配置Web App防火墙

Citrix Web App Firewall(以下简称Web App Firewall)可以通过以下两种方式配置:

• Web应用程序防火墙向导。由一系列屏幕组成的对话框，用于逐步完成配置过程。
• Citrix Web Interface AppExpert模板。一个AppExpert模板(一组配置设置)，旨在为网站提供适当的保护。此AppExpert模板包含适当的Web应用程序防火墙配置设置，以保护许多网站。
• Citrix ADC GUI。基于web的配置界面。
• Citrix ADC命令行接口。命令行配置界面。

Citrix建议您使用Web应用程序防火墙向导。大多数用户会发现这是配置Web应用防火墙最简单的方法，它的设计是为了防止错误。如果您有一个新的Citrix ADC或VPX，您将主要使用它来保护网站，您可能会发现Web Interface AppExpert模板是一个更好的选择，因为它不仅为Web应用程序防火墙，而且为整个设备提供了良好的默认配置。GUI和命令行界面都是为有经验的用户设计的，主要用于修改现有配置或使用高级选项。

Web应用程序防火墙向导

Web应用程序防火墙向导是一个对话框，由几个屏幕组成，提示您配置简单配置的每个部分。然后Web应用防火墙根据您提供给它的信息创建适当的配置元素。在大多数情况下，这是配置Web应用程序防火墙的最简单也是最好的方法。

要使用向导，请使用您选择的浏览器连接到GUI。连接建立后，验证Web应用程序防火墙已启用，然后运行Web应用程序防火墙向导，该向导将提示您输入配置信息。在第一次使用向导时，您不必提供所有请求的信息。相反，您可以接受默认设置，执行一些相对简单的配置任务以启用重要特性，然后允许Web应用程序防火墙收集重要信息以帮助您完成配置。

例如，当向导提示您指定选择要处理的流量的规则时，您可以接受缺省规则，该规则将选择所有流量。当它向您显示签名列表时，您可以启用适当的签名类别，并打开这些签名的统计信息收集。对于此初始配置，您可以跳过高级保护(安全检查)。向导自动创建适当的策略、签名对象和配置文件(统称为安全配置)，并将策略绑定到全局。然后，Web应用防火墙开始过滤到受保护网站的连接，记录与您启用的一个或多个签名匹配的任何连接，并收集与每个签名匹配的连接的统计信息。在Web应用程序防火墙处理一些流量后，您可以再次运行向导并检查日志和统计信息，以查看您已启用的签名是否与合法流量匹配。确定哪些签名标识要阻断的流量后，可以对这些签名启用阻断。如果您的网站或web服务不复杂，不使用SQL，也不能访问敏感的私人信息，那么这个基本的安全配置可能会提供足够的保护。

您可能需要额外的保护，例如，您的网站是动态的。使用脚本的内容可能需要防止跨站点脚本攻击。使用SQL的Web内容(如购物车、许多博客和大多数内容管理系统)可能需要防范SQL注入攻击。收集敏感私人信息(如社会安全号码或信用卡号码)的网站和网络服务可能需要保护，防止这些信息意外泄露。某些类型的web服务器或xml服务器软件可能需要针对该软件量身定制的攻击类型进行保护。另一个需要考虑的问题是，您的网站或web服务的特定元素可能需要与其他元素不同的保护。检查Web应用防火墙日志和统计数据可以帮助您确定可能需要的额外保护。

在确定网站和web服务需要哪些高级保护之后，可以再次运行向导来配置这些保护。某些安全检查要求您输入例外(松弛)，以防止检查阻塞合法的流量。您可以手动这样做，但通常更容易启用自适应学习功能，并允许它推荐必要的放松。您可以根据需要多次使用该向导来增强基本安全配置和/或创建其他安全配置。

如果不使用向导，向导将自动执行一些必须手动执行的任务。它自动创建策略、签名对象和配置文件，并将提示您输入配置名称时提供的名称分配给它们。向导还将您的高级保护设置添加到概要文件，将签名对象绑定到概要文件，将概要文件与策略关联，并通过将策略绑定到Global使其生效。

部分任务无法在向导中执行。不能使用向导将策略绑定到全局以外的绑定点。如果希望概要文件仅应用于配置的特定部分，则必须手动配置绑定。不能在向导中配置引擎设置或某些其他全局配置选项。虽然您可以在向导中配置任何高级保护设置，但如果您希望在单个安全检查中修改特定设置，则在GUI中的手动配置屏幕上执行此操作可能更容易。

有关使用Web应用程序防火墙向导的更多信息，请参见Web应用程序防火墙向导．

Citrix Web界面AppExpert模板

AppExpert模板是配置和管理复杂企业应用程序的一种不同且更简单的方法。GUI中的AppExpert显示由一个表组成。应用程序列在最左边的一列中，适用于该应用程序的Citrix ADC特性分别出现在右侧各自的一列中。(在AppExpert界面中，调用与应用程序关联的那些特性应用单位)。在AppExpert界面中，您可以为每个应用程序配置感兴趣的流量，并打开压缩、缓存、重写、过滤、响应器和Web应用程序防火墙的规则，而不必单独配置每个功能。

Web界面AppExpert模板包含以下Web应用防火墙签名和安全检查的规则:

• 拒绝URL检查．检测到已知构成安全风险的内容的连接，或到您指定的任何其他url的连接。
• 缓冲区溢出检查．检测在受保护的web服务器上导致缓冲区溢出的尝试。
• Cookie一致性检查．检测对受保护网站设置的cookie的恶意修改。
• 表单字段一致性检查．检测受保护网站上对网页表单结构的修改。
• CSRF表单标签检查．检测跨站点请求伪造攻击。
• 字段格式检查．检测在受保护网站上以网页形式上传的不适当信息。
• HTML SQL注入检查．检测试图注入未经授权的SQL代码。
• HTML跨站脚本检查．检测跨站脚本攻击。

有关安装和使用AppExpert模板的信息，请参见AppExpert应用程序和模板．

Citrix GUI

GUI是一个基于Web的界面，提供了对Web应用防火墙功能的所有配置选项的访问，包括从任何其他配置工具或界面都无法获得的高级配置和管理选项。具体来说，许多高级签名选项只能在GUI中配置。您只能在GUI中查看学习特性生成的建议。在GUI中，只能将策略绑定到全局以外的绑定点。

有关GUI的描述，请参见Web应用程序防火墙配置接口．有关使用GUI配置Web应用程序防火墙的详细信息，请参见GUI方式手动配置．

有关使用GUI配置Web应用程序防火墙的说明，请参见GUI方式手动配置．有关citrix-adc GUI的信息，请参见Web应用程序防火墙配置接口．

Citrix ADC命令行接口

Citrix ADC命令行接口是基于FreeBSD bash shell进行修改的UNIX shell。要从命令行界面配置Web应用程序防火墙，在提示符处输入命令并按Enter键，就像使用任何其他Unix shell一样。您可以使用NetScaler命令行为Web应用程序防火墙配置大多数参数和选项。签名功能是例外，其中许多选项只能通过使用GUI或Web App Firewall向导来配置，学习功能只能在GUI中查看其推荐。

有关使用Citrix ADC命令行配置Web应用程序防火墙的说明，请参见通过命令行界面手动配置．