Streaming-Unterstützung für die Bearbeitung von Anfragen

Die Citrix Web App Firewall unterstützt流媒体auf Anforderungsseite, um eine deutliche Leistungssteigerung zu erzielen Anstatt eine Anforderung zu puffern, untersucht Die Appliance den eingehenden Datenverkehr auf Sicherheitsverletzungen wie SQL，跨站点脚本，Feldkonsistenz und Feldformate。Wenn die Appliance die Verarbeitung der Daten für ein Feld abgeschlossen hat, ward die Anforderung an den后端服务器weitergeleet, während die Appliance weiterhin andere Felder auswertet。我的日期，我的日期，我的日期，我的日期，我的日期。

Citrix empfiehlt，流媒体für nutzlast -吸气mit mehr als 20 MB zu aktivierenAußerdem muss der后端服务器die chunded - anforderungen akzeptieren, wenn das流式aktiviert ist。

Hinweis:

死Aktion "后身体限制" ist immer auf " Blockieren " eingestelt和黄金sowohl für den流- als auh für den Wenn der eingehende Datenverkehr größer als 20 MB ist, empfiehlt Citrix, denPostBodyLimitauf den erwarteten Wert zu konfigurieren。

Obwohl der stream - prozess für die Benutzer transparent ist, sind aufgrund der folgenden Änderungen geringfügige Konfigurationsanpassungen erforderlich:

正则表达式模式匹配:Die RegEx-Musterübereinstimmung ist jetzt für zusammenhängende Zeichenfolgenübereinstimmungen auf 4K beschränkt。

Übereinstimmung mit Feldnamen:Das Lernmodul der Web App Firewall kann nur die ersten 128字节。Wenn ein公式mehrere Felder mit Namen hat, die eine identische Zeichenfolgenübereinstimmung für die ersten 128字节aufweisen, unterschedet die Lernmaschine sie nicht。在ähnlicher, Weise kann die eingesetzte Entspannungsregel versehentlich allle diese Felder lockern。

Das Entfernen von Leerräumen, die prozentuale Dekodierung, die Unicode-Dekodierung和die Zeichensatzkonvertierung werden während der Kanonisierung durchgeführt, um eine Sicherheitsüberprüfung zu ermöglichen。Das 128字节限制镀金für die kanonische Darstellung des Feldnamens im UTF-8-Zeichenformat。Die ASCII-Zeichen sind 1 Byte lang, aber Die UTF-8-Darstellung der Zeichen in ininigen internationalen Sprachen kann von 1 Byte bis 4 Byte reichen。Wenn jedes Zeichen in einem Namen 4字节für die Konvertierung in das UTF-8-Format benötigt, können nur die ersten 32 Zeichen im Namen durch die gelernte Regel unterschieden werden。

Feldkonsistenzprufung:Sitzung basierend auf dem von der Web App Firewall eingefügten " as_fid " -Tag gespeichert, onhne die " action_url " zu berücksichtigen。

• 公式标注für Konsistenz im Formularfeld:Wenn die Feldkonsistenzprüfung aktiviert ist, muss auh das Formulartag aktiviert sein Der Schutz vor Feldkonsistenz funktioniert möglicherweise nicht, Wenn das Formulartagging ausgeschaltet ist。
• Konsistenz von sitzungslosen配方:Die Web应用防火墙führt Die Konvertierung von Formularen nicht mehr von " GET " nach " POST " durch, wenn der参数für Die Feldkonsistenz ohne Sitzung aktiviert ist。《公式大全》für die Konsistenz von Feldern ohne Sitzung erforderlich。
• 操作von as_fid:Wenn in公式，操作，操作，狂野，狂野，Verletzung der Feldkonsistenz ausgelöst, selbst Wenn kein Feld，操作，狂野。贝尼特-川-安弗德隆根战争死亡zulässig，达死亡公式米蒂尔生命der in der Sitzung gespeicherten " action_url " validiert werden können。

Signaturen:Die Signaturen haben jetzt Die folgenden Spezifikationen:

• Standort:我们是安弗德隆的，我们是站在那里für杰德斯的广场。allle gather in der Regel得静脉<地址>标签有抗议。

• 快速地高谈阔论:allle Signaturregeln müssen ein schnelles Übereinstimmungsmuster haben。Wenn es kein快速匹配-召集吉bt，古怪versucht, Wenn möglich eines auszuwählen。快速匹配文学作品，PCRE康阿贝尔für eine schnelle Übereinstimmung verwendet werden, wenn sie eine verwendbare Literalzeichenfolge enthält。

• Veraltete Speicherorte:Folgende Speicherorte werden in Signaturregeln nicht mehr unterstützt。

  • HTTP_ANY
  • HTTP_RAW_COOKIE
  • HTTP_RAW_HEADER
  • HTTP_RAW_RESP_HEADER
  • HTTP_RAW_SET_COOKIE

跨站脚本/ SQL转换:Rohdaten werden für die Transformation verwendet, da die SQL-Sonderzeichen wie einfaches Anführungszeichen(')，反斜杠()und Semikolon (;)) sowie跨站点脚本标签identisch sinind und keine Kanonisierung von Daten erfordern。Die Darstellung von Sonderzeichen wie HTML-Entity-Codierung, prozentuale Codierung oder ASCII野für den Transformationsvorgang ausgewertet。

Die Web应用程序防火墙prüft nicht mehr sowohl den Attributnamen als auh den Wert für Die跨站点脚本脚本转换。跨站点脚本-属性命名，流媒体。

Verarbeitung von Cross-Site-Scripting-Tags:Im Rahmen der流媒体-Änderungen在NetScaler 10.5。e建立和höher wurde die Verarbeitung der跨站点脚本标签geändert。在früheren版本onen wurde das Vorhandensein einer offenen Klammer (<) oder einer schließenden Klammer (>) oder beiden (<>) als跨站点脚本- verletzung gekennzeichnet。Das Verhalten hat sich ab 10.5版本。e geandert。Nur das Vorhandensein des characterakters in offener Klammer(<)，或只有右括号字符(>)wildnicht mehr als Angriff betrachtet。Klammer(<)后面跟着一个右括号字符(>)，der Cross-Site-Scripting-Angriff markiert wild。Beide zechen müssen in der richtigen Reihenfolge(<后面跟着>)vorhanden sein, um die cross - site - scripting verletzung auszulösen。

Hinweis:

Meldung zur Änderung des SQL-Verstoßprotokolls:Im Rahmen der Streaming-Änderungen在Citrix ADC ab版本10.5。e verarbeiten wir die Eingabedaten jetzt在Blöcken。RegEx模式匹配ist jetzt für zusammenhängende Zeichenfolgen auf 4K beschränkt。Mit dieser Änderung können die SQL-Verstoßprotokollmeldungen andere Informationen im Vergleich zu früheren build enthten。Das Schlüsselwort und Das Sonderzeichen在der Eingabe sind durch viele Byte getrent。Die Appliance verfolgt Die SQL-Schlüsselwörter und speziellen Zeichenfolgen bei der Verarbeitung der Daten, anstatt den gesamten Eingabewert zu puffern。Zusätzlich zum Feldnamen enthält die Protokollnachricht das SQL-Schlüsselwort, das SQL-Sonderzeichen oder sowohl das SQL-Schlüsselwort als auh das SQL-Sonderzeichen。Der Rest Der Eingabe ist nicht mehr in Der Protokollnachricht enthalten, wie im folgenden Beispiel gezeigt:

Beispiel:

在10.5中，wenn die Web App Firewall die SQL-Verletzung erkennt, ist möglicherweise die gesamte Eingabezeichenfolge In der folgenden Protokollmeldung enthalten:

死SQL-Schlüsselwortprüfung istText ="select a name from testbed1\;\(\;\)".*

在11.0 protokollieren wir nur den Feldnamen, das Schlüsselwort und das Sonderzeichen (falls zutreffend)在der folgenden Protokollnachricht。

SQL-Schlüsselwortprüfung für Feld fehlgeschlagen文本= "选择(,)"< >阻塞

Diese Änderung gilt für Anforderungen，死Anwendung / x-www-form-urlencoded奥得河多部分/ Form-Daten奥得河文本- / x-gwt-rpcInhaltstypen enthalten。原kollmeldungen, die während der Verarbeitung vonJSON——奥得河XML-Nutzdatenwerden将军，sind von dieser Änderung nicht betroffen。

RAW POST正文:德国西切尔海茨市的城市，德国的城市，德国的城市，德国的城市Körper durchgeführt。

Formular-ID: Web应用程序防火墙的标签“as_fid”eingefügt，由它的sich um einen berechneten哈希公式处理，作为für Die Benutzersitzung länger eindeutig ist。Es ist in identischer Wert für ein bestimmtes formula, unabhängig vom Benutzer oder der Sitzung。

Zeichensatz:Wenn eine Anforderung keinen Zeichensatz帽子，奇怪的我anwendungsproffil angegebene标准Zeichensatz bei der Verarbeitung der Anforderung verwendet。

学院:

Zähler mit dem Präfix " se " und " appfreq " werden hinzugefügt，嗯die流媒体引擎und die Streaming-Engine-Anforderungszähler zu verfolgen。

Nsconsmg -d statswt0 -g se_err_

Nsconsmg -d statswt0 -g se_tot_

Nsconsmg -d statswt0 -g se_cur_

Nsconsmg -d statswt0 -g appfreq_err_

Nsconsmg -d statswt0 -g appfreq_tot_

Nsconsmg -d statswt0 -g appfreq_cur_

_err计数器中文:这是自然的，自然的，自然的，自然的，自然的，自然的问题，自然的，资源的，自然的问题。

_tot计数器: immer größer werdende Zähler。

_cur计数器: Zähler, die aktuelle Werte angeben, die sich basierend auf der Verwendung auaktuellen Transaktionen ständig ändern。

tipp:

• Die Sicherheitsüberprüfungen der Web App Firewall müssen genauso funktionieren wie zuvor。
• Für我爱你Sicherheitsüberprüfungen我爱你。
• 我们的回应方- - - - - - - - - - - - unverändert。
• 流媒体网络，让客户失去了VPN。

Wichtig:

Berechnung der Cookie-Länge:在10.5版本中。e wurde zusätzlich祖Citrix ADC版本11.0(在build vor 65.x) die Art der Verarbeitung des Cookie-Headers durch die Web App Firewall geändert。Die Appliance hat das Cookie einzeln ausgewertet, und wenn Die Länge eines Cookies im Cookie- header Die konfigurierte Länge überschritt, wurde Die Pufferüberlaufverletzung ausgelöst。Daher sind Anforderungen, die in der NetScaler 10.5 version oder früheren Versionen blockiert wurden, möglicherweise zulässig。Die Länge des gesamten Cookie-Headers ward nicht für Die Bestimmung der Cookie-Länge berechnet。在einigen sitationen kann die gesamte Cookie-Größe größer als der akzeptierte Wert sein, under Server antwortet möglicherweise mit“400 Bad Request”。

Hinweis:Die Änderung wurde rückgängig gemacht。Das Verhalten von NetScaler 10.5版本。e bis版本59.13xx。e und den nachfolgenden build ähnelt den build ohne Erweiterung von 10.5版本。Der gesamte rohe Cookie-Header奇怪的jetzt bei Der Berechnung Der Länge des Cookies berücksichtigt。Umgebende Räume und die Semikolon-Zeichen (;)， die die Name-Wert-Paare trennen, werden ebenfalls bei der Bestimmung der Cookie-Länge berücksichtigt。