使用Citrix ADC GUI手动配置

如果您需要手动配置Web应用程序防火墙功能，Citrix建议您使用Citrix ADC GUI过程。

创建并配置签名对象

在配置签名之前，必须从相应的缺省签名对象模板中创建一个签名对象。为副本分配一个新名称，然后配置副本。缺省签名对象不能直接配置或修改。配置签名对象的基本步骤如下。有关更详细的说明，请参见手动配置签名特性．

1. 导航到安全> Citrix Web应用防火墙>签名．

2. 2 .在详细信息窗格中，选择需要作为模板使用的签名对象，单击添加．

   你的选择是:

   • 默认的签名。包含签名规则、SQL注入规则和跨站脚本规则。
   • XPath注入。包含默认签名中的所有项，此外还包含XPath注入规则。
3. 在添加签名对象对话框，为新签名对象键入名称，单击“确定”，然后单击关闭．名称只能以字母、数字或下划线开头，由字母、数字、“-”、“。”、“#”、“空格”、“@”、“=”和“_”组成，长度为1 ~ 31个字符。
4. 选择您创建的签名对象，然后单击开放．

5. 在修改签名对象对话框中，设置显示筛选条件选项，以显示要配置的筛选项。

   当您修改这些选项时，您指定的结果将显示在右侧的“筛选结果”窗口中。有关签名类别的详细信息，请参见签名．

6. 在过滤后的结果区域，选中对应的复选框，配置签名的“设置”。
7. 完成后，单击关闭．

使用GUI创建Web应用防火墙配置文件

创建Web应用防火墙配置文件只需要指定一些配置细节。

1. 导航到安全> Citrix Web应用防火墙>配置文件．
2. 在详细信息窗格中，单击添加．

3. 在创建Web应用防火墙“概要文件”对话框中，为您的概要文件键入名称。

   名称只能以字母、数字或“_”开头，由字母、数字、“-”、“。”、“#”、“)、“@”、“=”、“:”、“_”组成，长度为1 ~ 31个字符。

4. 在下拉列表中选择策略类型。
5. 点击创建，然后按关闭．

使用GUI配置Web应用防火墙配置文件

1. 导航到安全> Citrix Web应用防火墙>配置文件．
2. 在详细信息窗格中，选择要配置的概要文件，然后单击编辑．
3. 在配置Web应用防火墙配置文件对话框中的安全检查页签，配置安全检查。
   • 若要启用或禁用某个检查的操作，请在列表中选中或清除该操作的复选框。

   • 要为那些具有这些参数的检查配置其他参数，在列表中，单击该检查最右边的蓝色雪佛龙。在弹出的对话框中，配置参数。每个检查的结果都不一样。

     您也可以选择一个检查，并在对话框的底部单击“打开”以显示该检查的“配置放松”对话框或“配置规则”对话框。这些对话框也因检查而有所不同。其中大多数包括一个“检查”选项卡和一个“常规”选项卡。如果检查支持放松或用户定义的规则，那么Checks选项卡包含一个Add按钮，该按钮会打开另一个对话框，在该对话框中您可以为检查指定放松或规则。(放松是指将特定流量从检查中豁免的规则。)如果已经配置了松弛，您可以选择一个并单击Open来修改它。

   • 若要为检查检查已了解的异常或规则，请选择检查，然后单击已了解的违规项。在“管理学习到的规则”对话框中，依次选择每个学习到的例外或规则。

     • 若要编辑异常或规则，然后将其添加到列表中，请单击编辑和部署．
     • 如需接受异常或规则，请单击部署．
     • 若要从列表中移除异常或规则，请单击跳过．
   • 单击，可刷新要查看的例外或规则列表刷新．
   • 打开学习的可视化工具并使用它来复习学习的规则，点击视觉型的人．
   • 若要查看与检查匹配的连接的日志项，请选择该检查，然后单击日志．您可以使用此信息确定哪些检查与攻击匹配，以便为这些检查启用阻塞。您还可以使用此信息确定哪些检查匹配合法流量，以便您可以配置适当的豁免以允许这些合法连接。有关日志的详细信息，请参见日志、统计和报表．
   • 若要完全禁用列表中的复选项，请清除该复选项右侧的所有复选框。
4. 在设置选项卡，配置配置文件设置。

   • 要将概要文件与您先前创建和配置的签名集关联，请在常见的设置，在“签名”下拉列表中选择该签名集。

     注意:

     您可能必须使用对话框右侧的滚动条向下滚动才能显示“常用设置”部分。

   • 要配置HTML或XML错误对象，请从相应的下拉列表中选择对象。

     注意:

     必须首先上载要在Import窗格中使用的错误对象。

   • 若要配置默认的XML内容类型，请直接在“默认请求”和“默认响应”文本框中键入内容类型字符串，或单击“管理允许的内容类型”来管理允许的内容类型列表。

5. 如果需要使用学习特性，请单击“学习”，配置学习配置。有关更多信息，请参见配置和学习特性．

6. 点击好吧以保存更改并返回Profiles窗格。

配置Web应用防火墙规则或松弛

您在此对话框中配置了两种不同类型的信息，具体取决于您正在配置哪种安全检查。在大多数情况下，您可以为安全检查配置一个异常(或放松)。如果您正在配置“拒绝URL”检查或“字段格式”检查，您将配置一个附加(或规则)。这两个过程都是一样的。

使用Citrix ADC GUI配置松弛规则

1. 导航到安全>Citrix Web应用防火墙>配置文件．
2. 在配置文件窗格中，选择要配置的概要文件，然后单击编辑．
3. 在配置Web应用防火墙配置文件页面,点击放松规则从高级设置部分。的放松规则部分包含Web应用防火墙放松规则的完整列表。
4. 单击待配置的安全规则，然后单击编辑．
5. URL放松规则页面包含一个操作列表，您可以为此规则配置操作，以及一个现有放松或规则列表。如果您没有手动添加任何放松或批准学习引擎推荐的任何放松，则该列表可能为空。列表下面是一排按钮，允许您添加、修改、删除、启用或禁用列表上的松弛项。

6. 若要添加或修改放松或规则，请执行以下操作之一:

   • 若要添加新的放松，请单击添加．
   • 若要修改现有的松弛，请选择要修改的松弛，然后单击开放．

   的开始URL松弛规则页面。除了标题外，这些对话框是相同的。

7. 按照下面的描述填写对话框。每个检查的对话框是不同的。下面的列表涵盖了可能出现在任何对话框中的所有元素。

   • 启用复选框-选择将此放松或规则用于积极使用;可以关闭它了。
   • 附件内容类型- XML附件的Content-Type属性。在文本区域中，输入与要允许的XML附件的Content-Type属性匹配的正则表达式。
   • 动作URL-在文本区域，输入一个pcre格式的正则表达式，该正则表达式定义了web表单中输入的数据被传递到的URL。
   • 饼干-在文本框中输入定义cookie的pcre格式正则表达式。
   • 字段名- web表单字段名元素可以标记为字段名、表单字段或其他类似的名称。在文本区域中，输入定义表单字段名称的pcre格式正则表达式。
   • 来自Origin URL-在文本区域，输入一个pcre格式的正则表达式，该正则表达式定义了承载web表单的URL。
   • 来自Action URL-在文本区域，输入一个pcre格式的正则表达式，该正则表达式定义了web表单中输入的数据被传递到的URL。
   • 的名字- XML元素或属性名。在文本区域中，输入定义元素或属性名称的pcre格式正则表达式。
   • URL-A URL元素可以被标记为Action URL, Deny URL, Form Action URL, Form Origin URL, Start URL，或者简单的URL。在文本区域中，输入定义URL的pcre格式正则表达式。

   • 格式-格式部分包含多个设置，包括列表框和文本框。可以出现以下任何一种:

     • 类型—在“类型”下拉列表中选择字段类型。要添加新的字段类型定义，单击Manage -
     • 最小长度-Type表示字符最小长度的正整数(如果要强制用户填写此字段)。默认值:0(允许字段为空。)
     • 最大长度-要限制此字段中的数据长度，请键入表示最大字符长度的正整数。默认值:65535

   • 位置-从下拉列表中选择您的放松适用的请求元素。对于HTML安全检查，选项是:

     • FORMFIELD-Form web表单中的表单字段。
     • 头标头。
     • COOKIE-Set-Cookie头。

     对于XML安全检查，可以选择:

     • ELEMENT-XML元素。
     • ATTRIBUE-XML属性。
   • 最大附件大小- XML附件允许的最大字节大小。
   • 评论在文本区域，输入注释。可选的。

   请注意:对于任何需要正则表达式的元素，您可以键入正则表达式，使用Regex Tokens菜单直接将正则表达式元素和符号插入文本框，或单击Regex编辑器打开添加正则表达式对话框，并使用它来构造表达式。

8. 若要删除松弛或规则，请选中它，然后单击删除．
9. 要启用松弛或规则，请选中它，然后单击启用．
10. 若要禁用放松或规则，请选中它，然后单击禁用．

11. 若要在集成交互式图形显示中配置所有现有放松的设置和关系，请单击视觉型的人，并使用显示工具。

    注意:

    的视觉型的人按钮不会出现在所有检查放松对话框上。

12. 若要查看此检查的已学习规则，请单击“学习”并执行中的步骤配置和使用“学习”特性
13. 点击好吧．

使用Citrix ADC GUI配置学习规则

1. 导航到安全>Citrix Web应用防火墙>配置文件．
2. 在配置文件窗格，选择概要文件，然后单击编辑．
3. 在Citrix Web App防火墙配置文件页面,点击学习规则从高级设置．在学习规则节中，您可以看到当前配置文件中可用且支持学习特性的安全检查列表。
4. 选中安全检查项前的复选框，单击，配置学习阈值设置．

5. 在动态分析和学习规则设置页面中，可以进行设置。有关更多信息，请参见动态配置文件设置

   • 最小数量阈值。根据您所配置的安全检查的学习设置，最小数量阈值可能是指在生成学习松弛之前必须观察的总用户会话的最小数量、必须观察的请求的最小数量，或者必须观察特定表单字段的最小次数。默认值:1

   • 次数阈值百分比。根据您正在配置的安全检查学习设置，次数百分比阈值可能是指在生成学习松弛之前，所观察到的违反安全检查的用户会话总数的百分比、请求的百分比或表单字段匹配特定字段类型的次数的百分比。默认值:0

6. 若要删除所有学习数据并重置学习特征，使其必须从头开始观察，请选择删除所有已学习的数据行动。

   注意:

   此按钮仅删除未审查和批准或跳过的已学习到的建议。它并不能消除已经被接受和部署的习得性放松。

7. 单击，将学习引擎限制为来自特定ip的流量可信学习客户端，并将IP地址添加到列表中。
   1. 单击，将IP地址或IP地址范围添加到“可信学习客户端”列表中添加．
   2. 在应用防火墙配置文件到可信克林特绑定页面,点击添加．
   3. 选择启用复选框以启用该特性。
   4. 2 .在“可信学习客户端**”框中输入IP地址或CIDR格式的IP地址段。
   5. 在评论文本区域，键入描述此IP地址或范围的注释。
   6. 点击创建而且关闭．
8. 如果需要修改已存在的IP地址或范围，单击IP地址或范围后，单击编辑．除了名称外，出现的对话框与“添加可信学习客户端”对话框相同。
9. 若要禁用或启用某个IP地址或范围，但不显示在列表中，请单击该IP地址或范围，然后单击禁用或启用。

10. 单击需要删除的IP地址或范围，然后单击，可以完全删除该IP地址或范围删除．

11. 点击关闭回到Citrix Web App防火墙配置文件页面。

使用Citrix ADC GUI创建Citrix Web应用防火墙策略

1. 导航到安全>Citrix Web App防火墙>政策．

2. 在政策页面,点击Citrix Web应用防火墙策略链接。
3. 2 .在“Citrix Web App Firewall Policies”界面，单击添加．

4. 2 .在“Create Citrix Web App Firewall Policy”页面中，配置以下参数。

   1. 的名字。名称只能以字母、数字或下划线开头，由字母、数字、“-”、“。”、“#”、“)、“@”、“=”、“:”和“_”组成，长度范围为1 ~ 128个字符。
   2. 概要文件。从“配置文件”下拉列表中选择要与此策略关联的配置文件。通过单击New可以创建与策略相关联的概要文件，并且可以通过单击修改现有的概要文件修改．
   3. 表达式。在Expression文本区域中，为策略创建一条规则。
   4. 日志的行动。添加日志操作或修改现有日志操作。
   5. 评论。关于政策的简要描述。
5. 点击创建或好吧，然后按关闭．

创建或配置Web应用防火墙规则(表达式)

策略规则，也称为策略规则表达式，定义了web应用防火墙通过使用与策略关联的配置文件过滤的web流量。与其他Citrix ADC策略规则(或表达式)， Web应用防火墙规则使用Citrix ADC表达式语法。此语法功能强大、灵活且可扩展。它太复杂了，无法在这组说明中全部描述。可以使用以下过程创建简单的防火墙策略规则，也可以将其作为策略创建过程的概述。

1. 如果您还没有这样做，请导航到Web应用程序防火墙向导或Citrix ADC GUI中的适当位置来创建策略规则:

   • 如果您正在“Web应用防火墙”向导中配置策略，请在导航窗格中单击Citrix Web应用程序防火墙向导，然后在详细信息窗格中单击Citrix Web应用程序防火墙向导，然后导航到指定规则选项卡页面。

   • 在指定规则页中，从下拉列表中选择表达式的前缀。你的选择是:

   • HTTP。HTTP协议。如果希望检查请求中与HTTP协议相关的某些方面，则选择此选项。
   • SYS。一个或多个受保护的网站。如果您想检查请求中与请求接收者相关的某些方面，则选择此选项。
   • 客户端。发送请求的计算机。如果希望检查请求发送方的某些方面，则选择此选项。
   • 服务器。请求发送到的计算机。如果希望检查请求接收者的某些方面，则选择此选项。

   在你选择一个前缀后，Web应用防火墙会显示一个由两部分组成的提示窗口，在顶部显示下一个可能的选择，在底部显示所选选择的含义的简要说明。

2. 选择你的下学期。

   如果您选择HTTP作为前缀，那么惟一的选择就是REQ，它指定了请求/响应对。(Web应用防火墙将请求和响应作为一个单元来操作，而不是分别操作。)如果您选择了另一个前缀，您的选择将更加多样化。有关特定选项的帮助，单击该选项一次，将在下方提示窗口中显示有关该选项的信息。

   当您决定了想要的项时，双击它以将其插入Expression窗口。

3. 在刚刚选择的术语后面键入句号。然后系统会提示您选择下一个术语，如前一步所述。当一个术语要求您输入一个值时，请填写适当的值。例如，如果选择HTTP.REQ.HEADER(" ")，则在引号之间键入报头名称。

4. 继续从提示中选择术语并填写所需的值，直到表达式完成。

   下面是一些用于特定目的的表达式示例。

   • 特定的web主机。要匹配来自特定web主机的流量:

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

对于shopping.example.com，替换您想要匹配的web主机的名称。

• 特定的web文件夹或目录。要匹配来自Web主机上特定文件夹或目录的流量:

HTTP.REQ.URL.STARTSWITH(“https / / www.example.com/folder”)

对于www.example.com，替换为web主机的名称。对于文件夹，将文件夹或路径替换为要匹配的内容。例如，如果购物车位于名为/solutions/orders的文件夹中，则将该字符串替换为文件夹。

• 具体内容类型:GIF图像。匹配GIF格式图像:

HTTP.REQ.URL.ENDSWITH (gif)

要匹配其他格式的图像，请将.gif替换为另一个字符串。

• 特定类型的内容:脚本。要匹配位于CGI- bin目录中的所有CGI脚本:

HTTP.REQ.URL.STARTSWITH(“https / / www.example.com/CGI-BIN”)

要匹配所有扩展名为.js的JavaScripts:

HTTP.REQ.URL.ENDSWITH (js)

有关创建策略表达式的详细信息，请参见策略和表达式．

注意:

如果使用命令行配置策略，请记住转义Citrix ADC表达式中的任何双引号。例如，在GUI界面输入的表达式为:

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

但是，如果在命令行中输入，则必须输入:

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

[配置策略表达式](/en-us/citrix-adc/media/waf-rule.png)

使用“添加表达式”对话框添加防火墙规则(表达式)

的添加表情对话框(也称为表达式编辑器)可以帮助不熟悉Citrix ADC表达式语言的用户构造匹配他们想要过滤的流量的策略。

1. 如果您还没有这样做，请导航到Web应用程序防火墙向导或Citrix ADC GUI中的适当位置:
   • 中配置策略Web应用防火墙向导，在导航窗格中单击Web应用防火墙，然后在详细信息窗格中单击Web应用防火墙向导，然后导航到指定规则屏幕上。
   • 如果是手动配置策略，在导航窗格中展开Web应用防火墙,然后政策，然后防火墙．在详细信息窗格中，单击，创建策略添加．如果需要修改已存在的策略，选中策略前的复选框，单击开放．
2. 在指定规则屏幕，在创建Web应用防火墙配置文件对话框，或在配置Web应用防火墙配置文件对话框，单击添加．
3. 在添加表情对话框中，在“构造表达式”区域的第一个列表框中，选择以下前缀之一:
   • HTTP。HTTP协议。如果希望检查请求中与HTTP协议相关的某些方面，则选择此选项。默认选择。
   • SYS。一个或多个受保护的网站。如果您想检查请求中与请求接收者相关的某些方面，则选择此选项。
   • 客户端。发送请求的计算机。如果希望检查请求发送方的某些方面，则选择此选项。
   • 服务器。请求发送到的计算机。如果希望检查请求接收者的某些方面，则选择此选项。
4. 在第二个列表框中，选择你的下一项。可用的术语根据您在上一步中所做的选择而有所不同，因为对话框会自动调整列表，只包含那些对上下文有效的术语。例如，如果您在前面的列表框中选择了HTTP，那么对于请求，唯一的选择就是REQ。由于Web应用防火墙将请求和相关响应视为一个单元，并对两者进行过滤，因此您不需要分别指定响应。选择第二个项后，第二个项的右侧会出现第三个列表框。“帮助”窗口显示第二个术语的描述，“预览表达式”窗口显示表达式。
5. 在第三个列表框中，选择下一个项。右边会出现一个新的列表框，帮助窗口将更改为显示新术语的描述。“预览表达式”窗口将更新以显示指定到该点的表达式。
6. 继续选择术语，并在提示时填写参数，直到表达式完成。如果你犯了错误，或者在你已经选择了一个术语之后想要改变你的表达式，你可以简单地选择另一个术语。表达式被修改，您在修改的术语之后添加的任何参数或多个术语将被清除。
7. 完成表达式的构造后，单击“确定”关闭“添加表达式”对话框。表达式被插入表达式文本区域。

使用Citrix ADC GUI绑定Web应用防火墙策略

1. 做以下其中一件事:
   • 导航到安全>Web应用防火墙，在详细信息窗格中单击应用程序防火墙策略管理器．
   • 导航到安全>Citrix Web应用防火墙>政策>防火墙，在“Citrix Web App Firewall Policies”窗格中，单击策略管理器．
2. 在应用防火墙策略管理器对话框中，从下拉列表中选择要将策略绑定到的绑定点。选项是:
   • 覆盖全球。绑定到此绑定点的策略处理来自Citrix ADC设备上所有接口的所有流量，并在任何其他策略之前应用。
   • LB虚拟服务器。绑定到负载均衡虚拟服务器的策略只应用于由该负载均衡虚拟服务器处理的流量，并且应用于任何默认全局策略之前。选择“LB虚拟服务器”后，还需要选择绑定该策略的负载均衡虚拟服务器。
   • CS虚拟服务器。绑定到内容切换虚拟服务器的策略仅应用于由该内容切换虚拟服务器处理的流量，并且应用于任何默认全局策略之前。选择“CS虚拟服务器”后，还需要选择绑定该策略的具体内容切换虚拟服务器。
   • 默认的全球。绑定到此绑定点的策略处理来自Citrix ADC设备上所有接口的所有流量。
   • 政策的标签。绑定到策略标签的策略处理策略标签路由到它们的流量。策略标签控制策略应用于此流量的顺序。
   • 一个也没有。不要将策略绑定到任何绑定点。
3. 点击继续．将显示现有Web应用程序防火墙策略的列表。
4. 单击策略，选择要绑定的策略。
5. 对绑定进行任何额外的调整。
   • 若要修改策略优先级，请单击字段以启用它，然后键入新的优先级。您也可以选择再生的优先级将优先级均匀地重新编号。
   • 要修改策略表达式，双击该字段以打开配置Web应用防火墙策略对话框，您可以在其中编辑策略表达式。
   • 中双击字段，可设置Goto表达式转到表达式列标题显示下拉列表，您可以在其中选择表达式。
   • 若要设置Invoke选项，请双击Invoke列标题中的字段以显示下拉列表，您可以在其中选择表达式。
6. 重复步骤3到步骤6添加您想要全局绑定的任何其他Web应用程序防火墙策略。
7. 点击好吧．状态栏中出现一条消息，说明策略已成功绑定。