在 Azure 上部署 NetScaler® 网页应用防火墙

NetScaler Web 应用防火墙是一种企业级解决方案，为现代应用程序提供最先进的保护。它可缓解针对面向公众的资产（包括网站、Web 应用程序和 API）的威胁。该防火墙包括基于 IP 信誉的过滤、Bot 缓解、OWASP Top 10 应用程序威胁保护、第 7 层 DDoS 保护等。还包括强制执行身份验证、强大的 SSL/TLS 密码、TLS 1.3、速率限制和重写策略的选项。结合使用基本和高级 WAF 保护，NetScaler Web 应用防火墙以无与伦比的易用性为您的应用程序提供全面保护。启动和运行只需几分钟。此外，它使用一种称为动态分析的自动化学习模型，为用户节省了宝贵的时间。通过自动学习受保护应用程序的工作方式，该防火墙即使在开发人员部署和更改应用程序时也能适应应用程序。它有助于符合所有主要法规标准和机构的要求，包括 PCI-DSS、HIPAA 等。借助我们的 CloudFormation 模板，快速启动和运行从未如此简单。借助自动扩展功能，用户可以放心，即使流量增加，其应用程序也能受到保护。

NetScaler Web App Firewall 可以安装为第 3 层网络设备，也可以安装为客户服务器和客户用户之间的第 2 层网络桥接，通常位于客户公司的路由器或防火墙之后。有关详细信息，请参阅 NetScaler Web App Firewall 简介。

NetScaler Web 应用防火墙部署策略

1. 部署 Web 应用程序防火墙是为了评估哪些应用程序或特定数据需要最大程度的安全保护，哪些应用程序的漏洞较少，以及哪些应用程序可以安全地绕过安全检查。这有助于用户制定最佳配置，并设计适当的策略和绑定点来隔离流量。例如，用户可能希望配置一个策略来绕过对静态 Web 内容（如图像、MP3 文件和电影）请求的安全检查，并配置另一个策略来对动态内容请求应用高级安全检查。用户可以使用多个策略和配置文件来保护同一应用程序的不同内容。

2. 为了确定部署基线，请创建一个虚拟服务器并通过它运行测试流量，以了解流经用户系统的流量速率和数量。

3. 部署 Web 应用程序防火墙。使用 NetScaler ADM 和 Web 应用程序防火墙 StyleBook 配置 Web 应用程序防火墙。有关详细信息，请参阅本指南中的 StyleBook 部分。

4. 实施 NetScaler Web 应用防火墙和 OWASP 十大安全漏洞。

Web 应用程序防火墙的三种保护措施对常见的 Web 攻击类型特别有效，因此比其他任何保护措施都更常用。因此，它们应在初始部署中实施。它们是：

• HTML 跨站点脚本：检查请求和响应中是否存在尝试访问或修改与脚本所在网站不同的网站内容的脚本。当此检查发现此类脚本时，它会在将请求或响应转发到其目的地之前使脚本无害，或者阻止连接。

• HTML SQL 注入：检查包含表单字段数据的请求，以查找尝试将 SQL 命令注入 SQL 数据库的行为。当此检查检测到注入的 SQL 代码时，它会阻止请求，或者在将请求转发到 Web 服务器之前使注入的 SQL 代码无害。

  注意：

  确保您的 Web 应用程序防火墙已正确配置，以使以下条件适用于您的配置：

   >-  If users enable the HTML Cross-Site Scripting check or the HTML SQL Injection check (or both).
   >
   >-  User protected websites accept file uploads or contain Web forms that can contain large POST body data.
  

有关配置 Web 应用程序防火墙以处理此情况的详细信息，请参阅配置应用程序防火墙：配置 Web 应用程序防火墙。

• 缓冲区溢出：检查请求以检测尝试在 Web 服务器上造成缓冲区溢出的行为。

配置 Web 应用程序防火墙

确保 NetScaler Web App Firewall 已启用并正常运行。我们建议您使用 Web 应用程序防火墙 StyleBook 配置 NetScaler Web App Firewall。大多数用户认为这是配置 Web 应用程序防火墙最简单的方法，并且它旨在防止错误。GUI 和命令行界面都适用于经验丰富的用户，主要用于修改现有配置或使用高级选项。

SQL 注入

NetScaler Web App Firewall HTML SQL 注入检查提供了特殊的防御措施，以防止可能破坏用户应用程序安全的未经授权的 SQL 代码注入。NetScaler Web App Firewall 在三个位置检查请求负载中的注入 SQL 代码：1) POST 正文、2) 标头和 3) Cookie。有关更多信息，请参阅 HTML SQL 注入检查。

跨站点脚本

HTML 跨站点脚本 (cross-site scripting) 检查会检查用户请求的标头和 POST 正文，以查找可能的跨站点脚本攻击。如果发现跨站点脚本，它会修改（转换）请求以使攻击无害，或者阻止请求。有关更多信息，请参阅 HTML 跨站点脚本检查。

缓冲区溢出检查

缓冲区溢出检查可检测尝试在 Web 服务器上导致缓冲区溢出的行为。如果 Web 应用程序防火墙检测到 URL、Cookie 或标头长度超过配置长度，它会阻止该请求，因为它可能导致缓冲区溢出。有关更多信息，请参阅 缓冲区溢出检查。

虚拟修补/签名

签名提供了特定且可配置的规则，以简化保护用户网站免受已知攻击的任务。签名表示一种模式，它是对操作系统、Web 服务器、网站、基于 XML 的 Web 服务或其他资源的已知攻击的组成部分。一套丰富的预配置内置或本机规则提供了一种易于使用的安全解决方案，利用模式匹配的强大功能来检测攻击并防范应用程序漏洞。有关更多信息，请参阅 签名。

NetScaler Web 应用防火墙支持签名的自动和手动更新。 我们还建议启用签名的自动更新以保持最新。

这些签名文件托管在 AWS 环境中，因此允许网络防火墙出站访问 NetScaler IP 地址以获取最新的签名文件非常重要。在处理实时流量时，更新签名对 NetScaler 没有影响。

应用程序安全分析

应用程序安全仪表板提供了用户应用程序安全状态的整体视图。例如，它显示了关键安全指标，如安全违规、签名违规和威胁指数。应用程序安全仪表板还显示了针对已发现 NetScaler 的攻击相关信息，例如 SYN 攻击、小窗口攻击和 DNS 洪水攻击。

注意：

要查看应用程序安全仪表板的指标，应在用户希望监控的 NetScaler 实例上启用 AppFlow 安全洞察。

要在应用程序安全仪表板上查看 NetScaler 实例的安全指标：

1. 使用管理员凭据登录到 NetScaler ADM。

2. 导航到 应用程序 > 应用程序安全仪表板，然后从设备列表中选择实例 IP 地址。

用户可以通过单击图表上绘制的气泡，进一步深入查看应用程序安全调查器中报告的差异。

ADM 上的集中学习

NetScaler Web App Firewall 可保护用户 Web 应用程序免受 SQL 注入和跨站点脚本 (XSS) 等恶意攻击。为了防止数据泄露并提供正确的安全保护，用户必须监控其流量以发现威胁和实时可操作的攻击数据。有时，报告的攻击可能是误报，需要将其作为例外情况提供。

NetScaler ADM 上的集中学习是一种重复模式过滤器，它使 WAF 能够学习用户 Web 应用程序的行为（正常活动）。根据监控，引擎会为应用于 HTTP 流量的每个安全检查生成建议规则或例外列表。

使用学习引擎部署放宽规则，比手动将其部署为必要的放宽规则要容易得多。

要部署学习功能，用户必须首先在用户 NetScaler 上配置 Web 应用程序防火墙配置文件（一组安全设置）。有关详细信息，请参阅 创建 Web 应用程序防火墙配置文件。

NetScaler ADM 会为每个安全检查生成例外（放宽）列表。作为管理员，您可以在 NetScaler ADM 中查看例外列表，并决定部署或跳过。

使用 NetScaler ADM 中的 WAF 学习功能，您可以：

• 配置学习配置文件，包含以下安全检查。

  • 缓冲区溢出

  • HTML 跨站点脚本

    注意：

    位置的跨站点脚本限制仅为表单字段 (FormField)。

  • 网页 SQL 注入

    注意：

    对于 HTML SQL 注入检查，用户必须在 NetScaler 中配置 set -sqlinjectionTransformSpecialChars ON 和 set -sqlinjectiontype sqlspclcharorkeywords。

• 检查 NetScaler ADM 中的放宽规则，并决定采取必要的措施（部署或跳过）。

• 通过电子邮件、Slack 和 ServiceNow 获取通知。

• 使用控制面板查看放宽详细信息。

要在 NetScaler ADM 中使用 WAF 学习功能，请执行以下操作：

1. 配置学习配置文件：配置学习配置文件

2. 查看放宽规则：查看放宽规则和空闲规则

3. 使用 WAF 学习控制面板：查看 WAF 学习控制面板

样式簿

StyleBooks 简化了管理用户应用程序复杂 NetScaler 配置的任务。StyleBook 是一个模板，用户可以使用它来创建和管理 NetScaler 配置。在这里，用户主要关注用于部署 Web 应用程序防火墙的 StyleBook。有关 StyleBooks 的更多信息，请参阅 StyleBooks。

安全洞察分析功能

暴露在互联网上的Web和Web服务应用程序越来越容易受到攻击。为了保护应用程序免受攻击，用户需要了解过去、现在和即将发生的威胁的性质和程度，获取关于攻击的实时可操作数据，以及关于对策的建议。Security Insight 提供了一个单一面板解决方案，帮助用户评估用户应用程序的安全状态，并采取纠正措施来保护用户应用程序。 有关更多信息，请参阅 Security Insight。

获取有关安全漏洞的详细信息

用户可能希望查看针对应用程序的攻击列表，并深入了解攻击的类型和严重性、ADC 实例采取的操作、请求的资源以及攻击源。

例如，用户可能希望确定有多少针对 Microsoft Lync 的攻击被阻止，请求了哪些资源，以及攻击源的 IP 地址。

在 Security Insight 仪表板上，单击 Lync > 总违规。在表中，单击 采取的操作 列标题中的筛选器图标，然后选择 已阻止。

有关请求的资源的信息，请查看 URL 列。有关攻击源的信息，请查看 客户端 IP 列。

查看日志表达式详细信息

NetScaler 使用通过应用程序防火墙配置文件配置的日志表达式，对用户企业中应用程序受到的攻击采取行动。在 Security Insight 中，用户可以查看 ADC 实例使用的日志表达式返回的值。这些值包括请求头、请求正文等。除了日志表达式值之外，用户还可以查看 ADC 实例用于对攻击采取行动的应用程序防火墙配置文件中定义的日志表达式名称和注释。

先决条件：

确保用户：

• 在应用程序防火墙配置文件中配置日志表达式。有关更多信息，请参阅应用程序防火墙。

• 在 NetScaler ADM 中启用基于日志表达式的 Security Insights 设置。执行以下操作：

  • 导航到 分析 > 设置，然后单击 启用分析功能。

  • 在“分析功能启用”页面中，在“基于日志表达式的安全洞察设置”部分下选择“启用安全洞察”，然后单击“确定”。

例如，您可能希望查看 ADC 实例针对用户企业中对 Microsoft Lync 的攻击所采取的操作返回的日志表达式值。

在“安全洞察仪表板”上，导航到“Lync”>“总违规”。在“应用程序摘要”表中，单击 URL 以在“违规信息”页面中查看违规的完整详细信息，包括日志表达式名称、注释以及 ADC 实例针对该操作返回的值。

在部署配置之前确定安全指数。安全漏洞通常在用户将安全配置部署到 ADC 实例后发生，但用户可能希望在部署之前评估安全配置的有效性。

例如，用户可能希望评估 IP 地址为 10.102.60.27 的 ADC 实例上 SAP 应用程序配置的安全指数。

在“安全洞察仪表板”的“设备”下，单击用户配置的 ADC 实例的 IP 地址。用户可以看到威胁指数和攻击总数均为 0。威胁指数直接反映了应用程序受到的攻击数量和类型。零攻击表示应用程序未受到任何威胁。

单击“Sap”>“安全指数”>“SAP_Profile”，然后评估显示的安全指数信息。

在应用程序防火墙摘要中，用户可以查看不同保护设置的配置状态。如果某个设置被设置为日志记录或未配置，则应用程序将被分配较低的安全指数。

安全违规行为

暴露在互联网上的 Web 应用程序已变得极易受到攻击。NetScaler ADM 使您能够可视化可操作的违规详细信息，以保护应用程序免受攻击。

查看应用程序安全违规详情

暴露在互联网上的 Web 应用程序已显著更容易受到攻击。NetScaler ADM 允许用户可视化可操作的违规详情，以保护应用程序免受攻击。导航到“安全”>“安全违规”以获取单一面板解决方案，用于：

• 根据类别（例如 Network、Bot 和 WAF）访问应用程序安全违规

• 采取纠正措施以保护应用程序

要在 NetScaler ADM 中查看安全违规，请确保：

• 用户拥有 NetScaler 的高级许可证（用于 WAF 和 BOT 违规）。

• 用户已在负载平衡或内容交换虚拟服务器上申请许可证（用于 WAF 和 BOT）。有关详细信息，请参阅 管理虚拟服务器上的许可。

• 用户可以启用更多设置。有关详细信息，请参阅 NetScaler 产品文档中“设置”部分提供的过程：设置。

违规行为类别

NetScaler ADM 允许用户查看 所有违规 中可用的违规：

设置过程

对于违规，请确保是否已启用 Metrics Collector。默认情况下，NetScaler 上已启用 Metrics Collector。有关详细信息，请参阅 配置智能应用程序分析。

启用高级安全分析功能

• 导航到“网络”>“实例”>“NetScaler”，然后选择实例类型。例如，MPX。

• 选择 NetScaler 实例，然后从“选择操作”列表中选择“配置分析”。

• 选择虚拟服务器，然后单击 启用分析。

• 在 启用分析 窗口中：

  • 选择 Web Insight。用户选择 Web Insight 后，只读的 高级安全分析 选项将自动启用。

  注意：

  高级安全分析 选项仅适用于高级许可的 ADC 实例。

  • 选择 Logstream 作为传输模式

  • 表达式默认为 true

  • 单击 确定

启用 Web 事务设置

• 导航到 分析 > 设置。

显示 设置 页面。

• 单击 启用分析功能。

• 在 Web 事务设置 下，选择 全部。

• 点击 确定。

安全违规情况仪表板

在安全违规仪表板中，用户可以查看：

• 所有 NetScaler 和应用程序中发生的总违规次数。总违规次数根据所选时间段显示。

• 每个类别下的总违规次数。

• 受影响的 ADC 总数、受影响的应用程序总数，以及根据总发生次数和受影响的应用程序得出的最常见违规。

有关违规详情的更多信息，请参阅 所有违规。

Bot 洞察

在 NetScaler 中配置 BOT 洞察。有关更多信息，请参阅 Bot。

查看 Bot

点击虚拟服务器以查看 应用程序摘要

1. 提供应用程序摘要详细信息，例如：

   • 平均 RPS – 指示虚拟服务器上每秒收到的平均机器人事务请求数 (RPS)。

   • 按严重性分类的机器人 – 指示根据严重性发生的最高机器人事务。严重性分为关键、高、中和低。

   例如，如果虚拟服务器有 11770 个高严重性机器人和 1550 个关键严重性机器人，则 NetScaler ADM 会在按严重性分类的机器人下显示关键 1.55 K。

   • 最大机器人类别 – 指示根据机器人类别发生的最高机器人攻击。

   例如，如果虚拟服务器有 8000 个阻止列表机器人、5000 个允许列表机器人和 10000 个超出速率限制的机器人，则 NetScaler ADM 会在最大机器人类别下显示超出速率限制 10 K。

   • 最大地理来源 – 指示根据区域发生的最高机器人攻击。

   例如，如果虚拟服务器在圣克拉拉有 5000 次机器人攻击，在伦敦有 7000 次机器人攻击，在班加罗尔有 9000 次机器人攻击，则 NetScaler ADM 会在最大地理来源下显示班加罗尔 9 K。

   • 平均机器人流量百分比 – 指示人机比。

2. 在地图视图中显示基于位置的机器人攻击严重性

3. 显示机器人攻击的类型（良好、恶意和所有）

4. 显示机器人攻击总数以及相应的配置操作。例如，如果您已配置：

   • IP 地址范围 (192.140.14.9 到 192.140.14.254) 作为阻止列表机器人，并选择“丢弃”作为这些 IP 地址范围的操作

   • IP 范围 (192.140.15.4 到 192.140.15.254) 作为阻止列表机器人，并选择创建日志消息作为这些 IP 范围的操作

     在这种情况下，NetScaler ADM 会显示：

     • 已列入黑名单的机器人总数

     • 处于已丢弃状态的机器人总数

     • 日志中的机器人总数

查看 CAPTCHA 机器人

在网页中，CAPTCHA 旨在识别传入流量是来自人类还是自动化机器人。要在 NetScaler ADM 中查看 CAPTCHA 活动，用户必须在 NetScaler ADM 实例中将 CAPTCHA 配置为 IP 信誉和设备指纹检测技术的机器人操作。有关详细信息，请参阅：配置机器人管理。

以下是 NetScaler ADM 在机器人洞察中显示的验证码活动：

• CAPTCHA 尝试次数超出限制 – 表示登录失败后进行的 CAPTCHA 尝试的最大次数

• CAPTCHA 客户端已静音 – 表示由于这些请求之前已被 CAPTCHA 质询检测为恶意机器人而被丢弃或重定向的客户端请求数量

• 人类 – 表示人类用户执行的 CAPTCHA 条目

• CAPTCHA 响应无效 – 表示当 NetScaler 发送 CAPTCHA 质询时，从机器人或人类接收到的不正确 CAPTCHA 响应的数量

查看机器人陷阱

要在 NetScaler ADM 中查看机器人陷阱，您必须在 NetScaler 中配置机器人陷阱。有关详细信息，请参阅：配置机器人管理。

为了识别机器人陷阱，网页中会启用一个脚本，该脚本对人类隐藏，但对机器人不隐藏。当机器人访问此脚本时，NetScaler ADM 会识别并报告机器人陷阱。

点击虚拟服务器并选择零像素请求

查看机器人详细信息

有关更多详细信息，请点击机器人类别下的机器人攻击类型。

将显示所选验证码类别的攻击时间以及机器人攻击总数等详细信息。

用户还可以拖动条形图以选择要显示机器人攻击的特定时间范围。

要获取有关机器人攻击的更多信息，请点击以展开。

• 实例 IP – 指示 NetScaler 实例所使用的 IP 地址。

• 机器人总数 – 指示在该特定时间发生的机器人攻击总数。

• HTTP 请求 URL – 指示为验证码报告配置的 URL。

• 国家/地区代码 – 指示发生机器人攻击的国家/地区。

• 区域 – 指示发生机器人攻击的区域。

• 配置文件名称 – 表示用户在配置期间提供的配置文件名称。

高级搜索

用户还可以使用搜索文本框和时间范围列表，根据用户需求查看机器人详细信息。当用户单击搜索框时，搜索框会提供以下搜索建议列表。

• 实例 IP – NetScaler 实例所使用的 IP 地址。

• 客户端 IP – 客户端 IP 地址。

• 机器人类型 – 机器人类型，例如好或坏。

• 严重性 – 机器人攻击的严重性。

• 已采取的操作 – 机器人攻击后采取的操作，例如丢弃、不操作、重定向。

• 机器人类别 – 机器人攻击的类别，例如阻止列表、允许列表、指纹。用户可以根据类别为其关联机器人操作。

• 机器人检测 – 用户在 NetScaler 上配置的机器人检测类型（阻止列表、允许列表等）。

• 位置 – 发生机器人攻击的区域/国家/地区

• 请求 URL – 可能存在机器人攻击的 URL

用户还可以在用户搜索查询中使用运算符来缩小搜索范围。例如，如果用户想要查看所有恶意机器人：

• 单击搜索框并选择 机器人类型

• 再次单击搜索框并选择运算符 =

• 再次点击搜索框并选择 Bad

• 点击 搜索 以显示结果

异常高的请求率

用户可以控制进出应用程序的流量。僵尸程序攻击可能会导致异常高的请求率。例如，如果用户将应用程序配置为允许每分钟 100 个请求，但观察到 350 个请求，则这可能是一次僵尸程序攻击。

使用 异常高的请求率 指标，用户可以分析应用程序收到的异常请求率。

在 事件详细信息 下，用户可以查看：

• 受影响的应用程序。如果两个或更多应用程序受到违规影响，用户还可以从列表中选择应用程序。

• 显示所有违规的图表

• 违规行为发生的时间

• 此违规行为的检测消息，其中显示了已接收的总请求数量，以及与预期请求相比，超出预期的请求所占的百分比。

• 应用程序所设定的、可接受的预期请求速率范围。

僵尸程序检测

NetScaler 僵尸程序管理系统使用各种技术来检测传入的僵尸程序流量。这些技术用作检测规则，以检测僵尸程序类型。

使用 图形用户界面配置机器人管理

用户可以通过首先在设备上启用该功能来配置 NetScaler Bot 管理。有关更多信息，请参阅 Bot 检测。

IP 信誉

IP 信誉是一种识别发送不需要的请求的 IP 地址的工具。使用 IP 信誉列表，您可以拒绝来自信誉不佳的 IP 地址的请求。

使用 图形用户界面配置 IP 地址信誉

此配置是 Bot IP 信誉功能的先决条件。有关更多信息，请参阅 IP 信誉。

Bot 签名自动更新

Bot 静态签名技术使用包含良好 Bot 和不良 Bot 列表的签名查找表。有关更多信息，请参阅 签名自动更新。

NetScaler 网页应用防火墙与 OWASP 2021 年十大漏洞

开放式 Web 应用程序安全项目 (OWASP) 发布了 2021 年 OWASP 十大 Web 应用程序安全风险列表。此列表记录了最常见的 Web 应用程序漏洞，是评估 Web 安全性的绝佳起点。本节解释了如何配置 NetScaler Web App Firewall 以缓解这些缺陷。WAF 作为集成模块在 NetScaler（高级版）和全系列设备中提供。

完整的 OWASP 十大文档可在 OWASP 十大 处获取。

A1:2021 访问控制失效

对经过身份验证的用户允许执行的操作的限制通常没有得到适当的执行。攻击者可以利用这些漏洞访问未经授权的功能和数据，例如访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限。

NetScaler Web 应用程序防火墙保护

• 支持所有应用程序流量的身份验证、授权和审计的 AAA 功能允许站点管理员使用 ADC 设备管理访问控制。

• ADC 设备的 AAA 模块中的授权安全功能使设备能够验证它应该允许每个用户访问受保护服务器上的哪些内容。

• 表单字段一致性：如果对象引用作为隐藏字段存储在表单中，那么使用表单字段一致性，您可以验证这些字段在后续请求中未被篡改。

• Cookie 代理和 Cookie 一致性：存储在 Cookie 值中的对象引用可以通过这些保护进行验证。

• 使用 URL 闭包的起始 URL 检查：允许用户访问预定义的 URL 允许列表。URL 闭包会构建一个在用户会话期间有效响应中看到的所有 URL 列表，并在该会话期间自动允许访问它们。

A2:2021 - 加密失败

许多 Web 应用程序和 API 未能妥善保护敏感数据，例如财务、医疗保健和 PII。攻击者可能会窃取或修改这些保护不力的数据，以进行信用卡欺诈、身份盗窃或其他犯罪。敏感数据在没有额外保护（例如静态加密或传输中加密）的情况下可能会被泄露，并且在与浏览器交换时需要采取特殊预防措施。

NetScaler 网页应用防火墙保护

• Web 应用程序防火墙保护应用程序免受敏感数据（如信用卡详细信息）泄露。

• 敏感数据可以配置为安全商务保护中的安全对象，以避免暴露。

• Cookie 中的任何敏感数据都可以通过 Cookie 代理和 Cookie 加密进行保护。

A3:2021- 注入

注入漏洞（例如 SQL、NoSQL、OS 和 LDAP 注入）发生在不受信任的数据作为命令或查询的一部分发送到解释器时。攻击者的恶意数据可以欺骗解释器运行意外命令或在未经适当授权的情况下访问数据。

当应用程序在没有适当验证或转义的情况下在新网页中包含不受信任的数据，或者使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有网页时，就会出现 XSS 缺陷。XSS 允许攻击者在受害者的浏览器中运行脚本，这可能劫持用户会话、篡改网站或将用户重定向到恶意站点。

NetScaler 网页应用防火墙保护功能

• SQL 注入防护功能可防御常见的注入攻击。可以上传自定义注入模式，以防御任何类型的注入攻击，包括 XPath 和 LDAP。这适用于 HTML 和 XML 有效负载。

• 自动更新签名功能使注入签名保持最新状态。

• 字段格式保护功能允许管理员将任何用户参数限制为正则表达式。例如，您可以强制邮政编码字段只包含整数，甚至是 5 位整数。

• 表单字段一致性根据用户会话表单签名验证每个提交的用户表单，以确保所有表单元素的有效性。

• 缓冲区溢出检查可确保 URL、标头和 Cookie 在正确限制内，从而阻止任何注入大型脚本或代码的尝试。

• XSS 防护可防御常见的 XSS 攻击。可以上传自定义 XSS 模式以修改允许的标签和属性的默认列表。ADC WAF 使用允许的 HTML 属性和标签白名单来检测 XSS 攻击。这适用于 HTML 和 XML 有效负载。

• ADC WAF 阻止 OWASP XSS 过滤器评估备忘单中列出的所有攻击。

• 字段格式检查可阻止攻击者发送不适当的 Web 表单数据，这可能是一种潜在的 XSS 攻击。

• 表单字段一致性。

A5:2021 - 安全配置错误

安全配置错误是最常见的问题。这通常是不安全的默认配置、不完整或临时配置、开放的云存储、配置错误的 HTTP 标头以及包含敏感信息的详细错误消息造成的。所有操作系统、框架、库和应用程序不仅必须安全配置，而且必须及时修补和升级。

许多旧的或配置不当的 XML 处理器会评估 XML 文档中的外部实体引用。外部实体可用于通过文件 URI 处理程序、内部文件共享、内部端口扫描、远程代码执行和拒绝服务攻击来泄露内部文件。

NetScaler Web 应用防火墙保护措施

• 应用程序防火墙生成的 PCI-DSS 报告记录了防火墙设备上的安全设置。

• 扫描工具的报告将转换为 ADC WAF 签名，以处理安全配置错误。

• NetScaler Web App Firewall Web Application Firewall supports Cenzic, IBM AppScan (Enterprise and Standard), Qualys, TrendMicro, WhiteHat, and custom vulnerability scan reports.

• 除了检测和阻止可用于攻击基于 XML 的应用程序（即跨站点脚本、命令注入等）的常见应用程序威胁之外。

• NetScaler Web App Firewall Web 应用程序防火墙包含一套丰富的 XML 特定安全保护。其中包括用于彻底验证 SOAP 消息和 XML 有效负载的架构验证，以及用于阻止包含恶意可执行文件或病毒的附件的强大 XML 附件检查。

• 自动流量检查方法可阻止针对获取访问权限的 URL 和表单上的 XPath 注入攻击。

• NetScaler Web App Firewall Web 应用程序防火墙还可以阻止各种 DoS 攻击，包括外部实体引用、递归扩展、过度嵌套以及包含长属性或大量属性和元素的恶意消息。

A6:2021 - 易受攻击和过时的组件

库、框架和其他软件模块等组件以与应用程序相同的权限运行。如果易受攻击的组件被利用，此类攻击可能导致严重的数据丢失或服务器被接管。使用已知漏洞组件的应用程序和 API 可能会破坏应用程序防御并导致各种攻击和影响。

网思 Web 应用防火墙 保护

• 我们建议确保第三方组件保持最新状态。

• 转换为 ADC 签名的漏洞扫描报告可用于虚拟修补这些组件。

• 可以使用适用于这些易受攻击组件的应用程序防火墙模板。

• 可以将自定义签名与防火墙绑定以保护这些组件。

A7:2021–身份验证失效

与身份验证和会话管理相关的应用程序功能常常实现不正确，这使得攻击者能够泄露密码、密钥或会话令牌，或者利用其他实现缺陷暂时或永久地冒充其他用户的身份。

网思 Web 应用防火墙 保护功能

• NetScaler AAA 模块执行用户身份验证，并为后端应用程序提供单点登录功能。这已集成到 NetScaler AppExpert 策略引擎中，以允许基于用户和组信息制定自定义策略。

• 利用 SSL 卸载和 URL 转换功能，防火墙还可以帮助站点使用安全的传输层协议，以防止通过网络嗅探窃取会话令牌。

• 可以采用 Cookie 代理和 Cookie 加密来完全缓解 Cookie 窃取。

A8:2021 - 软件和数据完整性故障

不安全的序列化通常会导致远程代码执行。即使序列化缺陷不会导致远程代码执行，它们也可以用于执行攻击，包括重放攻击、注入攻击和权限提升攻击。

NetScaler Web 应用防火墙保护功能

• 使用自定义签名的 JSON 有效负载检查。

• XML 安全：防止 XML 拒绝服务 (xDoS)、XML SQL 和 Xpath 注入以及跨站点脚本、格式检查、WS-I 基本配置文件合规性、XML 附件检查。

• 可以使用字段格式检查、Cookie 一致性和字段一致性。

A9:2021 - 安全日志记录和监控故障

日志记录和监控不足，加上事件响应集成缺失或无效，使得攻击者能够进一步攻击系统、保持持久性、转向更多系统以及篡改、提取或销毁数据。大多数泄露研究表明，检测泄露的时间超过 200 天，通常由外部方而非内部流程或监控检测到。

NetScaler Web 应用防火墙保护功能

• 当安全检查或签名启用日志操作时，生成的日志消息提供有关应用程序防火墙在保护您的网站和应用程序时观察到的请求和响应的信息。

• 应用防火墙提供了利用内置 ADC 数据库的便利，以识别与恶意请求来源 IP 地址相对应的地理位置。

• 默认格式 (PI) 表达式提供了灵活性，可以自定义日志中包含的信息，并可选择将特定数据添加到应用防火墙生成的日志消息中进行捕获。

• 应用防火墙支持 CEF 日志。

参考文献

• HTML 结构化查询语言注入检查

• XML 结构化查询语言注入检查

• 使用命令行配置 HTML 跨站点脚本检查

• XML 跨站点脚本检查

• 使用命令行配置缓冲区溢出安全检查

• 添加或删除签名对象

• 配置或修改签名对象

• 更新签名对象

• Snort 规则集成

• 机器人检测

• Deploy a NetScaler VPX instance on Microsoft Azure