户配置的 ADC 实例的 IP 地址。用户可以看到威胁指数和攻击总数均为 0。威胁指数直接反映了对应用程序的攻击次数和类型。攻击数为零表示应用程序没有面临任何威胁。

image-vpx-azure-appsecurity-deployment-36

单击Sap > 安全指数 > SAP_Profile,然后评估出现的安全指数信息。

image-vpx-azure-appsecurity-deployment-37

在应用程序防火墙摘要中,用户可以查看不同防护设置的配置状态。如果一个设置被设置为日志或如果一个设置未配置,则为应用程序分配较低的安全指数。

image-vpx-azure-appsecurity-deployment-38

安全违规

暴露在 Internet 上的 Web 应用程序已经变得非常容易受到攻击。NetScaler 控制台使您能够可视化可操作的违规细节,以保护应用程序免受攻击。

查看应用程序安全违规详细信息

暴露在 Internet 上的 Web 应用程序变得更加容易受到攻击。NetScaler 控制台使用户能够直观地查看可操作的违规细节,以保护应用免受攻击。导航到“安全”>“安全违规”以获得单一窗格解决方案,以:

  • 根据应用程序的类别(如网络BotWAF)访问应用程序安全违规

  • 采取纠正措施保护应用程序的安全

要在 NetScaler 控制台中查看安全违规行为,请确保:

  • 用户拥有 NetScaler 的高级许可证(用于违反 WAF 和 BOT)。

  • 用户已在负载平衡或内容切换虚拟服务器(适用于 WAF 和 BOT)上申请了许可证。有关更多信息,请参阅: 管理虚拟服务器上的许可

  • 用户可以启用更多设置。有关更多信息,请参阅 NetScaler 产品文档设置中“设置”部分中提供的步骤。

违规类别

NetScaler 控制台允许用户查看“所有违规行为”中可用的违规行为:

设置

对于违规行为,请确保指标收集器是否已启用。默认情况下,NetScaler 上的“指标收集器”处于启用状态。有关更多信息,请参阅:配置智能应用程序分析

启用高级安全分析

  • 导航到网络>实例>NetScaler,然后选择实例类型。例如,MPX。

  • 选择 NetScaler 实例,然后从选择操作列表中选择配置分析

  • 选择虚拟服务器,然后单击“启用分析”。

  • 在“启用分析”窗口中:

    • 选择 Web Insight。用户选择 Web Insight 后,只读的“高级安全分析”选项将自动启用。

    注意:

    只有高级许可 ADC 实例才会显示“高级安全分析”选项。

    • 选择 Logstream 作为传输模式

    • 默认情况下,表达式为 true

    • 单击“确定”

image-vpx-azure-appsecurity-deployment-39

启用 Web 事务设置

  • 导航到“分析”>“设置”

屏幕上将显示“设置”页面。

  • 单击“启用分析功能”。

  • 在“Web 事务设置”下,选择“全部”。

image-vpx-azure-appsecurity-deployment-40

  • 单击“确定”

安全违规控制板

在安全违例控制板中,用户可以查看:

  • 所有 NetScaler 和应用程序都发生了全部违规行为。根据选定的时间持续时间显示违规总数。

image-vpx-azure-appsecurity-deployment-41

  • 每个类别下的侵权行为总数。

image-vpx-azure-appsecurity-deployment-42

  • 受影响的 ADC 总数、受影响的应用程序总数以及基于总发生次数和受影响的应用程序的最大违规情况。

image-vpx-azure-appsecurity-deployment-43

有关违规详情的更多信息,请参阅所有违规

机器人洞察

在 NetScaler 中配置 BOT 洞察。有关更多信息,请参阅机器人

查看机器人

单击虚拟服务器以查看“应用程序摘要

image-vpx-azure-appsecurity-deployment-50

  1. 提供应用程序摘要的详细信息,例如:

    • 平均 RPS— 表示虚拟服务器上每秒收到的平均机器人事务请求 (RPS)。

    • 按严重性划分的机器人程序— 表示根据严重性发生的机器人事务次数最多。严重性根据严重进行分类。

    例如,如果虚拟服务器有 11770 个高严重性自动程序和 1550 个严重严重性自动程序,则 NetScaler 控制台在“按严重性排序的机器人”下显示“严重 1.55 K”。

    • 最大的机器人类别— 表示根据机器人类别发生的机器人攻击次数最多。

    例如,如果虚拟服务器有 8000 个已列入屏蔽名单的漫游器、5000 个允许的漫游器和 10000 个超出速率限制的自动程序,则 NetScaler 控制台在“最大机器人类别”下显示“速率限制已超过 10 K”。

    • 最大的地理来源 — 表示根据区域发生的机器人攻击次数最多。

    例如,如果虚拟服务器在圣塔克拉拉发生了 5000 次机器人攻击,在伦敦有 7000 次机器人攻击,在班加罗尔有 9000 次机器人攻击,则 NetScaler 控制台在“最大地理来源”下显示班加罗尔 9 K

    • 平均机器人流量百分比-表示人工机器人比率。
  2. 根据地图视图中的位置显示机器人攻击的严重程度

  3. 显示机器人攻击的类型(良好、坏和全部)

  4. 显示机器人攻击总数以及相应的配置操作。例如,如果您已配置:

    • IP 地址范围 (192.140.14.9 到 192.140.14.254) 作为阻止列表机器人,并选择删除作为这些 IP 地址范围的操作

    • IP 范围(192.140.15.4 到 192.140.15.254)作为阻止列表机器人,并选择创建日志消息作为这些 IP 范围的操作

      在这种情况下,NetScaler 控制台显示:

      • 区块列出的机器人总数

      • 掉落的机器人总数

      • 日志下的机器人总数

查看 CAPTCHA 机器人

在网页中,CAPTCHA 旨在识别传入流量是来自人类还是自动机器人。要在 NetScaler 控制台中查看 CAPTCHA 活动,用户必须在 NetScaler 控制台实例中将 CAPTCHA 配置为针对 IP 信誉和设备指纹检测技术的自动操作。有关更多信息,请参阅:配置机器人管理

以下是 NetScaler 控制台在 Bot Insight 中显示的 CAPTCHA 活动:

  • 超过 CAPTCHA 尝试次数— 表示登录失败后尝试 CAPTCHA 的最大次数

  • Captcha 客户端静音— 表示由于之前通过 CAPTCHA 质询将这些请求检测为恶意机器人而被丢弃或重定向的客户端请求数

  • 人类 — 表示人类用户输入的 CAPTCHA

  • 无效的 CAPTCHA 响应 - 表示当 NetScaler 发送 CAPTCHA 质询时,从机器人或人类收到的错误 CAPTCHA 响应的数量

image-vpx-azure-appsecurity-deployment-51

查看机器人陷阱

要在 NetScaler 控制台中查看机器人陷阱,必须在 NetScaler 中配置爬虫陷阱。有关更多信息,请参阅:配置机器人管理

image-vpx-azure-appsecurity-deployment-52

为了识别机器人陷阱,在网页中启用了一个脚本,该脚本对人类隐藏,但对机器人却不隐藏。当机器人访问该脚本时,NetScaler 控制台会识别并报告机器人陷阱。

单击虚拟服务器,然后选择“零像素请求

image-vpx-azure-appsecurity-deployment-53

查看机器人详细信息

有关更多详细信息,请单击机器人类别下的机器人攻击类型。

将显示所选 CAPTCHA 类别的攻击时间和机器人攻击总数等详细信息。

image-vpx-azure-appsecurity-deployment-54

用户还可以拖动条形图以选择要显示的机器人攻击的特定时间范围。

image-vpx-azure-appsecurity-deployment-55

要获取机器人攻击的其他信息,请单击以展开。

image-vpx-azure-appsecurity-deployment-56

  • 实例 IP —指示 NetScaler 实例 IP 地址。

  • 机器人总数 - 表示该特定时间内发生的机器人攻击总数。

  • HTTP 请求 URL - 表示为 CAPTCHA 报告配置的 URL。

  • 国家/地区代码 - 表示机器人攻击发生的国家/地区。

  • 区域 - 表示机器人攻击发生的地区。

  • 配置文件名称 - 表示用户在配置期间提供的配置文件名称。

高级搜索

用户还可以使用搜索文本框和持续时间列表,他们可以在其中根据用户要求查看机器人详细信息。当用户单击搜索框时,搜索框会为他们提供以下搜索建议列表。

  • 实例 IP — NetScaler 实例 IP 地址。

  • 客户端 IP -客户端 IP 地址。

  • 机器人类型 — 机器人类型,例如“好”或“坏”。

  • 严重性 - 机器人攻击的严重程度。

  • 已执行的操作 — 机器人攻击后采取的操作,例如丢弃、无操作、重定向。

  • 机器人类别 — 机器人攻击的类别,例如屏蔽列表、允许列表、指纹。根据类别,用户可以将机器人操作与其相关联。

  • 机器人检测— 用户在 NetScaler 上配置的机器人检测类型(阻止列表、允许列表等)。

  • 地点— 机器人攻击发生的地区/国家

  • 请求 URL— 可能受到机器人攻击的 URL

用户还可以在用户搜索查询中使用运算符来缩小用户搜索的焦点。例如,如果用户想要查看所有不良机器人:

  • 单击搜索框并选择Bot-Type

  • 再次单击搜索框并选择运算符 =

  • 再次单击搜索框并选择 Bad

  • 单击“搜索”以显示结果

image-vpx-azure-appsecurity-deployment-57

请求率异常高

用户可以控制来自或流向应用程序的传入和传出流量。机器人攻击可以执行异常高的请求速率。例如,如果用户将应用程序配置为每分钟允许 100 个请求,如果用户观察到 350 个请求,则可能是机器人攻击。

使用异常高的请求速率指示器,用户可以分析应用程序收到的异常请求速率。

image-vpx-azure-appsecurity-deployment-65

在“活动详情”下,用户可以查看:

  • 受影响的应用程序。如果两个或多个应用程序受到违规影响,用户也可以从列表中选择应用程序。

  • 指示所有违规的图形

  • 违规发生时间

  • 违规检测消息,指明收到的请求总数和收到的超出预期请求数的百分比

  • 可接受的预期请求速率范围来自应用程序

机器人检测

NetScaler 机器人管理系统使用各种技术来检测传入的机器人流量。这些技术用作检测规则来检测机器人类型。

使用 GUI 配置机器人管理

用户可以通过首先在设备上启用 NetScaler 机器人管理功能来配置 NetScaler 机器人管理。有关更多信息,请参阅 机器人检测

IP 信誉

IP 信誉是一种识别发送不需要的请求的 IP 地址的工具。使用 IP 信誉列表,您可以拒绝来自信誉不佳的 IP 地址的请求。

使用 GUI 配置 IP 信誉

此配置是机器人 IP 信誉功能的先决条件。有关更多信息,请参阅 IP 信誉

自动更新机器人签名

机器人静态签名技术使用签名查找表,其中包含好的机器人和坏机器人的列表。有关更多信息,请参阅签名自动更新

NetScaler Web App Firewall 和 OWASP 前十名 — 2021

开放网络应用程序安全项目 (OWAP) 发布了 OWASP 2021 年网络应用程序安全十大排行榜。此列表记录了最常见的 Web 应用程序漏洞,是评估 Web 安全性的一个很好的起点。本节介绍如何配置 NetScaler Web App Firewall 以缓解这些缺陷。WAF 作为集成模块在 NetScaler(高级版)和全系列设备中提供。

完整的 OWASP 十大文档可在 OWASP 十大文章中找到。

OWASP 2021 前十名 NetScaler Web App Firewall 功能
A1:2021 访问控制失效 AAA、NetScaler AAA 模块中的授权安全功能、表单保护和 cookie 篡改保护、StartURL 和 ClosureURL
A2:2021 - 加密失败 信用卡保护、安全商务、Cookie 代理和 Cookie 加密
A3:2021 - 注入 注入攻击防护(SQL 或任何其他自定义注入,例如操作系统命令注入、XPath 注入和 LDAP 注入)、自动更新签名功能
A5:2021 安全配置错误 这种保护包括 WSI 检查、XML 消息验证和 XML SOAP 故障过滤检查
A6:2021 - 漏洞和过时的组件 漏洞扫描报告、应用程序防火墙模板和自定义特征码
A7:2021 - 识别和身份验证失败 AAA、Cookie 篡改保护、Cookie 代理、Cookie 加密、CSRF 标记、使用 SSL
A8:2021 — 软件和数据完整性故障 XML 安全检查、GWT 内容类型、自定义签名、适用于 JSON 的 Xpath 和 XML
A9:2021 — 安全日志和监视失败 用户可配置的自定义日志、 管理和分析系统

A1:2021 访问控制失效

对允许经过身份验证的用户执行的操作的限制通常没有得到正确执行。攻击者可以利用这些漏洞访问未经授权的功能和数据,例如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限。

NetScaler Web App Firewall 保护

  • 支持对所有应用程序流量进行身份验证、授权和审核的 AAA 功能允许站点管理员通过 ADC 设备管理访问控制。

  • ADC 设备的 AAA 模块中的授权安全功能使设备能够验证应允许每个用户访问受保护服务器上的哪些内容。

  • 表单域一致性:如果对象引用作为隐藏字段存储在表单中,则使用表单域一致性可以验证这些字段在后续请求中未被篡改。

  • Cookie 代理和 Cookie 一致性:存储在 Cookie 值中的对象引用可以通过这些保护措施进行验证。

  • 使用 URL 关闭启动 URL 检查:允许用户访问预定义的 URL 允许列表。URL 封闭会构建用户会话期间在有效响应中看到的所有 URL 的列表,并自动允许在该会话期间访问它们。

A2:2021 - 加密失败

许多 Web 应用程序和 API 无法正确保护敏感数据,例如金融、医疗保健和 PII。攻击者可能会窃取或修改此类保护不善的数据,以进行信用卡欺诈、身份盗用或其他犯罪。敏感数据可能在没有额外保护的情况下遭到破坏,例如静态或传输中的加密,并且在与浏览器交换时需要采取特殊的预防措施。

NetScaler Web App Firewall 保护

  • Web Application Firewall 可防止应用程序泄露信用卡详细信息等敏感数据。

  • 在安全商务保护中,可以将敏感数据配置为安全对象,以避免泄露。

  • Cookie 中的任何敏感数据都可以通过 Cookie 代理和 Cookie 加密进行保护。

A3:2021 - 注入

当不受信任的数据作为命令或查询的一部分发送到解释器时,就会出现注入缺陷,例如 SQL、NoSQL、OS 和 LDAP 注入。攻击者的恶意数据可以诱骗解释器在未经适当授权的情况下运行意想不到的命令或访问数据。

每当应用程序在未进行适当验证或转义的情况下将不受信任的数据包含在新网页中,或者使用可以创建 HTML 或 JavaScript 的浏览器 API 使用用户提供的数据更新现有网页时,就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中运行脚本,这些脚本可以劫持用户会话、污损网站或将用户重定向到恶意网站。

NetScaler Web App Firewall 保护

  • SQL 注入防护功能可防止常见的注入攻击。可以上载自定义注入模式以防范任何类型的注入攻击,包括 XPath 和 LDAP。这适用于 HTML 和 XML 有效负载。

  • 自动更新签名功能使注射签名保持最新。

  • 字段格式保护功能允许管理员将任何用户参数限制为正则表达式。例如,您可以强制要求邮政编码字段仅包含整数,甚至包含 5 位整数。

  • 表单字段一致性会根据用户会话表单签名验证每个提交的用户表单,以确保所有表单元素的有效性。

  • 缓冲区溢出检查可确保 URL、标头和 Cookie 处于正确的限制范围内,阻止任何注入大型脚本或代码的尝试。

  • XSS 保护可抵御常见的 XSS 攻击。可以上载自定义 XSS 模式以修改允许的标签和属性的默认列表。ADC WAF 使用允许的 HTML 属性和标记的白名单来检测 XSS 攻击。这适用于 HTML 和 XML 有效负载。

  • ADC WAF 会阻止 OWASP XSS 过滤器评估备忘单中列出的所有攻击。

  • 字段格式检查可防止攻击者发送不当的 Web 表单数据,这可能是潜在的 XSS 攻击。

  • 表单域一致性。

A5:2021 - 安全配置错误

安全配置错误是最常见的问题。这通常是由于不安全的默认配置、不完整或即兴配置、开放的云存储、错误配置的 HTTP 标头以及包含敏感信息的冗长错误消息所致。不仅必须安全地配置所有操作系统、框架、库和应用程序,而且还必须及时修补和升级。

许多较旧或配置不佳的 XML 处理器会评估 XML 文档中的外部实体引用。外部实体可用于通过文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击来泄露内部文件。

NetScaler Web App Firewall 保护

  • 应用程序防火墙生成的 PCI-DSS 报告记录了防火墙设备上的安全设置。

  • 来自扫描工具的报告将转换为 ADC WAF 签名,以处理安全配置错误。

  • NetScaler Web App Firewall Web Application Firewall 支持 Cenzic、IBM AppScan(Enterprise 和 Standard)、Qualys、TrendMicro、WhiteHat 和自定义漏洞扫描报告。

  • 除了检测和阻止可用于攻击基于 XML 的应用程序的常见应用程序威胁(即跨站点脚本编写、命令注入等)之外。

  • NetScaler Web App Firewall Web Application Firewall 包括一套丰富的 XML 专用安全保护。其中包括用于彻底验证 SOAP 消息和 XML 有效负载的架构验证,以及用于阻止包含恶意可执行文件或病毒的附件的强大 XML 附件检查。

  • 自动流量检查方法可阻止针对旨在获取访问权限的 URL 和表单的 XPath 注入攻击。

  • NetScaler Web App Firewall Web Application Firewall 还可以阻止各种 DoS 攻击,包括外部实体引用、递归扩展、过度嵌套以及包含长或多属性和元素的恶意消息。

A6:2021 - 易受攻击和过时的组件

组件(如库、框架和其他软件模块)的运行权限与应用程序相同。如果有漏洞的组件被利用,此类攻击可能会导致严重的数据丢失或服务器接管。使用具有已知漏洞的组件的应用程序和 API 可能会破坏应用程序防御并引发各种攻击和影响。

NetScaler Web App Firewall 保护

  • 我们建议更新第三方组件。

  • 转换为 ADC 签名的漏洞扫描报告可用于虚拟修补这些组件。

  • 可以使用可用于这些易受攻击的组件的应用程序防火墙模板。

  • 可以将自定义签名与防火墙绑定以保护这些组件。

A7:2021 — 身份验证失效

与身份验证和会话管理相关的应用程序功能的实现往往不正确,使得攻击者能够泄露密码、密钥或会话令牌,或者利用其他实现缺陷来临时或永久假设其他用户的身份。

NetScaler Web App Firewall 保护

  • NetScaler AAA 模块执行用户身份验证,并为后端应用程序提供单点登录功能。它已集成到 NetScaler AppExpert 策略引擎中,以允许基于用户和组信息的自定义策略。

  • 使用 SSL 卸载和 URL 转换功能,防火墙还可以帮助站点使用安全的传输层协议,以防止网络嗅探窃取会话令牌。

  • 可以使用 Cookie 代理和 Cookie 加密来完全防止 Cookie 窃取。

A8:2021 - 软件和数据完整性故障

不安全的反序列化通常会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,它们也可能被用来执行攻击,包括重播攻击、注入攻击和权限升级攻击。

NetScaler Web App Firewall 保护

  • 使用自定义签名进行 JSON 有效负载检查。

  • XML 安全:防御 XML 拒绝服务 (xDoS)、XML SQL 和 Xpath 注入以及跨站脚本编写、格式检查、WS-I 基本配置文件合规性、XML 附件检查。

  • 可以使用字段格式检查以及 Cookie 一致性和字段一致性。

A9:2021 - 安全日志和监视失败

日志记录和监视不足,再加上缺少与事件响应的集成或集成效率低下,使攻击者能够进一步攻击系统、保持持久性、转向更多系统以及篡改、提取或销毁数据。大多数违规研究表明,检测漏洞的时间超过 200 天,通常由外部方检测到,而不是内部流程或监视。

NetScaler Web App Firewall 保护

  • 为安全检查或签名启用日志操作后,生成的日志消息将提供有关应用程序防火墙在保护您的网站和应用程序时观察到的请求和响应的信息。

  • 应用程序防火墙提供了使用内置的 ADC 数据库来识别与恶意请求来源的 IP 地址相对应的位置的便利。

  • 默认格式 (PI) 表达式允许灵活地自定义日志中包含的信息,并可以选择在应用程序防火墙生成的日志消息中添加要捕获的特定数据。

  • 应用程序防火墙支持 CEF 日志。

引用