手动配置通过命令行方式配置
注意:
如果您需要手动配置Web应用程序防火墙功能,Citrix建议您使用Citrix ADC GUI过程。
上配置Web应用程序防火墙功能Citrix ADC命令接口。然而,也有重要的例外。不能从命令接口启用签名。在7个类别中有大约1000个默认签名,对于命令界面来说任务太复杂了。您可以从命令行启用或禁用特性并配置参数,但不能配置手动放松。虽然您可以配置自适应学习特性并从命令行启用学习,但您不能检查已学习的松弛或已学习的规则并批准或跳过它们。命令行界面是为熟悉使用Citrix ADC设备和Web应用程序防火墙的高级用户设计的。
若要使用Citrix ADC命令行手动配置Web应用程序防火墙,请使用您选择的telnet或安全shell客户端登录到Citrix ADC命令行。
使用命令行界面创建概要文件
在命令提示符下,输入以下命令:
添加appfw配置文件
[-defaults (basic | advanced)] 设置appfw profile
-type (HTML | XML | HTML XML) 保存ns config
例子
下面的示例添加了一个名为pr-basic的配置文件,它具有基本的默认值,并分配了一个HTML类型的配置文件。这是保护HTML网站的配置文件的适当初始配置。
add appfw profile pr-basic -default基本配置——NeedCopy >
使用命令行界面配置配置文件
在命令提示符下,输入以下命令:
设置appfw profile
在哪里[ …] < __arg1 >
表示参数,且<最长>
表示另一个参数或要赋给所表示的参数的值< __arg1 >
.有关配置特定安全检查时使用的参数的说明,请参见先进的保护以及它的子主题。其他参数说明请参见“新建配置文件参数说明”。保存ns config
例子
下面的示例展示了如何配置使用基本默认值创建的HTML配置文件,以开始保护一个简单的基于HTML的网站。本例为大多数安全检查打开了统计信息的记录和维护,但只对误报率低且不需要特殊配置的检查启用了阻塞。它还可以转换不安全的HTML和不安全的SQL,这可以防止攻击,但不会阻止对网站的请求。启用日志记录和统计信息后,您可以稍后查看日志,以确定是否为特定的安全检查启用阻塞。
集appfw概要-startURLAction日志数据集appfw概要-denyURLAction块日志数据集appfw概要-cookieConsistencyAction日志数据集appfw概要-crossSiteScriptingAction日志数据集appfw概要-crossSiteScriptingTransformUnsafeHTML appfw概要-fieldConsistencyAction日志数据集上appfw概要-SQLInjectionAction日志数据集appfw概要-SQLInjectionTransformSpecialChars设置appfw概要-SQLInjectionOnlyCheckFieldsWithSQLChars组appfw概要文件-SQLInjectionParseComments checkall set appfw profile -fieldFormatAction log stats set appfw profile -bufferOverflowAction block log stats set appfw profile -CSRFtagAction log stats save ns config
创建并配置策略
在命令提示符下,输入以下命令:
添加appfw policy
保存ns config
例子
下面的示例添加了一个名为pl-blog的策略,该策略具有一个规则,该规则拦截来自主机blog.example.com的所有流量,并将该策略与概要文件pr-blog关联起来。
添加appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
绑定Web应用防火墙策略
在命令提示符下,输入以下命令:
绑定appfw global
.使用实例 保存ns config
例子
下面的示例绑定名为pl-blog的策略,并为其分配优先级为10。
绑定appfw全局pl-blog配置——NeedCopy >
配置每个PE的会话限制
在命令提示符下,输入以下命令:
设置appfw设置<会话限制>
例子
下面的示例为每个PE配置会话限制。
> set appfw settings -sessionLimit 500000 ' Done缺省值:100000每个PE最大值:500000