签名
Web App Firewall签名功能提供了特定的、可配置的规则,以简化保护您的网站免受已知攻击的任务。签名表示一种模式,它是针对操作系统、web服务器、网站、基于xml的web服务或其他资源的已知攻击的组成部分。一组丰富的预先配置的Web App Firewall内置或本机规则提供了一种易于使用的安全解决方案,利用模式匹配的强大功能来检测攻击并防止应用程序漏洞。
您可以创建自己的签名,也可以使用内置模板中的签名。Web App Firewall有两个内置模板:
- 默认的签名:该模板包含超过1300个签名的预配置列表,此外还有SQL注入关键字、SQL特殊字符串、SQL转换规则和SQL wildchar字符的完整列表。它还包含禁止跨站点脚本的模式,允许跨站点脚本的属性和标记。这是一个只读模板。您可以查看内容,但不能在模板中添加、编辑或删除任何内容。要使用它,你必须复制一份。在您自己的副本中,您可以启用要应用于流量的签名规则,并指定签名规则匹配流量时要采取的操作。
的发布的规则派生出Web应用程序防火墙签名Snort,这是一个开源的入侵防御系统,能够进行实时流量分析,以检测各种攻击和探测。
- * Xpath注入模式:该模板包含一组预先配置的字面值和PCRE关键字以及用于检测XPath (XML路径语言)注入攻击的特殊字符串。
空白的签名:除了复制内置的“*Default Signatures”模板外,您还可以使用空白签名模板创建新的签名对象。使用空白签名选项创建的签名对象没有任何本机签名规则,但是,就像*Default模板一样,它具有所有的SQL/XSS内置实体。
外部格式签名: Web应用防火墙还支持使用外部格式签名。您可以使用Citrix Web App Firewall支持的XSLT文件导入第三方扫描工具的扫描文件。以下扫描工具可使用一组内置XSLT文件将这些外部格式文件转换为本机格式:
- Cenzic
- Web应用程序的深度安全
- IBM AppScan企业
- IBM AppScan标准。
- Qualys
- Whitehat
- 惠普企业网络检查
应用程序的保护选项
更严格的安全性增加了处理开销。签名提供以下部署选项,以帮助您优化应用程序的保护:
消极的安全模型:在负安全模型中,您使用一组丰富的预先配置的签名规则来利用模式匹配的强大功能来检测攻击并保护应用程序漏洞。你只阻止你不想要的,允许剩下的。[DR1]您可以根据应用程序的特定安全需求,添加您自己的签名规则,以设计您自己的定制安全解决方案。
混合的安全模型:除了使用签名之外,您还可以使用积极的安全检查来创建理想地适合您的应用程序的配置。使用签名来阻止不需要的内容,并使用积极的安全检查来强制执行允许的内容。
要通过使用签名保护应用程序,必须配置一个或多个配置文件来使用签名对象。在混合安全配置中,签名对象中的SQL注入和跨站点脚本模式以及SQL转换规则不仅由签名规则使用,还由使用签名对象的Web App Firewall配置文件中配置的积极安全检查使用。
Web应用防火墙检查到您的受保护网站和Web服务的流量,以检测匹配签名的流量。只有当规则中的每个模式都与流量匹配时,才会触发匹配。当匹配发生时,将调用规则的指定操作。当请求被阻止时,可以显示错误页面或错误对象。日志消息可以帮助您识别针对应用程序发起的攻击。如果启用统计,Web应用程序防火墙将维护与Web应用程序防火墙签名或安全检查相匹配的请求的数据。
如果流量同时匹配签名和积极的安全检查,则执行两个操作中更严格的操作。例如,如果一个请求匹配了禁止阻断动作的签名规则,但该请求也匹配了阻断动作的SQL注入正向安全检查,则该请求将被阻断。在这种情况下,签名违反可能被记录为<不阻塞>,尽管请求被SQL注入检查阻塞。
定制:如果需要,您可以在签名对象中添加您自己的规则。您还可以自定义SQL/XSS模式。根据应用程序的特定安全需求添加自己的签名规则的选项使您能够灵活地设计自己的定制安全解决方案。你只阻止你不想要的,允许剩下的。在指定位置使用特定的快速匹配模式可以显著减少处理开销,从而优化性能。您可以添加、修改或删除SQL注入和跨站点脚本模式。内置的RegEx和表达式编辑器可以帮助您配置模式并验证其准确性。
自动更新:您可以手动更新签名对象以获取最新的签名规则,也可以利用自动更新特性,使Web应用防火墙可以自动从基于云的Web应用防火墙更新服务中更新签名。
注意:
如果在自动更新过程中添加了新的签名规则,则默认禁用。您应该定期检查更新的签名,并启用新添加的与保护应用程序相关的规则。
必须将CORS配置为承载IIS服务器上的签名。
当您从Citrix ADC GUI访问URL时,签名自动更新功能在本地web服务器上不工作。
开始
使用Citrix签名来保护您的应用程序非常简单,只需几个简单的步骤即可完成:
添加签名对象。
- 您可以使用提示您创建整个Web App Firewall配置的Wizard,包括添加配置文件和策略、选择和启用签名,以及为签名和正面安全检查指定操作。签名对象自动创建。
- 您可以从*Default signatures模板创建签名对象的副本,使用空白模板使用自己的自定义规则创建新签名,或者添加外部格式签名。启用规则并配置要应用的操作。
配置目标Web App Firewall配置文件以使用此签名对象。
发送通信以验证功能
突出了
- 的
\ *默认签名对象是一个模板。不能编辑或删除。要使用它,必须创建一个副本。在您自己的副本中,您可以根据应用程序的需要为每个规则启用规则和所需的操作。要保护应用程序,必须配置目标概要文件使用此签名。 - 处理签名模式有开销。尝试只启用那些适用于保护应用程序的签名,而不是启用所有签名规则。
- 规则中的每个模式都必须匹配以触发签名匹配。
- 您可以添加自己的自定义规则来检查传入的请求,以检测各种类型的攻击,例如SQL注入或跨站点脚本攻击。您还可以添加规则来检查响应,以检测和阻止敏感信息(如信用卡号)的泄漏。
- 您可以复制现有签名对象,并通过添加或编辑规则和SQL/XSS模式对其进行调整,以保护另一个应用程序。
- 您可以使用自动更新来下载Web App Firewall默认规则的最新版本,而不需要持续监视以检查新更新的可用性。
- 一个签名对象可以被多个配置文件使用。即使您已经配置了一个或多个配置文件以使用签名对象,您仍然可以启用或禁用签名或更改操作设置。您可以手动创建和修改自定义签名规则。更改将应用于当前配置为使用此签名对象的所有概要文件。
- 您可以配置签名来检测各种类型有效负载(如HTML、XML、JSON和GWT)中的违规行为。
- 您可以导出已配置的签名对象并将其导入到另一个Citrix ADC设备,以便轻松复制自定义的签名规则。
签名是与已知漏洞相关联的模式。您可以使用签名保护来识别试图利用这些漏洞的流量,并采取特定的措施。
签名按类别组织。通过只启用适合于保护应用程序的类别中的规则,可以优化性能并减少处理开销。