Security Insight
面向 Internet 的 Web 和 Web 服务应用程序越来越易受攻击。为了保护应用程序不受攻击,需要了解过去、现在及将来的威胁的本质和范围、有关攻击的实时可操作数据以及有关防范措施的建议。Security Insight 提供单窗格解决方案来帮助您评估应用程序安全状态,并采取更正措施来保护应用程序的安全。
注意
NetScaler ADM 支持 Security Insight,所有 ADC 设备都在版本 11.0 Build 65.31 及更高版本上运行。
安全洞察的工作原理
Security Insight 是基于控制板的直观安全分析解决方案,让您可以完全了解与应用程序关联的威胁环境。NetScaler ADM 中包含安全洞察,它会根据您的应用程序防火墙和 ADC 系统安全配置定期生成报告。报告包含每个应用程序的以下信息:
-
威胁指数。一个位数评级系统,用于指示应用程序受到攻击的严重程度,无论应用程序是否受 ADC 设备的保护。应用程序上的攻击越严重,该应用程序的威胁指数越高。值的范围是 1 到 7。
威胁指数基于攻击信息。攻击相关的信息(例如,违反类型、攻击类别、位置和客户端详细信息)让您可以了解应用程序上的攻击。只有在发生违规或攻击时,才会向 NetScaler ADM 发送违规信息。许多漏洞和漏洞导致了高威胁指数值。
-
安全指数。一个个位数的评级系统,用于表明您配置 ADC 实例以保护应用程序免受外部威胁和漏洞的安全程度。应用程序的安全风险越低,安全指数越高。值的范围是 1 到 7。
安全指数考虑了应用程序防火墙配置和 ADC 系统安全配置。为了获得较高的安全指数值,两个配置都必须强健。例如,如果进行了严格的应用程序防火墙检查,但尚未采用 ADC 系统安全措施,例如
nsroot用户的强密码,则应用程序将被分配一个较低的安全指数值。 -
可操作的信息。降低威胁指数和提高安全指数所需的信息,从而显著提高了应用程序的安全性。例如,您可以查看有关违规、应用程序防火墙和其他安全功能的现有和缺失的安全配置以及应用程序受到攻击的速率的信息。
配置安全洞察
注意
具有高级许可证的 ADC 实例或仅使用 AppFirewall 许可证的 ADC 高级实例支持安全见解。
要配置 ADC 实例的安全洞察,请首先配置应用程序防火墙配置文件和应用程序防火墙策略,然后全局绑定应用程序防火墙策略。
之后启用 AppFlow 功能、配置 AppFlow 收集器、操作和策略以及全局绑定策略。配置收集器时,必须指定要监视报告的 NetScaler ADM 代理的 IP 地址。
在 ADC 实例上配置安全洞察
-
运行以下命令来配置应用程序防火墙配置文件和策略,并全局绑定应用程序防火墙策略,或将应用程序防火墙策略绑定到负载平衡虚拟服务器。
**add appfw profile** \<name\> \[**-defaults** ( basic or advanced )\] **set appfw profile** \<name\> \[**-startURLAction** \<startURLAction\> ...\] **add appfw policy** \<name\> \<rule\> \<profileName\> **bind appfw global** \<policyName\> \<priority\> or, **bind lb vserver** \<lb vserver\> **-policyName** \<policy\> **-priority** \<priority\>示例:
``` add appfw profile pr_appfw -defaults advanced set appfw profile pr_appfw -startURLaction log stats learn add appfw policy pr_appfw_pol "HTTP.REQ.HEADER(\"Host\").EXISTS" pr_appfw bind appfw global pr_appfw_pol 1 or, bind lb vserver outlook –policyName pr_appfw_pol –priority "20" <!--NeedCopy--> ``` -
运行以下命令来启用 AppFlow 功能、配置 AppFlow 收集器、操作及策略,并全局绑定策略,或将策略绑定到负载平衡虚拟服务器:
**add appflow collector** \<name\> **-IPAddress** \<ipaddress\> **set appflow param** \[**-SecurityInsightRecordInterval** \<secs\>\] \[**-SecurityInsightTraffic** ( ENABLED or DISABLED )\] **add appflow action** \<name\> **-collectors** \<string\> **add appflow policy** \<name\> \<rule\> \<action\> **bind appflow global** \<policyName\> \<priority\> \[\<gotoPriorityExpression\>\] \[**-type** \<type\>\] or, **bind lb vserver** \<vserver\> **-policyName** \<policy\> **-priority** \<priority\>示例:
``` add appflow collector col -IPAddress 10.102.63.85 set appflow param -SecurityInsightRecordInterval 600 -SecurityInsightTraffic ENABLED add appflow action act1 -collectors col add appflow action af_action_Sap_10.102.63.85 -collectors col add appflow policy pol1 true act1 add appflow policy af_policy_Sap_10.102.63.85 true af_action_Sap_10.102.63.85 bind appflow global pol1 1 END -type REQ_DEFAULT or, bind lb vserver Sap –policyName af_action_Sap_10.102.63.85 –priority "20" <!--NeedCopy--> ```
启用 NetScaler ADM 的安全洞察
-
导航到 基础结构 > 实例 > NetScaler 并选择实例类型。例如,VPX。
-
选择实例,然后从“选择操作”列表中选择“配置分析”。
-
在“在 虚拟服务器上配置分析”窗口中:
-
选择要启用安全洞察的虚拟服务器,然后单击“启用分析”。
此时将显示启用分析窗口。
-
选择 WAF 安全违规
- 在“高级选项”下,选择 Logstream 或 IPFIX 作为传输模式
注意
对于 NetScaler 12.0 或更低版本, IPFIX 是传输模式的默认选项。对于 NetScaler 12.0 或更高版本,您可以选择日志流或 IPFIX 作为传输模式。
有关 IPFIX 和 Logstream 的更多信息,请参阅日志流概述。
-
默认情况下,表达式为 true
-
单击 OK(确定)
注意
-
如果您选择未获得许可的虚拟服务器,则 NetScaler ADM 将首先许可这些虚拟服务器,然后启用分析
-
对于管理分区,仅支持 Web Insight
-
-
单击 确定”后,NetScaler ADM 将处理在所选虚拟服务器上启用分析。
注意:
创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。NetScaler ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和向组分配用户的更多信息,请参阅 在 NetScaler ADM 上配置组。
为安全洞察报告配置地理位置
如果您在 NetScaler ADM 中配置地理位置,则安全智能分析报告将包括客户端请求源自的确切地理位置。要启用地理位置,请指定您组织中每个地理位置的专用 IP 块或 IP 地址范围。在地理数据库文件中添加该信息,以及每个位置的城市/省/自治区/国家/地区名称以及纬度和经度坐标。请联系您的 NetScaler 代表获取地理数据库文件,然后将该文件上载到 ADC 实例。
要配置地理位置,请执行以下操作:
-
将地理数据库文件 Citrix_Netscaler_InBuilt_GeoIP_DB.csv 复制到 ADC 设备上的任何位置。
-
使用文本编辑器(例如 vi 编辑器)打开地理数据库文件,并为您组织中每个位置添加一个条目。
该条目必须采用以下格式:
<start IP\>,<end IP\>,,<country\>,<state\>,,<city\>,,longitude,latitude例如,
4.17.142.224,4.17.142.239,,US,New York,,Harrison,,73.7304,41.0568 -
运行以下命令以启用地理位置日志记录及采用 CEF 格式的日志记录:
- add locationFile <DB 文件的完整路径>
- set appfw settings -geoLocationLogging ON
- set appfw settings -CEFLogging ON
IP 信誉
您可以使用 NetScaler Insight Center 监视和管理传入流量的 IP 信誉。可以配置策略以将更多 IP 添加为恶意 IP,并创建自定义的阻止列表。
要了解如何配置和使用 IP 信誉,请参阅 IP 信誉。
监视 IP 信誉
IP 信誉功能提供有关恶意 IP 地址的攻击相关信息。例如,它报告有关客户端 IP 地址的 IP 信誉得分、IP 信誉类别、IP 信誉攻击时间、设备 IP 及详细信息。
IP 信誉评分表示与 IP 地址相关的风险。得分有以下范围:
| IP 信誉得分 | 风险级别 |
|---|---|
| 1–20 | 高风险 |
| 21–40 | 可疑 |
| 41–60 | 中等风险 |
| 61–80 | 低风险 |
| 81–100 | 可信 |
要监视 IP 信誉,请执行以下操作:
-
导航到“安全”>“安全违规”,然后在 WAF下选择要监视的应用程序。
-
将显示 威胁指 数和 安全指数得分 。单击 查看详细信息。
-
在应用程序防火墙配置下,您可以查看 IP 信誉安全指数得分。
阈值
您可以设置应用程序的安全指数和威胁指数的阈值,以及在 Security Insight 中查看这些阈值。
要设置阈值,请执行以下操作:
-
导航到 设置 > 分析设置 > 阈值,然后选择 添加。
-
在“流量类型”字段中选择流量类型为“安全”,然后在其他相应字段(例如“名称”、“持续时间”和“实体”)中输入所需信息。
-
在“规则”部分中,使用“指标”、“比较器”和“值”字段设置阈值。
例如,“Threat Index”(威胁指数)“>”“5”
-
单击创建。
安全洞察使用案例
以下用例说明了如何使用 Security Insight 来评估应用程序面临的威胁以及改进安全措施。
获取威胁环境的概述
在此使用案例中,您有一组可能遭受攻击的应用程序,并且您已将 NetScaler ADM 配置为监视威胁环境。您必须查看威胁指数、安全指数以及应用程序可能遇到的任何攻击的类型和严重性,才能首先关注关键应用程序。安全见解控制板提供了应用程序在您选择的一段时间内所遇到的威胁以及所选 ADC 器件的摘要。它显示应用程序列表、它们的威胁指数和安全指数以及在所选时间段的攻击总数。
要获取威胁环境的摘要,请登录 NetScaler ADM,然后导航到“安全”>“安全违规”,在 WAF下,将根据受影响的违规总数显示前五个应用程序。要查看所有应用程序,可以单击 查看全部。
确定应用程序的现有和缺失的安全配置
查看了应用程序面临的威胁后,您希望确定哪些应用程序安全配置正在实施,以及该应用程序缺少哪些配置。您可以通过向下钻取应用程序摘要来获取此信息。
该摘要为您提供了有关以下安全配置的有效性的信息:
- 应用程序防火墙配置。显示多少签名和安全实体未配置。
-
NetScaler ADM 系统安全。显示多少系统安全设置未配置。
在“应用程序防火墙配置”节点上,查看安全检查和安全违规信息。
单击 NetScaler ADM System Security(NetScaler ADM 系统安全)节点,并查看系统安全设置和 Citrix 建议以改进应用程序安全指数。
确定需要立即关注的应用程序
需要立即关注的应用程序是威胁指数高和安全指数低的应用程序。
确定给定时间内的攻击次数
您可能希望确定在给定时间点给定应用程序上发生了多少攻击,或者您可能希望研究特定时间段的攻击速率。
在 WAF下,单击任何应用程序以查看在选定持续时间内检测到的 WAF 违规总数。
单击 日志 以查看基于严重性和所采取的操作的攻击详细信息。日志页面提供了以下详细信息:
-
攻击时间
-
发生攻击的客户机的 IP 地址
-
严重性
-
违规类别
-
攻击起源的 URL 以及其他详细信息。