NetScaler 控制台服务

“统一安全”控制面板

统一安全控制面板是一个单窗格控制板,您可以在其中配置保护、启用分析并在应用程序上部署保护。在此控制板中,您可以从各种模板选项中进行选择,并在单个工作流程中完成整个配置过程。要开始使用,请导航到“安全”>“安全控制面板”,然后单击“管理应用程序”。在 管理应用程序 页面中,您可以查看安全和不安全应用程序的详细信息。

注意:

  • 如果您是新用户,或者您没有通过样书或直接在 NetScaler 实例上配置任何保护,则在单击“安全”>“安全控制面板”后会显示以下页面。

安全控制面板

  • 您可以查看需要保护的虚拟服务器的总数。单击“开始”可在“不安全的应用程序”中查看详细信息。

  • 符合配置保护条件的虚拟服务器类型是负载平衡和内容切换。

安全的应用程序

在使用统一安全控制面板配置保护后,您可以查看详细信息。有关更多信息,请参阅 为不安全的应用程序配置保护

如果您已经直接在 NetScaler 实例上或通过样书配置了保护,则可以在“配置文件”下标记为“其他”的“安全应用程序”选项卡中查看这些应用程序。

安全的应用程序

为不安全的应用程序配置保护

注意:

阻止列表中支持的最大配置实体(规则)为 32。

在“不安全的应用程序”选项卡中,选择一个应用程序,然后单击“安全应用程序”。

不安全的应用程序

您可以选择以下任一选项来保护您的应用程序:

  • WAF 推荐扫描器 -此选项使您能够对应用程序运行扫描。根据扫描的某些参数,结果会提示您对应用程序的保护。您可以考虑应用这些建议。

  • 选择和自定义保护 -此选项使您可以从不同的模板选项中进行选择或自定义保护和部署。

    自定义保护

    • OWASP 前 10 名 -一种预定义的模板,具有行业标准保护,可防御 OWASP 十大安全风险。有关详细信息,请参阅 https://owasp.org/www-project-top-ten/

    • CVE 保护 -您可以从按已知漏洞类别分类的预配置签名规则列表中创建签名集。当签名模式与传入流量匹配时,您可以选择签名来配置日志或屏蔽操作。日志消息包含漏洞的详细信息。

    • 自定义保护 -选择保护并根据您的要求进行部署。

  • 选择现有保护 -此选项克隆部署在现有应用程序中的保护。如果要将相同的保护部署到其他应用程序,则可以选择此选项并将其按原样部署到另一个应用程序。您也可以选择此选项作为模板,修改保护,然后部署。

WAF 推荐扫描器

注意:

  • 一次只能对一个应用程序运行一次扫描。要开始对同一应用程序或其他应用程序进行新的扫描,必须等到先前的扫描完成。

  • 您可以单击“查看历史记录”来查看过去扫描的历史记录和状态。您也可以单击“查看报告”,然后稍后应用建议。

必备条件:

  • NetScaler 实例 必须是 13.0 41.28 或更高版本(用于安全检查)和 13.0 或 更高版本(用于签名 )。

  • 必须拥有高级许可证。

  • 必须是负载平衡虚拟服务器。

要开始使用 WAF 推荐扫描,您必须提供以下信息:

  1. 在“扫描参数”下:

    • 域名 -指定有效的可访问 IP 地址或与应用程序关联的可公开访问的域名。例如:www.example.com

    • HTTP/HTTPS 协议 -选择应用程序的协议。

    • 流量超时 -扫描期间单个请求的等待时间(以秒为单位)。该值必须大于 0。

    • 开始扫描的 URL -启动扫描的应用程序的主页。例如,https://www.example.com/home。URL 必须是有效的 IPv4 地址。如果 IP 地址是私有的,则必须确保可以从 NetScaler 控制台管理 IP 访问私有 IP 地址。

    • 登录 UR L — 用于身份验证的登录数据发送到的 URL。在 HTML 中,此 URL 通常被称为操作 URL。

    • 身份验证方法 -为您的应用程序选择支持的身份验证方法(基于表单或基于标题)。

      • 基于表单的身份验证需要使用登录凭据向登录 URL 提交表单。这些凭据必须采用表单字段及其值的形式。然后,应用程序共享用于在扫描期间维护会话的会话 cookie。

      • 基于标头的身份验证需要标头部分中的身份验证标头及其值。身份验证标头必须具有有效值,用于在扫描期间维护会话。表单字段应留空以用于基于标题。

    • 请求方法 -选择向登录 URL 提交表单数据时使用的 HTTP 方法。允许的请求方法是 POSTGET和 P UT

    • 表单字段 — 指定要提交到登录 URL 的表单数据。只有选择基于表单的身份验证时,表单字段才是必填字段。您必须在键值对中指定,其中字段名是“键”,字段值是“值”。确保正确添加登录所需的所有表单字段,包括密码。这些值在存储到数据库之前经过加密。您可以单击“添加”来添加多个表单域。例如, 字段名称 -用户名和 字段值 -管理员。

    • 注销 URL -指定访问后终止会话的 URL。例如:https://www.example.com/customer/logout

  2. 在“扫描配置”下:

    • 要检查的漏 洞-选择漏洞,让扫描程序进行检测。目前,这是针对SQL注入和跨站点脚本冲突执行的。默认情况下,所有违规行为均处于选中状态。选择漏洞后,它会模拟对应用程序的这些攻击,以报告潜在的漏洞。建议启用不在生产环境中的这种检测。还报告了所有其他漏洞,但没有模拟对应用程序的这些攻击。

    • 响应大小限制 -响应大小的最大限制。不扫描超过上述值的任何响应。建议的限制为 10 MB(1000000 字节)。

    • 请求并发 -并行发送到 Web 应用程序的请求总数。

  3. WAF 扫描设置配置已完成。您可以单击“开始扫描”开始扫描过程并等待进度完成。扫描完成后,单击“查看报告”。

    扫描报告

  4. 在扫描结果页面中,单击“查看建议”。

    评论建议

  5. 查看保护措施或编辑/添加任何其他保护,然后单击部署

    部署保护

    成功应用安全检查后:

  • 该配置通过样书应用到 NetScaler 实例,具体取决于版本。

    • 对于 NetScaler 13.0,unified-appsec-protection-130 使用了样书。

    • 对于 NetScaler 13.1,unified-appsec-protection-131 使用了样书。

    • 对于 NetScaler 14.1,unified-appsec-protection-141 使用了样书。

  • Appfw 配置文件是在您的 NetScaler 上创建的,并使用 policylabel 绑定到应用程序。

  • 如果已经应用了建议的签名,则签名将绑定到 appfw 配置文件。

注意

NetScaler 13.0 41.28 或更高版本支持安全检查。

您可以通过导航到 应用程序 > 配置 > 配置包来验证是否通过默认样书应用了 WAF 配置文件和签名。

WAF 样书

选择和自定义保护

OWASP 前 10 名

OWASP 前 10 名

1 -提供有关应用程序的信息,例如 IP 地址、虚拟服务器类型、许可证类型、配置应用程序的实例等。

2 -显示选定的模板。您可以根据自己的选择对其进行重命名。

3 -显示保护。有些保护措施需要额外的信息。

4 -显示详细日志类型。您可以选择以下选项:

  • 模式。仅记录违规模式。

  • 模式有效载荷。记录违规模式和 150 字节的额外 JSON 负载。

  • 图案、有效载荷、标题。记录违规模式、150 字节的额外 JSON 负载和 HTTP 标头信息。

5 -允许您启用监视模式。如果启用监视模式,则仅记录流量,不会激活缓解措施。

6 -使您能够添加更多保护。单击“添加保护”,然后查看要添加的保护。

7 -允许您使用“更改模板”选项选择新模板。

8 -允许您编辑或删除保护。

9 -启用对您选择的保护措施的分析。此选项默认处于选中状态。您可以在“安全”>“安全违规”中查看对已配置保护的分析。

配置保护后,单击“部署”。

CVE 保护

要部署 CVE 保护,请单击“创建 CVE保护”。在“创建签名集”页面中,从列表中选择签名以配置日志或阻止操作,然后单击“保存”。

CVE 保护

单击“保存”后,可以查看添加到配置页面的签名。

“配置”页

您也可以单击“添加保护”为应用程序添加更多保护。配置所有保护后,单击“部署”。

自定义保护

要根据您的要求使用保护进行部署,请单击“创建新保护”。在“添加保护”页面中,选择要部署的保护,然后单击“保存”。

自定义保护

单击“保存”后,查看配置页面中的选定保护,然后单击“部署”。

选择现有保护措施

要将现有保护从一个应用程序部署到另一个应用程序,请从列表中选择现有保护。

现有保护

选择保护后,现有保护将被克隆并显示在配置页面中。您可以根据需要进行修改,然后单击 Deploy

“统一安全”控制面板