Citrix Web应用防火墙
以下主题介绍Citrix Web App Firewall特性的安装和配置细节。
| 简介 | web安全概述以及web应用防火墙的工作原理。 |
| 配置 | 如何配置Web应用程序防火墙以保护网站、Web服务或Web 2.0站点。 |
| 签名 | 关于签名的详细描述,以及如何从支持的漏洞扫描工具配置它,以及定义您自己的签名,并提供示例。 |
| 安全检查概述 | Web App Firewall安全检查的详细描述,包括配置信息和示例。 |
| 配置文件 | 描述如何在Web应用程序防火墙中配置和使用概要文件。 |
| 政策 | 描述在配置Web App Firewall时如何使用策略,并提供有用的策略示例。 |
| 进口 | 描述Web应用程序防火墙如何使用不同类型的导入文件,以及如何导入和导出文件。 |
| 全局配置 | 对应用于所有概要文件的Web应用程序防火墙特性的描述,以及如何配置它们。 |
| 用例 | 扩展示例,演示如何设置Web应用程序防火墙,以最佳地保护特定类型的更复杂的网站和Web服务。 |
| 日志、统计和报表 | 如何访问和使用Web App Firewall日志、统计数据和报表,以帮助配置Web App Firewall。 |
Citrix Web App Firewall提供了易于配置的选项,以满足广泛的应用程序安全需求。Web App Firewall配置文件由一组安全检查组成,可以通过提供深度包级检查来保护请求和响应。每个配置文件都包含选择基本保护或高级保护的选项。有些保护可能需要使用其他文件。例如,xml验证检查可能需要WSDL或模式文件。概要文件还可以使用其他文件,例如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以备将来使用。
每个策略标识一种类型的流量,针对与策略关联的配置文件中指定的安全检查违规行为对该流量进行检查。策略可以有不同的绑定点,这些绑定点决定了策略的范围。例如,绑定到特定虚拟服务器的策略仅针对流经该虚拟服务器的流量调用和计算。按照策略指定的优先级顺序对策略进行评估,第一个匹配请求或响应的策略将被应用。
快速部署Web应用程序防火墙保护
您可以使用以下步骤快速部署Web App Firewall安全:
- 添加一个Web App Firewall配置文件,并为应用程序的安全需求选择适当的类型(html、xml、JSON)。
- 选择所需的安全级别(基本或高级)。
- 添加或导入所需的文件,例如签名或WSDL。
- 配置配置文件以使用这些文件,并对默认设置进行任何其他必要的更改。
- 为这个配置文件添加一个Web App Firewall策略。
- 将策略绑定到目标绑定点并指定优先级。
Web应用程序防火墙实体
配置文件- Web App Firewall配置文件指定要查找什么和要做什么。它检查请求和响应,以确定在处理事务时必须检查哪些潜在的安全违反,以及必须采取什么操作。概要文件可以保护HTML、XML或HTML和XML有效负载。根据应用程序的安全需求,您可以创建基本配置文件或高级配置文件。基本配置文件可以防止已知的攻击。如果需要更高的安全性,可以部署高级配置文件,允许对应用程序资源进行有控制的访问,从而阻止零日攻击。但是,可以修改基本配置文件以提供高级保护,反之亦然。有多种操作选择(例如,阻止、记录、学习和转换)。高级安全检查可能使用会话cookie和隐藏的表单标记来控制和监视客户机连接。Web App Firewall配置文件可以了解触发的违规行为,并建议放松规则。
基本的保护-A基本配置文件包括一组预先配置的“启动URL”和“拒绝URL放松规则”。这些放宽规则确定哪些请求必须被允许,哪些请求必须被拒绝。传入的请求将根据这些列表进行匹配,并应用配置的操作。这使得用户能够用最小的配置来保护应用程序的放松规则。启动URL规则防止强制浏览。通过启用一组默认的拒绝URL规则,可以检测并阻止被黑客利用的web服务器漏洞。通常发起的攻击,如缓冲区溢出、SQL或跨站点脚本也很容易被检测到。
先进的保护—顾名思义,高级防护用于对安全要求较高的应用。放松规则被配置为只允许访问特定的数据,并阻止其他数据。这种积极的安全模型减轻了基本安全检查可能检测不到的未知攻击。除了所有基本的保护之外,高级配置文件通过控制浏览、检查cookie、指定各种表单字段的输入要求以及防止表单篡改或跨站点请求伪造攻击来跟踪用户会话。学习(它观察流量并部署适当的放松)在默认情况下为许多安全检查启用。虽然使用起来很容易,但是高级保护需要适当的考虑,因为它们提供了更严格的安全性,但也需要更多的处理,并且不允许使用缓存,这可能会影响性能。
进口当Web应用程序防火墙配置文件必须使用外部文件时,即托管在外部或内部Web服务器上的文件,或必须从本地机器复制的文件时,导入功能是有用的。导入文件并将其存储在设备上非常有用,特别是在必须控制对外部网站的访问,或者编译需要很长时间,必须跨HA部署同步大文件,或者可以通过跨多个设备复制文件来重用文件的情况下。例如:
- 在阻止对外部网站的访问之前,可以在本地导入驻留在外部web服务器上的wsdl。
- 可以使用Citrix设备上的模式导入和预编译由Cenzic等外部扫描工具生成的大型签名文件。
- 定制的HTML或XML错误页面可以从外部web服务器导入,也可以从本地文件复制。
签名-签名是强大的,因为它们使用模式匹配来检测恶意攻击,并可以配置为检查事务的请求和响应。当需要可定制的安全解决方案时,它们是首选选项。当检测到签名匹配时,可以有多种选择(例如,阻断、日志、学习和转换)。Web App Firewall有一个内置的默认签名对象,由超过1300个签名规则组成,通过使用自动更新功能可以获得最新的规则。也可以导入其他扫描工具创建的规则。签名对象可以通过添加新规则进行自定义,这些规则可以与Web App Firewall配置文件中指定的其他安全检查一起工作。签名规则可以有多个模式,只有当所有模式都匹配时才可以标记违规,从而避免误报。仔细选择文字
fastmatch模式可以显著优化处理时间。政策-Web App Firewall策略用于过滤和区分不同类型的流量。这为为应用程序数据实现不同级别的安全保护提供了灵活性。对高度敏感数据的访问可以直接进行高级安全检查检查,而不太敏感的数据则由基本级别的安全检查保护。策略也可以配置为绕过安全检查检查无害的流量。更高的安全性需要更多的处理,因此仔细设计策略可以提供所需的安全性和优化的性能。策略的优先级决定了评估它的顺序,它的绑定点决定了它的应用范围。
突出了
- 通过保护不同类型的数据,为不同的资源实现正确级别的安全,并仍然获得最大性能,从而保护广泛的应用程序的能力。
- 添加或修改安全配置的灵活性。您可以通过启用或禁用基本和高级保护来加强或放松安全检查。
- 选项将HTML概要文件转换为XML或Web2.0 (HTML+XML)概要文件,反之,提供为不同类型的有效负载添加安全性的灵活性。
- 可以轻松部署操作来阻止攻击、在日志中监视攻击、收集统计信息,甚至转换一些攻击字符串以使它们无害。
- 能够通过检查传入的请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据的泄漏。
- 能够从流量模式中学习,以获得易于编辑的放松规则的建议,可以部署这些规则以允许异常。
- 混合安全模型,应用自定义签名的强大功能来阻止匹配指定模式的攻击,并提供了使用积极安全模型检查进行基本或高级安全保护的灵活性。
- 提供全面的配置报告,包括关于PCI-DSS遵从性的信息。