Citrix Web应用防火墙
以下主题介绍Citrix Web应用程序防火墙特性的安装和配置。
| 介绍 | 概述web安全性以及web应用程序防火墙的工作原理。 |
| 配置 | 介绍如何配置Web应用防火墙以保护Web站点、Web服务或Web 2.0站点。 |
| 签名 | 详细描述签名特性,以及如何配置签名、从支持的漏洞扫描工具添加签名和定义自己的签名,并附有示例。 |
| 安全检查概述 | 所有Web应用防火墙安全检查的详细描述,包括配置信息和示例。 |
| 配置文件 | 描述如何在Web应用程序防火墙中配置和使用配置文件。 |
| 政策 | 描述在配置Web应用防火墙时如何使用策略,并提供有用的策略示例。 |
| 进口 | 介绍Web应用防火墙如何使用不同类型的导入文件,以及如何导入和导出文件。 |
| 全局配置 | 描述应用于所有配置文件的Web应用防火墙特性,以及如何配置它们。 |
| 用例 | 扩展示例,演示如何设置Web应用程序防火墙以最好地保护特定类型的更复杂的Web站点和Web服务。 |
| 日志、统计和报表 | 如何访问和使用Web应用防火墙的日志、统计信息和报表,协助配置Web应用防火墙。 |
Citrix Web应用程序防火墙提供易于配置的选项,以满足广泛的应用程序安全要求。Web App Firewall配置文件由安全检查集组成,可以通过提供深度包级检查来保护请求和响应。每个配置文件都包含选择基本保护或高级保护的选项。某些保护可能需要使用其他文件。例如,xml验证检查可能需要WSDL或模式文件。配置文件还可以使用其他文件,例如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以供将来使用。
配置文件与Web应用程序防火墙策略一起工作。每个策略标识一种类型的流量,并检查与该策略关联的配置文件中指定的安全检查违规情况。策略可以有不同的绑定点,这些绑定点决定了策略的范围。例如,仅针对流经该虚拟服务器的流量调用和评估绑定到特定虚拟服务器的策略。策略按照其指定优先级的顺序进行评估,并应用与请求或响应匹配的第一个策略。
Web应用防火墙防护快速部署
您可以通过以下步骤快速部署Web应用防火墙的安全性:
- 添加appfw配置文件,并为应用程序的安全需求选择适当的类型(html、xml、JSON)。
- 选择所需的安全级别(基本或高级)。
- 添加或导入所需的文件,例如签名或WSDL。
- 配置概要文件以使用这些文件,并对默认设置进行任何其他必要的更改。
- 为此配置文件添加一个appfw策略。
- 将策略绑定到目标绑定点,并指定优先级。
Web应用防火墙实体
配置文件- Web应用防火墙配置文件指定要查找的内容和要执行的操作。它检查请求和响应,以确定应该检查哪些潜在的安全违规,以及在处理事务时应该采取哪些操作。配置文件可以保护HTML、XML或HTML和XML有效负载。根据应用程序的安全需求,您可以创建基本配置文件或高级配置文件。基本配置文件可以防止已知的攻击。如果需要更高的安全性,您可以部署高级配置文件,以允许对应用程序资源的受控访问,从而阻止零日攻击。但是,可以修改基本配置文件以提供高级保护,反之亦然。可以使用多种操作选择(例如,阻塞、记录、学习和转换)。高级安全检查可能使用会话cookie和隐藏表单标记来控制和监视客户端连接。Web应用防火墙配置文件可以了解触发的违规行为,并建议放松规则。
基本的保护-A基本配置文件包括一组预先配置的“开始URL”和“拒绝URL”松弛规则。这些放宽规则决定了哪些请求应该被允许,哪些应该被拒绝。传入请求与这些列表相匹配,并应用配置的操作。这使得用户能够使用最小的松弛规则配置来保护应用程序。Start URL规则可以防止强制浏览。通过启用一组默认的Deny URL规则,可以检测和阻止黑客利用的已知web服务器漏洞。通常发起的攻击,如缓冲区溢出、SQL或跨站点脚本也可以很容易地检测到。
先进的保护—高级保护顾名思义,用于对安全性要求较高的应用。松弛规则被配置为只允许访问特定数据并阻止其他数据。这种积极的安全模型减轻了基本安全检查可能无法检测到的未知攻击。除了所有基本保护之外,高级配置文件还通过控制浏览、检查cookie、指定各种表单字段的输入要求以及防止篡改表单或跨站点请求伪造攻击来跟踪用户会话。学习(它观察流量并部署适当的松弛措施)在默认情况下为许多安全检查启用。高级保护虽然易于使用,但需要适当考虑,因为它们提供更严格的安全性,但也需要更多的处理,并且不允许使用可能影响性能的缓存。
进口-当Web应用防火墙配置文件需要使用外部文件时,导入功能很有用,即托管在外部或内部Web服务器上的文件,或者必须从本地机器复制的文件。导入文件并将其存储在设备上非常有用,特别是在必须控制对外部网站的访问,或者编译需要很长时间,必须跨HA部署同步大文件,或者可以通过跨多个设备复制来重用文件的情况下。例如:
- 托管在外部web服务器上的wsdl可以在阻止对外部网站的访问之前在本地导入。
- 使用Citrix设备上的模式,可以导入和预编译由外部扫描工具(如Cenzic)生成的大型签名文件。
- 定制的HTML或XML错误页面可以从外部web服务器导入,也可以从本地文件复制。
签名签名非常强大,因为它们使用模式匹配来检测恶意攻击,并且可以配置为检查事务的请求和响应。当需要可定制的安全解决方案时,它们是首选选项。当检测到签名匹配时,可以采取多种操作(例如,阻止、记录、学习和转换)。Web应用防火墙有一个内置的默认签名对象,由1300多个签名规则组成,并可以通过使用自动更新功能来获取最新的规则。其他扫描工具创建的规则也可以导入。可以通过添加新规则来定制签名对象,这些规则可以与Web App Firewall配置文件中指定的其他安全检查一起工作。一个签名规则可以有多个模式,并且只有当所有模式都匹配时才能标记违规,从而避免误报。仔细选择规则的文字快速匹配模式可以显著优化处理时间。
政策-Web应用防火墙策略用于过滤流量,将流量分成不同的类型。这提供了为应用程序数据实现不同级别安全保护的灵活性。对高度敏感数据的访问可以引导到高级安全检查,而对不太敏感的数据则由基本级别的安全检查保护。策略也可以配置为对无害流量不进行安全检查。更高的安全性需要更多的处理,因此仔细设计策略可以提供所需的安全性以及优化的性能。策略的优先级决定了其评估的顺序,其绑定点决定了其应用的范围。
突出了
- 能够通过保护不同类型的数据,为不同的资源实现适当的安全级别来保护广泛的应用程序,同时仍然获得最大的性能。
- 添加或修改安全配置的灵活性。您可以通过启用或禁用基本和高级保护来加强或放松安全检查。
- 选项将HTML配置文件转换为XML或Web2.0 (HTML+XML)配置文件,反之亦然,从而提供了为不同类型的有效负载添加安全性的灵活性。
- 易于部署的操作,可以阻止攻击,在日志中监视攻击,收集统计数据,甚至转换某些攻击字符串以使其无害。
- 能够通过检查传入请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据泄漏。
- 能够从流量模式中学习,从而获得可轻松编辑的放松规则的建议,这些规则可以部署以允许例外。
- 混合安全模型,应用可定制签名的强大功能来阻止匹配指定模式的攻击,并提供灵活性,可以使用正安全模型检查进行基本或高级安全保护。
- 全面配置报告的可用性,包括有关PCI-DSS遵从性的信息。