产品文档
Application Delivery Management
14.1 - Current Release 13.1 13.0

Web 应用程序防火墙样书

February 6, 2024
投稿者: 
C

NetScaler Web App Firewall 是一种 Web 应用程序防火墙 (WAF),用于保护 Web 应用程序和站点免受已知和未知攻击,包括所有应用程序层和零日威胁。

NetScaler ADM 现在提供了默认样书,您可以使用它更方便地向 NetScaler 实例上的现有虚拟服务器添加标准和高级应用程序防火墙配置。

部署标准应用程序防火墙配置

执行以下步骤,在 NetScaler 实例中的现有 LB 虚拟服务器上部署标准应用程序防火墙和 IP 信誉策略。

  1. 在 NetScaler ADM 中,导航到 应用程序 > 配置 >样书并执行以下操作:

    1. 搜索名为 waf-basic 的样书。

      WAF 基础风格手册

    2. 单击 创建配置

      ADM 以用户界面页面的形式打开,其中包含在样书中定义的所有参数。

  2. 为以下参数指定值:

    • 应用程序名称 -应用程序的名称。

    • 负载平衡虚拟服务器名称 -ADC 实例上存在的负载平衡虚拟服务器的名称。

    • WAF 设置 -启用此选项可将 WAF 配置应用于 ADC 实例。

      • AppFW 策略规则 -选择 True 将应用程序防火墙设置应用于所有虚拟服务器流量。

        或者,指定 NetScaler 策略规则以选择要应用应用程序防火墙设置的请求子集。有关详细信息,请参阅 Web App Firewall 策略

      • 类型 -WAF 基本配置仅支持 HTML 类型。

      应用程序防火墙策略规则

    • AppFW 配置文件设置 -启用此选项可将应用程序防火墙配置文件添加到虚拟服务器。

      下图显示了样书中的保护和参数:

      应用程序防火墙配置文件设置

      • 启用 WAF 签名 -此选项将 NetScaler 上现有的应用程序防火墙签名附加到样书创建的配置文件中。

        启用 WAF 签名

      • 为应用程序启用所需的保护。

        默认情况下,样书 会将 logstats WAF 操作应用于已启用的保护。根据需要指定其他操作。

        例如:

        SQL 注入设置中,您可以启用和配置 SQL 注入设置。

        SQL 注入设置

        同样,您可以启用和配置所需的保护。

  3. 可选,启用 IP 信誉检查 以评估客户端源 IP 地址。

    1. 选择“阻止恶意 IP”。

    2. 按类别阻止恶意 IP中,选择类别以先发制人地拒绝属于所选类别的请求。

      如果您选择“信誉”,则应用程序会阻止来自信誉不佳的 IP 的流量。

    屏蔽恶意 IP

  4. 目标实例中,选择要部署此应用程序防火墙设置的 ADC 实例。

  5. 单击创建

    目标实例

    提示:

    Citrix 建议您选择 Dr y Run 以检查在目标实例上执行实际配置之前必须在目标实例上创建的配置对象。

注意:

StartURL 保护不是标准 WAF 部署的一部分。ADC 默认为屏蔽日志统计信息可能会屏蔽 URL。 StartURLAction

因此,在不使用样书的情况下在 ADC 上单独配置 StartURLActionStartURL

部署高级应用程序防火墙配置

执行以下步骤,在 NetScaler 实例中的现有 LB 虚拟服务器上部署高级应用程序防火墙和 IP 信誉策略。

  1. 在 NetScaler ADM 中,导航到 应用程序 > 配置 >样书并执行以下操作:

    1. 搜索名为 waf-adv 的样书。

      WAF 高级风格手册

    2. 单击 创建配置

      ADM 以用户界面页面的形式打开,其中包含在样书中定义的所有参数。

  2. 为以下参数指定值:

    • 应用程序名称 -应用程序的名称。

    • 负载平衡虚拟服务器名称 -ADC 实例上存在的负载平衡虚拟服务器的名称。

    • WAF 设置 -启用此选项可将 WAF 配置应用于 ADC 实例。

      • AppFW 策略规则 -选择 True 将应用程序防火墙设置应用于所有虚拟服务器流量。

        或者,指定 NetScaler 策略规则以选择要应用应用程序防火墙设置的请求子集。有关详细信息,请参阅 Web App Firewall 策略

      • 配置文件的类型 -您可以选择多个配置文件类型。高级 WAF样书支持 HTML、XML 或 JSON 配置文件类型。

      应用程序防火墙策略规则

    • AppFW 配置文件设置 -启用此选项可将应用程序防火墙配置文件添加到虚拟服务器。

      下图显示了样书中的保护和参数:

      应用程序防火墙配置文件设置

      • 启用 WAF 签名 -此选项将 NetScaler 上现有的应用程序防火墙签名附加到样书创建的配置文件中。

        启用 WAF 签名

      • WAF 高级防护 -启用此选项可使用高级 WAF 保护。

        WAF 高级防护

      • 为应用程序启用所需的保护。

        默认情况下,样书 会将 logstats WAF 操作应用于已启用的保护。根据需要指定其他操作。

        例如:

        SQL 注入设置中,您可以启用和配置 SQL 注入设置。

        SQL 注入设置

        同样,您可以启用和配置所需的保护。

  3. 可选,启用 IP 信誉检查 以评估客户端源 IP 地址。

    1. 选择“阻止恶意 IP”。

    2. 按类别阻止恶意 IP中,选择类别以先发制人地拒绝属于所选类别的请求。

      如果您选择“信誉”,则应用程序会阻止来自信誉不佳的 IP 的流量。

    屏蔽恶意 IP

  4. 目标实例中,选择要部署此应用程序防火墙设置的 ADC 实例。

  5. 单击创建

    目标实例

    提示

    Citrix 建议您选择 Dr y Run 以检查在目标实例上执行实际配置之前必须在目标实例上创建的配置对象。

查看 WAF 配置包创建的对象

成功部署配置后,样书 会在 ADC 上创建以下配置对象:

  • 应用程序防火墙策略标签
  • 应用防火墙策略
  • 应用程序防火墙配置文件

此外,它还会将应用程序防火墙策略与指定的负载平衡虚拟服务器绑定。

要查看创建的对象,

  1. 导航到应用程序 >样书> 配置

  2. 选择 WAF 样书创建的配置包。

  3. 单击“查看创建的对象”。

    创建的 WAF 对象

Web 应用程序防火墙样书
February 6, 2024
投稿者: 
C
February 6, 2024
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.