Citrix Web应用防火墙
以下主题介绍Citrix Web App Firewall特性的安装和配置详细信息。
| 简介 | web安全以及web应用防火墙如何工作的概述。 |
| 配置 | 如何配置Web应用程序防火墙以保护网站、Web服务或Web 2.0站点。 |
| 签名 | 关于签名的详细描述,以及如何从受支持的漏洞扫描工具配置它,并定义您自己的签名,并附有示例。 |
| 安全检查概述 | Web应用程序防火墙安全检查的详细描述,以及配置信息和示例。 |
| 配置文件 | 在Web应用程序防火墙中如何配置和使用概要文件的描述。 |
| 政策 | 在配置Web应用程序防火墙时如何使用策略的描述,以及有用的策略示例。 |
| 进口 | 介绍Web应用程序防火墙如何使用不同类型的导入文件,以及如何导入和导出文件。 |
| 全局配置 | 应用于所有配置文件的Web应用防火墙功能的描述,以及如何配置它们。 |
| 用例 | 扩展示例,演示如何设置Web应用防火墙,以最好地保护特定类型的更复杂的网站和Web服务。 |
| 日志、统计和报表 | 如何访问和使用Web应用防火墙日志、统计数据和报表,以帮助配置Web应用防火墙。 |
Citrix Web应用程序防火墙提供了易于配置的选项,以满足广泛的应用程序安全需求。Web应用防火墙配置文件由一系列安全检查组成,可以通过提供深度包级检查来保护请求和响应。每个配置文件都包含选择基本保护或高级保护的选项。有些保护可能需要使用其他文件。例如,xml验证检查可能需要WSDL或模式文件。配置文件还可以使用其他文件,例如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以备将来使用。
每个策略都标识一种类型的流量,并检查该流量是否违反与该策略关联的配置文件中指定的安全检查规定。策略可以有不同的绑定点,这些绑定点决定了策略的范围。例如,绑定到特定虚拟服务器的策略仅针对流经该虚拟服务器的流量调用和评估。这些策略将按照指定的优先级进行评估,第一个与请求或响应匹配的策略将被应用。
快速部署Web应用防火墙保护
您可以使用以下步骤快速部署Web应用程序防火墙安全性:
- 添加一个Web应用防火墙配置文件,并为应用程序的安全需求选择适当的类型(html、xml、JSON)。
- 选择所需的安全级别(基本或高级)。
- 添加或导入所需的文件,例如签名或WSDL。
- 配置配置文件以使用这些文件,并对默认设置进行任何其他必要的更改。
- 为此配置文件添加Web应用程序防火墙策略。
- 将策略绑定到目标绑定点,并指定优先级。
Web应用防火墙实体
配置文件- Web应用防火墙配置文件指定要寻找什么和要做什么。它同时检查请求和响应,以确定在处理事务时必须检查哪些潜在的安全违规以及必须采取哪些操作。概要文件可以保护HTML、XML或HTML和XML有效负载。根据应用程序的安全需求,您可以创建基本概要文件或高级概要文件。基本配置文件可以防止已知的攻击。如果需要更高的安全性,可以部署高级配置文件,允许对应用程序资源进行受控访问,阻止零日攻击。但是,可以修改基本概要文件以提供高级保护,反之亦然。有多种操作选择(例如,阻塞、记录、学习和转换)。高级安全检查可能使用会话cookie和隐藏表单标记来控制和监视客户端连接。Web应用防火墙配置文件可以了解触发的违规行为,并建议放松规则。
基本的保护-A基本配置文件包括一组预先配置的启动URL和拒绝URL放松规则。这些放宽规则决定了哪些请求必须被允许,哪些请求必须被拒绝。传入的请求将根据这些列表进行匹配,并应用配置的操作。这允许用户能够使用最小的配置来保护应用程序,以放松规则。“开始URL”规则防止强制浏览。通过启用一组默认的拒绝URL规则,可以检测和阻止黑客利用的已知web服务器漏洞。通常发起的攻击,如缓冲区溢出、SQL或跨站点脚本也可以很容易地检测到。
先进的保护—顾名思义,高级保护用于对安全性要求较高的应用。放松规则被配置为只允许访问特定数据并阻止其余数据。这种积极的安全模型减轻了基本安全检查可能无法检测到的未知攻击。除了所有基本保护之外,高级配置文件还通过控制浏览、检查cookie、指定各种表单字段的输入要求以及防止篡改表单或跨站请求伪造攻击来跟踪用户会话。学习(观察流量并部署适当的放松)在默认情况下为许多安全检查启用。虽然易于使用,但高级保护需要适当考虑,因为它们提供更严格的安全性,但也需要更多的处理,并且不允许使用缓存,这可能会影响性能。
进口当Web应用防火墙配置文件必须使用外部文件时,导入功能是有用的,也就是说,托管在外部或内部Web服务器上的文件,或者必须从本地机器复制的文件。导入文件并将其存储在设备上非常有用,特别是在必须控制对外部网站的访问,或者编译需要很长时间,必须跨HA部署同步大文件,或者可以通过跨多个设备复制文件来重用文件的情况下。例如:
- 在阻止对外部网站的访问之前,可以在本地导入托管在外部web服务器上的wsdl。
- 可以使用Citrix设备上的模式导入和预编译由Cenzic等外部扫描工具生成的大型签名文件。
- 定制的HTML或XML错误页面可以从外部web服务器导入,也可以从本地文件复制。
签名签名功能强大,因为它们使用模式匹配来检测恶意攻击,并且可以配置为检查事务的请求和响应。当需要可定制的安全解决方案时,它们是首选。当检测到签名匹配时,可以选择多种操作(例如,阻塞、日志、学习和转换)。Web应用防火墙有一个内置的默认签名对象,由1300多个签名规则组成,并有一个选项,可以使用自动更新功能获取最新的规则。其他扫描工具创建的规则也可以导入。签名对象可以通过添加新规则进行自定义,这些规则可以与Web应用程序防火墙配置文件中指定的其他安全检查一起工作。签名规则可以有多个模式,并且只有当所有模式都匹配时才能标记违规,从而避免误报。仔细选择文字
fastmatch模式可以显著优化处理时间。政策-Web应用防火墙策略用于过滤和分离不同类型的流量。这为应用程序数据实现不同级别的安全保护提供了灵活性。对高度敏感数据的访问可以直接进行高级安全检查,而不太敏感的数据则由基本级别的安全检查保护。也可以通过配置策略绕过安全检查,获得无害流量。更高的安全性需要更多的处理,因此仔细设计策略可以提供所需的安全性和优化的性能。策略的优先级决定了它被评估的顺序,而它的绑定点决定了它的应用范围。
突出了
- 通过保护不同类型的数据,为不同资源实现适当级别的安全,并仍然获得最大性能,从而保护广泛应用程序的能力。
- 灵活地添加或修改安全配置。您可以通过启用或禁用基本和高级保护措施来加强或放松安全检查。
- 选项,将HTML配置文件转换为XML或Web2.0 (HTML+XML)配置文件,反之,提供为不同类型的有效负载添加安全性的灵活性。
- 易于部署的操作来阻止攻击,在日志中监视它们,收集统计信息,甚至转换一些攻击字符串以使它们无害。
- 能够通过检查传入请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据泄漏。
- 能够从流量模式中学习,以获得关于可轻松编辑的放松规则的建议,这些规则可以部署以允许异常。
- 混合安全模型,应用自定义签名的强大功能来阻止匹配指定模式的攻击,并提供使用积极安全模型检查基本或高级安全保护的灵活性。
- 提供全面的配置报告,包括有关PCI-DSS遵从性的信息。