Profileinstellungen der Webanwendungs-Firewall

Im Folgenden信德模具Profileinstellungen aufgeführt, die Sie auf der Appliance konfigurieren müssen。

Geben Sie and der Eingabeaufforderung ein:

添加appfw概要文件<名称> [-invalidPercentHandling < invalidPercentHandling >] [-checkRequestHeaders (|)] [-URLDecodeRequestCookies (|)] [-optimizePartialReqs (|)] [-errorURL <表达式>][-logEveryPolicyHit (|)] [-stripHtmlComments < stripHtmlComments >] [-stripXmlComments(没有|全部)][-postBodyLimitSignature < positive_integer >] [-fileUploadMaxNum < positive_integer >] [-canonicalizeHTMLResponse (|)] [-percentDecodeRecursively (|))[-multipleHeaderAction …][-inspectContentTypes …][- semiolonfieldseparator (ON | OFF)]

Beispiel:

添加appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Hierbei镀金:

invalidPercentHandling．konfiguriren Sie die Methode für den Umgang mit prozentkodierten Namen and Werten。

Verfügbare Einstellungen funktionieren wie folgt:

asp_mode - Entfernt und analysiert ungültige Prozent für das Parsen。Beispiel፦Curl -v " http:///forms/login.html?字段=sel%zzect ->无效的百分比编码字符(%zz)wid entfernt und der Rest des Inhalts wid überprüft und Maßnahmen für die SQLInjection-Überprüfung ergriffen。secure_mode - Wir erkennen den ungültigen prozentualen codierten Wert und忽略ihn。Beispiel፦Curl -v " http:///forms/login.html?字段=sel%zzect ->无效的百分比编码字符(%zz)wild erkannt, Zähler werden inkrementiert und under Inhalt wild so wie er ist an den Server weitergegeben。apache_mode - diesel Modus funktioniert ähnlich wie der sichere Modus。Mögliche Werte: apache_mode, asp_mode, secure_mode standard: secure_mode

optimizePartialReqs．Bei OFF/ON (ohne sicheres object) sendet eine Citrix ADC-Appliance die Teilanforderung an den后端服务器。Diese teilweise Antwort wurde an den Kunden zurückgesendet。OptimizePartialReqs ist sinvoll, wenn das Safe-Objekt konfiguriert ist。模具电器sendet Anfragen nach vollständiger安特沃特vom服务器，wenn sie AUS ist, und fordert nur eine teilweise安特沃特an, wenn sie EIN ist。

Verfügbare Einstellungen lauten wie folgt:

EIN - Teilweise Anfragen des客户端führen zu teilweisen Anfragen an den后端服务器。AUS - Teilanforderungen des Clients werden in vollständige Anforderungen an den后台服务器geändert Mögliche Werte: ON, OFF Standardwert: ON

URLDecodeRequestCookies．URL Dekodieren Sie Anforderungscookies, bevor Sie Sie SQL und Cross-Site-Scripting-Prüfungen unterziehen。

Mögliche Werte: ON, OFF Standardwert: OFF

Unterschrift后体极限(字节)．Schränkt die auf Signaturen untersuchte Anforderungsnutzlast (in Byte) mit dem Speicherort ein in der als " HTTP_POST_BODY " angegeben ist。

标准误差:8096最小误差:0最大误差:4294967295

Post-Body-Limit(字节)．Schränkt die von der Web应用防火墙überprüfte Anforderungsnutzlast (in Byte) ein。

标准误差:20000000最小误差:0最大误差:10gb

Weitere information zur Sicherheitseinstellung and ihrer GUI-Prozedur finden Sie unterKonfigurieren des Web应用防火墙应用防火墙配置文件．

postBodyLimitAction．PostBodyLimit akzeptiert Fehlereinstellungen, wenn Sie die maximal zulässige Größe des http - bodyys angeben。嗯Fehlereinstellungen zu berücksichtigen, müssen Sie eine oder mehrere Post-Body Limit-Aktionen konfigurieren。Die Konfiguration ist auch für Anfragen anwendbar, bei denen der Übertragungscodierungs-Header in Chunked ist。

set appfw profile -PostBodyLimitAction阻止日志统计

Wo, Block - Diese action blockiert eine verindung, die gegen die Sicherheitsprüfung verstößt und basiert auf der maximalen Größe des konfigurierten HTTP-Body (Post-Body-Limit)。Sie müssen die选项immer aktivieren。

Log - Protokollieren Sie Verstöße gegen diese Sicherheitsprüfung。

统计- Generieren Sie统计für diese Sicherheitsüberprüfung。

Hinweis:

Das Protokollformat für die Aktion“Post-Body-Limit”wurde nun geändert, um dem standardmäßigen Audit-Logging-Format zu folgen, zum Beispiel:ns.log.4.gz: 6月25日1.1.1.1。 10.101.10.100 06/25/2020:10:10:28 GMT 0- ppe -0: default APPFW APPFW_POSTBODYLIMIT 1506 0: 4234-PPE0 - testprof > Request post body length(< post body length >) exceeded post body limit。

InspectQueryContentTypesPrüfen Sie Anforderungs- und Webformulare für injizierte SQL- und跨站点脚本für die folgenden吸入式注射器。

set appfw profile p1 -inspectQueryContentTypes

Mögliche Werte: HTML, XML, JSON，其他

Standardmäßig ist dieser参数" InspectQueryContentTypes: HTML JSON OTHER " für einfache und erweiterte appfw-Profile festgelegt。

Beispiel für Inspect-Abfrage-Inhaltstyp als XML:

警告:HTML, JSON检查除了“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”将分别不适用于配置文件类型不是HTML或JSON时。<！——NeedCopy >

Beispiel für Inspect-Abfrage-Inhaltstyp als HTML:

警告:XML, JSON检查除“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”将不适用于配置文件类型分别不是XML或JSON完成

Beispiel für Inspect-Abfrage-Inhaltstyp als JSON:

> set appfw profile p1 -type JSON警告:HTML, XML检查除了“InspectQueryContentTypes”和“推断内容类型XML有效负载操作将不适用时，配置文件类型不是HTML或XML分别完成

errorUrl Ausdruck．Citrix Web App Firewall als Fehler-URL verwendet。Maximale Länge: 2047。

Hinweis:

Wenn die Fehler-URL mit der Signatur-URL vergleichbar ist, setzt die Appliance die Verbindung zurück, um Verletzungen in einer angeforderten URL zu blockieren。

LogEveryPolicyHit- Protokolliert jede Profilübereinstimmung, unabhängig von den Ergebnissen der Sicherheitsüberprüfungen。Mögliche Werte: ON, OFF。Standardwert:。

stripXMLComments- Entfernen Sie XML-Kommentare, bevor Sie eine网站weiterleiten, die von einer geschützten网站als Antwort auf eine benutzeranfraage gesendet wurde。Mögliche Werte: none, all, exclude_script_tag。Standardwert:没人

postbodyLimitSignature-最大zulässige HTTP-Post-Body-Größe für die Signaturprüfung für den Ort HTTP_POST_BODY in den Signaturen, in Byte。Die Wertänderungen können sich auf das CPU- und latenzproffil auswirken。Standardwert: 2048。最小Wert: 0最大Wert: 4294967295

FileUploadMaxNum-最大化zulässige Anzahl von Datei-Uploads pro Anforderung zum Einreichen von Formularen。Die Maximaleinstellung (65535) ermöglicht eine unbergrezte Anzahl von Uploads。Mindestwert: 0 Maximalwert: 65535

CanonicalizeHTMLResponse- Führen Sie eine HTML-Entitätscodierung für alle Sonderzeichen in安特沃滕durch, die von Ihren geschützten Websites gesendet werden。Mögliche Werte: ON, OFF Standardwert: ON

PercentDecodeRecursive-我爱你，我爱你，我爱你。Mögliche Werte: ON, OFF Standardwert: ON

MultipleHeaderAction- heherern的Eine oder mehere Aktionen mit mehren。Verfügbare Einstellungen funktionieren wie folgt:

• Blockieren。Blockieren Sie Verbindungen, die mehrere Header haben。
• 日志。原kollieren Sie Verbindungen, die mehrere Header haben。
• KeepLast。我们的头在北，我们的头在北。

inspectContentTypes- Eine oder mehrere InspectContentType监听。

• 应用程序/ x-www-form-urlencoded
• 多部分/格式
• 文本/ x-gwt-rpc

Mögliche Werte: keine, application/x-www-form-urlencoded, multipart/form-data, text/x-gwt-rpc

SemicolonFieldSeparator- Erlaubt '; ' als Formularfeldtrennzeichen in URL-Abfragen und POST-Formularkörpern。Mögliche Werte: ON, OFF Standardwert: OFF