Engine-Einstellungen

Die Engine-Einstellungen wirken sich auf alle Anforderungen und Antworten aus, die von der Citrix Web App Firewall verarbeitet werden. Im Folgenden sind die Einstellungen:

• Cookie-Name— Der Name des Cookies, in dem die Citrix ADC -Sitzungs-ID gespeichert ist.
• Sitzungszeitüberschreitung— Der maximal zulässige inaktive Zeitraum. Wenn eine Benutzersitzung für diese Dauer keine Aktivität anzeigt, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen.
• Cookie post-encrypts Präfix: Die Zeichenfolge, die dem verschlüsselten Teil aller verschlüsselten Cookies vorangeht.
• Maximale Sitzungslebensdauer: Die maximale Zeitdauer (in Sekunden), in der eine Sitzung live bleiben darf. Nachdem dieser Zeitraum erreicht ist, wird die Sitzung beendet und der Benutzer muss sie durch den Besuch einer bestimmten Startseite wiederherstellen. Diese Einstellung darf nicht kleiner sein als das Sitzungstimeout. Um diese Einstellung zu deaktivieren, so dass keine maximale Sitzungslebensdauer vorhanden ist, setzen Sie den Wert auf Null (0).
• Logging Headername— Der Name des HTTP-Headers, der die Client-IP enthält, für die Protokollierung.
• Undefiniertes Profil— Das Profil, das angewendet wird, wenn die entsprechende Richtlinienaktion als nicht definiert ausgewertet wird.
• Standardprofil— Das Profil, das auf Verbindungen angewendet wird, die nicht mit einer Richtlinie übereinstimmen.
• Importgrößenlimit: Die maximale Byteanzahl aller in die Appliance importierten Dateien, einschließlich Signaturen, WSDLs, Schemas, HTML- und XML-Fehlerseiten. Wenn während eines Imports die Größe des importierten Objekts bewirkt, dass die kumulative Anzahl aller importierten Dateien den konfigurierten Grenzwert überschreitet, schlägt der Importvorgang fehl. Und die Appliance zeigt die folgende Fehlermeldung an: “FEHLER: Import fehlgeschlagen - Überschreiten der konfigurierten Gesamtgrößengrenze für die importierten Objekte”.
• Grenzwert für Lernnachrichten: Die maximale Anzahl von Anfragen und Antworten pro Sekunde, die die Lern-Engine verarbeiten soll. Zusätzliche Anfragen oder Antworten über dieses Limit werden nicht an die Lern-Engine gesendet.
• Entitätsdekodierung— Dekodieren von HTML-Entitäten bei der Ausführung von Web App Firewall Prüfungen.
• Fehlerhafte Anforderung protokollieren— Aktivieren Sie die Protokollierung von fehlerhaften HTTP-Anforderungen.
• Konfigurierbarer geheimer Schlüsselverwenden — Verwenden Sie einen konfigurierbaren geheimen Schlüssel für Web App Firewall Vorgänge. Dieser geheime Schlüssel wird zum Signieren und Verifizieren von Daten verwendet. Wenn “UseConfigurableSecretKey” eingeschaltet ist, müssen Sie den Schlüssel verwenden, der im Parameter “set ns EncryptionParams” aktiviert ist.
• Gelernte Daten zurücksetzen— Entfernen Sie alle gelernten Daten aus der Web App Firewall. Startet den Lernprozess neu, indem neue Daten gesammelt werden.

Zwei Einstellungen,Gelernte Daten zurücksetzenundAutomatische Signaturen, sind an verschiedenen Stellen, je nachdem, ob Sie die Citrix Web App Firewall über die Befehlszeilenschnittstelle oder die Citrix ADC GUI konfigurieren. Wenn Sie die Befehlszeilenschnittstelle verwenden, konfigurieren Sie “Gelernte Daten zurücksetzen” mithilfe des Befehls “appfw learning data”. Dies nimmt keine Parameter und hat keine anderen Funktionen. Sie können die automatische Aktualisierung der Signatur im Befehl set appfw settings konfigurieren. Der Parameter -SignatureAutoUpdate aktiviert oder deaktiviert die automatische Aktualisierung der Signaturen, und -signatureURL konfiguriert die URL, die die aktualisierte Signaturdatei hostet.

Wenn Sie die Citrix ADC GUI verwenden, konfigurieren SieGelernte Daten zurücksetzenunterSicherheit > Citrix Web App Firewall > Engine-Einstellungen. Die OptionGelernte Daten zurücksetzenbefindet sich am unteren Rand des Dialogfelds. Sie konfigurieren Signaturen Auto-Update für jeden Satz von Signaturen unterSicherheit>Citrix Web App Firewall>Signaturen, indem Sie die Signaturdatei auswählen, mit der rechten Maustaste klicken undEinstellungen für automatische Updatesauswählen.

Normalerweise sind die Standardwerte für dieWeb App FirewallEinstellungen korrekt. Wenn die Standardeinstellungen jedoch zu einem Konflikt mit anderen Servern führen oder eine vorzeitige Trennung Ihrer Benutzer führen, müssen Sie diese ändern.

Das Sitzungslimit derWeb App Firewallkann mit dem folgenden Befehl konfiguriert werden:

> set appfw settings -sessionLimit 500000 Done Default value:100000 Max value:500000 per PE 

So konfigurieren Sie Engine-Einstellungen mit der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

• set appfw settings [-sessionCookieName ] [-sessionTimeout ] [-sessionLifetime ][-clientIPLoggingHeader ] [-undefaction ] [-defaultProfile ] [-importSizeLimit ] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl ] [-cookiePostEncryptPrefix ] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit ]
• save ns config

Beispiel

设置appfw设置-sessionCookieName citrix-appfw-id -sessionTimeout 3600 -sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET -defaultProfile APPFW_RESET -importSizeLimit 4096 save ns config 

So konfigurieren Sie Engine-Einstellungen über die Citrix ADC GUI

1. Navigieren Sie zuSicherheit>Citrix Web App Firewall
2. Klicken Sie im Detailbereich unterEinstellungenaufEngine-Einstellungen ändern.
3. Legen Sie im DialogfeldEinstellungen für Web App Firewalldie folgenden Parameter fest:
   • Cookie-Name
   • Sitzungstimeout
   • Präfix für Cookie-Post verschlüsseln
   • Maximale Sitzungslebensdauer
   • Protokollierungskopfname
   • Nicht definiertes Profil
   • Standardprofil
   • Import-Größenbeschränkung
   • Lerne Nachrichten Rate Limit
   • Entitätsdekodierung
   • Fehlformatierte Anforderung protokollieren
   • Geheimer Schlüssel verwenden
   • Lernen Grenzwert für Nachrichtenrate
   • Signaturen automatisch aktualisieren

4. Klicken Sie aufOK.