Der Web App Firewall-Assistent

Im Gegensatz zu den meisten Assistenten wurde der NetScaler Web App Firewall-Assistent nicht nur dazu entwickelt, den Erstkonfigurationsprozess zu vereinfachen, sondern auch zuvor erstellte Konfigurationen zu ändern und Ihr Web App Firewall-Setup beizubehalten. Ein typischer Benutzer führt den Assistenten mehrmals aus, wobei jedes Mal einige Bildschirme übersprungen werden.

Der Web App Firewall Wizard erstellt automatisch Profile, Richtlinien und Signaturen.

Den Wizard öffnen

Um den Web App Firewall Wizard auszuführen, öffnen Sie die GUI und gehen Sie wie folgt vor:

1. Navigieren Sie zuSicherheit>Application Firewall.
2. Klicken Sie im Detailbereich unterGetting StartedaufApplication Firewall Wizard. Der Assistent wird geöffnet.

Weitere Informationen zur GUI finden Sie unterDie Web App Firewall Configuration Interfaces.

Die Bildschirme des Assistenten

Der Web App Firewall-Assistent zeigt die folgenden Bildschirme auf einer tabellarischen Seite an:

1. Namen angeben: Geben Sieauf diesem Bildschirm beim Erstellen einer neuen Sicherheitskonfiguration einen aussagekräftigen Namen und den entsprechenden Typ (HTML, XML oder WEB 2.0) für Ihr Profil an. Die Standardrichtlinie und die Signaturen werden automatisch unter Verwendung desselben Namens generiert.

Name des Profils

Der名字萤石麻省理工学院einem Buchstaben,静脉Zahl颂歌r dem Unterstrichsymbol beginnen und aus 1 bis 31 Buchstaben, Zahlen und den Symbolen Bindestrich (-), Punkt (.), Pfund (#), Leerzeichen (), At (@), Gleichheit (=), Doppelpunkt (:) und Unterstrich (_) bestehen. Wählen Sie einen Namen, anhand dessen andere leicht erkennen können, welche Inhalte Ihre neue Sicherheitskonfiguration schützt.

Hinweis:

Da der Assistent diesen Namen sowohl für die Richtlinie als auch für das Profil verwendet, ist er auf 31 Zeichen begrenzt. Manuell erstellte Richtlinien können Namen mit einer Länge von bis zu 127 Zeichen haben.

Wenn Sie eine vorhandene Konfiguration ändern, wählen Sie Bestehende Konfiguration ändern und wählen Sie dann in der Dropdownliste Name den Namen der vorhandenen Konfiguration aus, die Sie ändern möchten.

Hinweis:

In dieser Liste werden nur Richtlinien angezeigt, die an einen globalen oder an einen Bindungspunkt gebunden sind. Sie können eine ungebundene Richtlinie nicht mithilfe des Application Firewall-Assistenten ändern. Sie müssen es entweder manuell an Global oder einen Bindungspunkt binden oder es manuell ändern. (Zur manuellen Änderung in der GUI)Application Firewall >Richtlinien>Firewall-Bereich**, wählen Sie die Richtlinie aus und klicken Sie auf **Öffnen.

Profiltyp

Auf diesem Bildschirm wählen Sie auch einen Profiltyp aus. Der Profiltyp bestimmt die Arten des erweiterten Schutzes (Sicherheitsprüfungen), die konfiguriert werden können. Da bestimmte Arten von Inhalten nicht für bestimmte Arten von Sicherheitsbedrohungen anfällig sind, spart die Einschränkung der Liste der verfügbaren Prüfungen Zeit bei der Konfiguration. Die Typen von Web App Firewall-Profilen sind:

• Webanwendung (HTML). Jede HTML-basierte Website, die keine XML- oder Web 2.0-Technologien verwendet.
• XML-Anwendung (XML, SOAP). Jeder XML-basierte Webdienst.
• Web 2.0-Anwendung (HTML, XML, REST). Jede Web 2.0-Site, die HTML- und XML-basierte Inhalte kombiniert, z. B. eine Atom-basierte Website, ein Blog, ein RSS-Feed oder ein Wiki.

Hinweis:Wenn Sie sich nicht sicher sind, welche Art von Inhalten auf Ihrer Website verwendet wird, können Sie Web 2.0-Anwendung wählen, um sicherzustellen, dass Sie alle Arten von Webanwendungsinhalten schützen.

2. Regel angeben:Auf diesem Bildschirm geben Sie die Richtlinienregel (Ausdruck) an, die den Datenverkehr definiert, den die aktuelle Konfiguration untersucht. Wenn Sie eine Erstkonfiguration zum Schutz Ihrer Websites und Webdienste erstellen, können Sie den Standardwerttrueakzeptieren, der den gesamten Webverkehr auswählt.

Wenn Sie möchten, dass diese Sicherheitskonfiguration nicht den gesamten HTTP-Verkehr, der durch die Appliance geleitet wird, sondern bestimmten Datenverkehr untersucht, können Sie eine Richtlinienregel schreiben, die den Traffic angibt, den sie untersuchen soll. Die Regeln sind in der NetScaler Expressions Language geschrieben, einer voll funktionsfähigen objektorientierten Programmiersprache.

Hinweis:Zusatzlich苏珥语法der Standardausdrucke unterstützt das NetScaler-Betriebssystem aus Gründen der Abwärtskompatibilität die Syntax für klassische Ausdrücke von NetScaler auf NetScaler Classic- und NCore-Appliances und virtuellen Appliances. Klassische Ausdrücke werden auf NetScaler Cluster-Appliances und virtuellen Appliances nicht unterstützt. Aktuelle Benutzer, die ihre vorhandenen Konfigurationen in den NetScaler Cluster migrieren möchten, müssen alle Richtlinien, die klassische Ausdrücke enthalten, in die Standardausdrucksyntax migrieren.

• Eine einfache Beschreibung zur Verwendung der Syntax für NetScaler-Ausdrücke zum Erstellen von Web App Firewall-Regeln und eine Liste nützlicher Regeln finden Sie unterFirewall-Richtlinien.
• Eine ausführliche Erklärung zum Erstellen von Richtlinienregeln in der Syntax von NetScaler Ausdrücken finden Sie unterRichtlinien und Ausdrücke.

4. Wählen Sie Signaturen: Auf diesem Bildschirm wählen Sie die Signaturkategorien aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten.

Dies ist kein obligatorischer Schritt. Sie können ihn überspringen, wenn Sie möchten, und zum BildschirmSpecify Deep Protectionswechseln. Wenn der Bildschirm “Signaturen auswählen” übersprungen wird, werden nur ein Profil und die zugehörigen Richtlinien erstellt, und die Signaturen werden nicht erstellt.

Sie könnenNeue Signatur erstellenoderBestehende Signatur auswählen.

Wenn Sie eine neue Sicherheitskonfiguration erstellen, sind die ausgewählten Signaturkategorien aktiviert und werden standardmäßig in einem neuen Signaturobjekt aufgezeichnet. Dem neuen Signaturobjekt wird derselbe Name zugewiesen, den Sie auf dem Bildschirm “Namen angeben” eingegeben haben, als Name der Sicherheitskonfiguration.

Wenn Sie bereits Signaturobjekte konfiguriert haben und eines davon als Signaturobjekt verwenden möchten, das der Sicherheitskonfiguration zugeordnet ist, die Sie erstellen, klicken Sie aufBestehende Signatur auswählenund wählen Sie ein Signaturobjekt aus der Liste Signaturen aus.

Wenn Sie eine vorhandene Sicherheitskonfiguration ändern, können Sie auf Bestehende Signatur auswählen klicken und der Sicherheitskonfiguration ein anderes Signaturobjekt zuweisen.

Wenn Sie auf Neue Signatur erstellen klicken, können Sie den Bearbeitungsmodus aufEinfachoderErweitertwählen.

1. Signaturschutz angeben (einfacher Modus)

Der einfache Modus ermöglicht eine einfache Konfiguration der Signatur mit einer voreingestellten Liste von Schutzdefinitionen für gängige Anwendungen wie IIS (Internet Information Server), PHP und ActiveX. Die Standardkategorien im einfachen Modus sind:

• CGI. Schutz vor Angriffen auf Websites, die CGI-Skripts in jeder Sprache verwenden, einschließlich PERL-Skripts, Unix-Shell-Skripts und Python-Skripts.

• Cold Fusion. Schutz vor Angriffen auf Websites, die die Adobe Systems® ColdFusion® Webentwicklungsplattform verwenden.

• FrontPage. Schutz vor Angriffen auf Websites, die die Microsoft® FrontPage® Webentwicklungsplattform verwenden.

• PHP. Schutz vor Angriffen auf Websites, die die Open-Source-Webentwicklungsskriptsprache PHP verwenden.

• Client side. Schutz vor Angriffen auf clientseitige Tools, die für den Zugriff auf Ihre geschützten Websites verwendet werden, wie Microsoft Internet Explorer, Mozilla Firefox, den Opera-Browser und den Adobe Acrobat Reader.

• Microsoft IIS. Schutz vor Angriffen auf Websites, auf denen der Microsoft Internet Information Server (IIS) ausgeführt wird

• Diverses. Schutz vor Angriffen auf andere serverseitige Tools wie Webserver und Datenbankserver.

Auf diesem Bildschirm wählen Sie die Aktionen aus, die den Signaturkategorien zugeordnet sind, die Sie auf dem Bildschirm “Signaturen auswählen” ausgewählt haben. Die Aktionen, die Sie konfigurieren können, sind:

• Blockieren
• Protokoll
• Statistiken

Standardmaßig信德死Aktionen日志和圣ats aktiviert, aber nicht die Aktion Blockieren. Um Aktionen zu konfigurieren, klicken Sie aufEinstellungen. Sie können die Aktionseinstellungen aller ausgewählten Kategorien mithilfe der DropdownlisteAktionändern.

1. Signaturschutz angeben (Erweiterter Modus)

Der erweiterte Modus ermöglicht eine genauere Kontrolle der Signaturdefinitionen und bietet deutlich mehr Informationen. Verwenden Sie den erweiterten Modus, wenn Sie vollständige Kontrolle über die Signaturdefinition wünschen.

Der Inhalt dieses Bildschirms entspricht dem Inhalt des Dialogfelds “Signatures-Objekt ändern”, wie unterKonfigurieren oder Ändern eines Signatures-Objektsbeschrieben. In diesem Bildschirm können Sie Aktionen konfigurieren, indem Sie entweder auf die DropdownlisteAktionenoder auf das Aktionsmenü klicken, das als Kreis mit drei Punkten angezeigt wird.

7. Deep Protections angeben:Auf diesem Bildschirm wählen Sie die erweiterten Schutzmaßnahmen (auch Sicherheitsüberprüfungen oder einfach Prüfungen genannt) aus, die Sie zum Schutz Ihrer Websites und Webdienste verwenden möchten. Welche Prüfungen verfügbar sind, hängt vom Profiltyp ab, den Sie auf dem Bildschirm “Namen angeben” ausgewählt haben. Alle Prüfungen sind für Web 2.0-Anwendungsprofile verfügbar.

Weitere Informationen finden Sie unterÜberblick über Sicherheitsprüfungenund unterErweiterte Formularschutzprüfungen.

Sie konfigurieren die Aktionen für den erweiterten Schutz, den Sie aktiviert haben.Die Aktionen, die Sie konfigurieren können, sind:

• Blockieren: blockiert Verbindungen, die der Signatur entsprechen. Diese Funktion ist standardmäßig deaktiviert.
• Protokoll: protokolliert Verbindungen, die der Signatur entsprechen, für eine spätere Analyse. Standardmäßig aktiviert.
• Statistiken: führt Statistiken für jede Signatur, die zeigt, wie viele Verbindungen zugeordnet wurden, und enthält bestimmte andere Informationen über die Arten von Verbindungen, die blockiert wurden. Diese Funktion ist standardmäßig deaktiviert.
• Lernen. Beobachten Sie den Traffic auf dieser Website oder diesem Webservice und verwenden Sie Verbindungen, die wiederholt gegen diese Prüfung verstoßen, um empfohlene Ausnahmen von der Überprüfung oder neue Regeln für die Überprüfung zu generieren. Nur für einige Schecks verfügbar. Weitere Informationen zur Lernfunktion finden Sie unterKonfigurieren und Verwenden der Lernfunktionund wie Lernen funktioniert und wie Ausnahmen (Entspannungen) konfiguriert oder erlernte Regeln für eine Überprüfung bereitstellen, finden Sie unterManuelle Konfiguration mit der GUI.

Um Aktionen zu konfigurieren, aktivieren Sie den Schutz, indem Sie auf das Kontrollkästchen klicken, und klicken Sie dann aufAktionseinstellungen, um die erforderlichen Aktionen auszuwählen. Wählen Sie ggf. andere Parameter aus, und klicken Sie dann aufOK, um das Fenster Aktionseinstellungen zu schließen.

Um alle Protokolle für eine bestimmte Prüfung anzuzeigen, wählen Sie diese Prüfung aus, und klicken Sie dann aufProtokolle, um den Syslog Viewer anzuzeigen, wie inWeb App Firewall Logsbeschrieben. Wenn eine Sicherheitsüberprüfung den legitimen Zugriff auf Ihre geschützte Website oder Ihren geschützten Webdienst blockiert, können Sie eine Entspannung für diese Sicherheitsprüfung erstellen und implementieren, indem Sie ein Protokoll auswählen, das die unerwünschte Blockierung anzeigt, und dann aufBereitstellenklicken.

Nachdem Sie die Angabe der Aktionseinstellungen abgeschlossen haben, klicken Sie aufFertig stellen,嗯窝Assistenten abzuschließen.

Im Folgenden finden Sie vier Verfahren, die zeigen, wie bestimmte Konfigurationstypen mithilfe des Web App Firewall-Assistenten durchgeführt werden.

Erstellen Sie eine neue Konfiguration

Gehen Sie wie folgt vor, um mithilfe des Application Firewall-Assistenten eine neue Firewallkonfiguration und Signaturobjekte zu erstellen.

1. Navigieren Sie zuSicherheit>Application Firewall.

2. Klicken Sie im Detailbereich unterGetting Startedauf **Application Firewall. Der Assistent wird geöffnet.

   

3. Wählen Sie im BildschirmNamen angebendie Option **Neue Konfiguration erstellen.

4. Geben Sie im FeldNameeinen Namen ein, und klicken Sie dann aufWeiter.

5. KlickenSie im Bildschirm „Regel angeben“ erneut aufWeiter.

6. Wählen Sie im BildschirmSignaturen auswählendie OptionNeue Signatur erstellenundEinfachals Bearbeitungsmodus aus, und klicken Sie dann aufWeiter.

7. Konfigurieren Sie im BildschirmSignaturschutz angebendie erforderlichen Einstellungen. Weitere Informationen darüber, welche Signaturen für das Blockieren in Betracht gezogen werden sollten und wie Sie feststellen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unterSignaturen.

8. Konfigurieren Sie im BildschirmDeep Protections angebendie erforderlichen Aktionen und Parameter in denAktionseinstellungen.

9. Wenn Sie fertig sind, klicken Sie aufFertig stellen, um den Application Firewall-Assistenten zu schließen.

Ändern Sie eine bestehende Konfiguration

Gehen Sie wie folgt vor, um eine bestehende Konfiguration und bestehende Signaturkategorien zu ändern.

1. Navigieren Sie zuSicherheit>Application Firewall.
2. Klicken Sie im Detailbereich unterGetting StartedaufApplication Firewall Wizard. Der Assistent wird geöffnet.
3. Wählen Sie auf dem BildschirmNamen angebendie Option “Bestehende Konfiguration ändern” und wählen Sie in der DropdownlisteNamedie Sicherheitskonfiguration aus, die Sie bei der neuen Konfiguration erstellt haben, und klicken Sie dann aufWeiter.
4. Klicken Sie im FensterRegel angebenauf “Weiter”, um den Standardwert “true” beizubehalten. Wenn Sie die Regel ändern möchten, führen Sie die unterKonfigurieren eines benutzerdefinierten Richtlinienausdrucks beschriebenen Schritte aus.
5. Klicken Sie im BildschirmSignaturen auswählenaufVorhandene Signatur auswählen. Wählen Sie in der DropdownlisteVorhandene Unterschriftdie entsprechende Option aus, und klicken Sie dann aufWeiter. Der Bildschirm mit erweitertem Signaturschutz wird angezeigt.Hinweis:Wenn Sie eine vorhandene Signatur auswählen, ist der Standardbearbeitungsmodus für signaturgeschützt auf “Erweitert”.
6. Konfigurieren Sie im Bildschirm Signaturschutz angeben die erforderlichen Einstellungen, und klicken Sie aufWeiter. Weitere Informationen darüber, welche Signaturen für das Blockieren in Betracht gezogen werden sollten und wie Sie feststellen können, wann Sie das Blockieren für eine Signatur sicher aktivieren können, finden Sie unterSignaturen.
7. Konfigurieren Sie im FensterDeep Protections angebendie Einstellungen, und klicken Sie aufWeiter.
8. Wenn Sie fertig sind, klicken Sie aufFertig stellen, um denWeb App Firewall-Assistentenzu schließen.

Erstellen Sie eine neue Konfiguration ohne Signaturen

Gehen Sie wie folgt vor, um mit dem Application Firewall Wizard den Bildschirm “Signaturen auswählen” zu überspringen und eine neue Konfiguration zu erstellen, die nur das Profil und die zugehörigen Richtlinien enthält, aber keine Signaturen enthält.

1. Navigieren Sie zuSicherheit>Application Firewall.
2. Klicken Sie im Detailbereich unterGetting StartedaufApplication Firewall Wizard. Der Assistent wird geöffnet.
3. Wählen Sie auf dem Bildschirm „Namen angeben“ die OptionNeue Konfiguration erstellenaus.
4. Geben Sie im FeldNameeinen Namen ein, und klicken Sie dann aufWeiter.
5. Klicken Sie im BildschirmRegel angebenerneut aufWeiter.
6. Klicken Sie im BildschirmSignaturen auswählenaufÜberspringen.
7. Konfigurieren Sie im BildschirmDeep Protections angebendie erforderlichen Aktionen und Parameter in denAktionseinstellungen.
8. Wenn Sie fertig sind, klicken Sie aufFertig stellen, um den Application Firewall Wizard zu schließen.

Benutzerdefinierten Richtlinienausdruck konfigurieren

Gehen Sie wie folgt vor, um mit dem Application Firewall Wizard eine spezielle Sicherheitskonfiguration zu erstellen, die nur bestimmte Inhalte schützt. In diesem Fall erstellen Sie eine neue Sicherheitskonfiguration, anstatt die ursprüngliche Konfiguration zu ändern. Für diese Art der Sicherheitskonfiguration ist eine benutzerdefinierte Regel erforderlich, sodass die Richtlinie die Konfiguration nur auf den ausgewählten Webverkehr anwendet.

1. Navigieren Sie zuSicherheit>Application Firewall.
2. Klicken Sie im Detailbereich unterGetting StartedaufApplication Firewall Wizard.
3. Geben Sie auf dem Bildschirm “Namen angeben” einen Namen für Ihre neue Sicherheitskonfiguration in das Textfeld Name ein, wählen Sie den Typ der Sicherheitskonfiguration aus der Dropdownliste Typ aus, und klicken Sie dann aufWeiter.
4. Geben Sie auf dem BildschirmRegel angeben一杯Regel一杯,死努尔民主党所寄物品entspricht,窝diese Webanwendung schützen soll. Verwenden Sie die DropdownlisteHäufig verwendete Ausdrückeund denAusdruckseditor, um einen benutzerdefinierten Ausdruck zu erstellen. Wenn Sie fertig sind, klicken Sie aufWeiter.
5. Wählen Sie im BildschirmSignaturen auswählenden Bearbeitungsmodus aus, und klicken Sie dann aufWeiter.
6. Konfigurieren Sie im BildschirmSignaturschutz angebendie erforderlichen Einstellungen.
7. Konfigurieren Sie im BildschirmDeep Protections angebendie erforderlichen Aktionen und Parameter in denAktionseinstellungen.
8. Wenn Sie fertig sind, klicken Sie aufFertig stellen, um denApplication Firewall Wizardzu schließen.