NetScaler 控制台服务

WAF 建议

NetScaler Web App Firewall (WAF) 配置文件和 WAF 签名可保护您的 Web 应用程序免受恶意攻击。WAF 签名提供特定的、可配置的规则,以简化保护您的网站免受已知攻击的任务。签名表示一种模式,该模式是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。要使用签名保护应用程序,必须查看规则,启用并配置要应用的规则。

同样,为了防止数据泄露并在应用程序中提供适当的安全保护,您必须创建带有安全检查的 WAF 配置文件。当您在 NetScaler 实例中创建 WAF 配置文件时,流量可能会:

  • 使用上述安全检查生成

  • 未通过上述安全检查生成

该实例可能正在受到其他攻击,但您可能没有在 WAF 配置文件中启用该安全检查。

作为管理员,您必须了解如何启用正确的签名并创建正确的 WAF 配置文件来保护 Web 应用程序。在某些情况下,识别正确的签名和 WAF 配置文件可能是一项艰巨的任务。

NetScaler 控制台 WAF 建议会扫描应用程序中的漏洞并生成以下建议:

  • WAF 配置文件

  • WAF 签名

有关更多信息,请参阅 WAF 配置文件WAF 签名

WAF 建议数据库会频繁更新,以包含任何新漏洞。您可以扫描,然后选择启用所需的建议。您可以启用所有签名和安全检查,但这可能会导致误报并影响 NetScaler 实例性能。因此,建议仅选择所需的安全检查和签名。WAF 建议引擎还会自动检测必须为应用程序启用哪些签名和安全检查。

注意

NetScaler 实例 必须是 13.0 41.28 或更高版本(用于安全检查)和 13.0 或 更高版本(用于签名 )。

必备条件

应用程序:

  • 必须拥有高级许可证。

  • 必须是负载平衡虚拟服务器。

配置 WAF 扫描设置

在 NetScaler 控制台中,导航 到“安全”>“WAF 建议”,然后在“应用程序”下击“开始 扫”以配置应用程序的 WAF 扫描设置。

WAF 扫描

在 WAF 建议页面中:

  • 域名 — 指定与应用程序 VIP 关联的可公开访问/可公开访问的域名。例如:www.example.com

    注意

    起始 URL、登录 URL 和注销 URL 必须与指定域相匹配。

  • 流量和起始网 址-提供应用程序(服务器)的 URL 详细信息。

    • HTTP/HTTPS 协议 -选择应用程序的协议。

    • 流量超时 -扫描期间单个请求的等待时间(以秒为单位)。该值必须大于 0。

    • 开始 URL — 启动扫描的应用程序的主页。例如,https://www.example.com/home。URL 必须是有效的 IPv4 地址。如果 IP 地址是私有的,则必须确保可以从 NetScaler 控制台管理 IP 访问私有 IP 地址。

      WAF 配置

  • 登录 URL — 指定访问应用程序的登录凭据、URL(如果有)。

    • 登录 UR L — 用于身份验证的登录数据发送到的 URL。在 HTML 中,此 URL 通常被称为操作 URL。

    • 身份验证方法 -为您的应用程序选择支持的身份验证方法(基于表单或基于标题)。

      • 基于表单的身份验证需要使用登录凭据向登录 URL 提交表单。这些凭据必须采用表单字段及其值的形式。然后,应用程序共享用于在扫描期间维护会话的会话 cookie。

      • 基于标头的身份验证需要标头部分中的身份验证标头及其值。身份验证标头必须具有有效值,用于在扫描期间维护会话。表单字段应留空以用于基于标题。

    • 请求方法 -选择向登录 URL 提交表单数据时使用的 HTTP 方法。允许的请求方法是 POST、 GET和 P UT。

    • 表单字段 — 指定要提交到登录 URL 的表单数据。只有选择基于表单的身份验证时,表单字段才是必填字段。您必须在键值对中指定,其中字段名是“键”,字段值是“值”。确保正确添加登录所需的所有表单字段,包括密码。这些值在存储到数据库之前经过加密。您可以单击“添加”按钮来添加多个表单域。例如, 字段名称 -用户名和 字段值 -管理员。

    • HTTP 标头 — 成功登录可能需要这些 HTTP 标头。您必须在键值对中指定,其中“标头名称”是键,标头值是值。您可以单击“添加”按钮来添加多个 HTTP 标头。最常用的 HTTP 标头之一是内容类型标头。

      WAF 登录

  • 注销 URL — 指定访问后终止会话的 URL。例如:https://www.example.com/customer/logout

    WAF 注销

  • 洞-选择漏洞供扫描程序检测出来。目前,这是针对SQL注入和跨站点脚本冲突执行的。默认情况下,所有违规行为均处于选中状态。选择漏洞后,它会模拟对应用程序的这些攻击,以报告潜在的漏洞。建议启用不在生产环境中的这种检测。还报告了所有其他漏洞,但没有模拟对应用程序的这些攻击。

    WAF 漏洞

  • 其他设置

    • 请求并发 -并行发送到 Web 应用程序的请求总数。

    • 扫描深 度-必须继续扫描的 Web 应用程序的深度。例如,对于值为 2 的扫描深度,将扫描“开始 URL”和此 URL 中找到的所有链接。必须指定一个大于或等于 1 的值。

    • 响应大小限制 -响应大小的最大限制。不扫描超过上述值的任何响应。建议的限制为 3 MB(300,000 字节)。

WAF 扫描设置配置已完成。您可以单击“扫描”开始扫描过程,也可以单击“保存以供稍后 使用”以保存配置并在以后扫描。

WAF 配置设置

WAF 扫描建议流程

当您开始扫描时,WAF 建议引擎:

  • 通过提供的 URL 扫描提供的 Web 应用程序。

  • 检查 Web 应用程序以发现 Web 应用程序使用的技术。

  • 模拟 Web 应用程序上的安全攻击以检测潜在漏洞。

  • 根据检测到的 Web 技术建议签名。

  • 根据发现的漏洞和流量分析建议安全检查。

  • 分析 Web 应用程序响应以生成更精细的设置。

支持以下安全检查:

  • 缓冲区溢出

  • 字段格式

  • 信用卡

  • Cookie 一致性

  • HTML SQL 注入

  • HTML 跨站点脚本编写

  • 表单字段一致性

  • CSRF 表单标记

查看扫描报告

扫描完成后,单击“查看报告”以查看结果。

WAF 报告

扫描结果提供:

  • WAF 建议 -使您能够查看为应用程序建议的总签名和安全检查摘要。

  • 扫描检测 -使您能够查看在应用程序上执行的技术和违规详细信息等信息的收集。单击“查看详细信息”以查看有关检测的信息以及扫描的其他详细信息。

    WAF 扫描建议

WAF 建议下,单击“查看建议”以查看 安全检查签名的详细信息。

建议的安全设置建议对应用程序进行建议的安全检查和签名。您可以编辑列表中的建议,然后单击“查看”或“编辑”以查看详细信息或根据要求编辑更改。“重置为默认值”会重置所有更改并恢复为原始建议。

查看详细信息后,单击“应用建议”。建议是使用样书配置的。必须确保分别应用“安全检查”和“签名”选项卡中的建议。

WAF 成绩

建议先应用签名,然后再进行安全检查。这会自动将签名绑定到配置文件。

成功应用签名后:

  • 该配置通过 appfw-import-object 样书应用于 NetScaler 实例。

  • 配置了建议的签名文件将导入到 NetScaler 实例中。

注意

NetScaler 13.0 或更高版本支持签名。

在继续应用 安全检查 建议之前,请导航到 应用程序 > 配置 > 配置包 ,并确保签名 configpack 已成功创建。

成功应用安全检查后:

  • 该配置通过样书应用于 NetScaler 实例,具体取决于 NetScaler 版本。对于 NetScaler 13.0 ,使用 waf-default-130 样书,对于 NetScaler 13.1,使用 waf-default-131 样书。

  • Appfw 配置文件是在您的 NetScaler 上创建的,并使用 policylabel 绑定到应用程序。

  • 如果已经应用了建议的签名,则签名将绑定到 appfw 配置文件。

注意

NetScaler 13.0 41.28 或更高版本支持安全检查。

应用建议(安全检查和签名)后,您可以查看以下确认消息:

WAF 确认

您可以通过导航到 应用程序 > 配置 > 配置包来验证是否通过默认样书应用了 WAF 配置文件和签名。

WAF 样书

WAF 建议