Web应用防火墙向导
与大多数向导不同,Citrix Web应用防火墙向导的设计不仅是为了简化初始配置过程,而且还可以修改之前创建的配置,并维护Web应用防火墙设置。一个典型的用户运行向导多次,每次跳过一些屏幕。
Web应用防火墙向导自动创建配置文件、策略和签名。
打开向导
要运行Web应用程序防火墙向导,请打开GUI并遵循以下步骤:
- 导航到安全>应用防火墙.
- 在详细信息窗格中,在开始,点击应用程序防火墙向导.打开向导。
有关GUI的更多信息,请参见“Web应用防火墙配置接口.”
向导屏幕
Web应用防火墙向导以表格形式显示以下屏幕:
1.指定名称:在此屏幕上,当创建新的安全配置时,为您的概要文件指定有意义的名称和适当的类型(HTML、XML或WEB 2.0)。默认策略和签名使用相同的名称自动生成。
配置文件名称
名称以字母、数字或“_”开头,由字母、数字、“-”、“。”、“#”、“空格”、“@”、“=”、“:”、“_”组成,长度范围为1 ~ 31个字符。选择一个名称,这样其他人就可以很容易地知道您的新安全配置保护了什么内容。
注意:
因为向导对策略和概要文件都使用这个名称,所以它被限制为31个字符。手工创建的策略名称长度最多为127个字符。
在修改已有配置时,选择“修改已有配置”,在“名称”下拉列表框中选择需要修改的已有配置名称。
注意:
只有绑定到全局或绑定点的策略才会出现在这个列表中;不能使用“应用程序防火墙”向导修改未绑定的策略。您必须手动将它绑定到Global或绑定点,或者手动修改它。(手动修改,在GUI中)应用防火墙>政策>防火墙窗格中,选择策略并单击开放.
概要文件类型
您还可以在此屏幕上选择配置文件类型。配置文件类型决定了可以配置的高级保护(安全检查)的类型。因为某些类型的内容不容易受到某些类型的安全威胁,所以限制可用检查列表可以节省配置期间的时间。Web应用防火墙配置文件的类型有:
- Web应用程序(HTML)。任何不使用XML或Web 2.0技术的基于html的网站。
- XML应用程序(XML, SOAP)。任何基于xml的Web服务。
- Web 2.0应用程序(HTML, XML, REST)。任何结合HTML和基于xml的内容的Web 2.0站点,例如基于atom的站点、博客、RSS提要或wiki。
注意:如果您不确定您的网站使用的内容类型,您可以选择Web 2.0应用程序,以确保您保护所有类型的Web应用程序内容。
2.指定规则:在此屏幕上,您将指定定义当前配置检查的流量的策略规则(表达式)。如果你创建了一个初始配置来保护你的网站和web服务,你可以接受默认值,真正的,选择所有网络流量。
如果希望此安全配置检查的不是通过设备路由的所有HTTP流量,而是特定的流量,则可以编写策略规则,指定希望它检查的流量。规则是用Citrix ADC表达式语言编写的,这是一种完全面向对象的函数式编程语言。
注意:除了默认表达式语法,为了向后兼容,Citrix ADC操作系统还支持Citrix ADC classic和nCore设备以及虚拟设备上的Citrix ADC经典表达式语法。Citrix ADC集群设备和虚拟设备不支持经典表达式。希望将现有配置迁移到Citrix ADC集群的当前用户必须将任何包含经典表达式的策略迁移到默认表达式语法。
- 有关使用Citrix ADC表达式语法创建Web应用程序防火墙规则的简单描述,以及有用规则的列表,请参见防火墙策略.
- 有关如何在Citrix ADC表达式语法中创建策略规则的详细说明,请参见政策和表达式.
4.选择签名:在此屏幕上,您可以选择您想要用来保护您的网站和网络服务的签名类别。
这不是一个强制性的步骤,如果你想跳过它,你可以去指定深度的保护屏幕上。如果跳过“选择签名”界面,则只创建profile和关联的策略,不会创建签名。
您可以选择创建新的签名或选择现有的签名.
新建安全配置时,选中的签名类别将被启用,默认记录在新的签名对象中。新签名对象的名称与您在指定名称屏幕上输入的安全配置名称相同。
如果您已经配置了签名对象,并且希望使用其中的一个作为与正在创建的安全配置相关联的签名对象,请单击选择现有的签名并从“签名”列表中选择签名对象。
当修改已存在的安全配置时,可单击“选择已存在的签名”,为安全配置分配不同的签名对象。
单击“创建新签名”,可以选择编辑模式为简单的或先进的.
- 指定签名保护(简单模式)
简单模式可以轻松配置签名,预置了IIS (Internet Information Server)、PHP、ActiveX等常用应用的保护定义列表。“简单”模式的默认分类如下:
CGI。保护网站免受攻击,使用CGI脚本在任何语言,包括PERL脚本,Unix shell脚本,和Python脚本。
冷聚变。保护使用Adobe Systems®ColdFusion®Web开发平台的网站免受攻击。
网页制作。保护使用Microsoft®FrontPage®Web开发平台的网站免受攻击。
PHP。防止使用PHP开源Web开发脚本语言的网站受到攻击。
客户端。保护用于访问受保护网站的客户端工具免受攻击,例如Microsoft Internet Explorer、Mozilla Firefox、Opera浏览器和adobeacrobatreader。
Microsoft IIS。防止运行Microsoft Internet Information Server (IIS)的网站受到攻击
杂项。防止对其他服务器端工具(如Web服务器和数据库服务器)的攻击。
在此界面中,选择与您在“选择签名”界面中选择的签名类别相关联的动作。您可以配置的动作有:
- 块
- 日志
- 统计数据
缺省情况下,日志和统计动作是启用的,但不启用阻断动作。要配置操作,请单击设置.属性可以更改所有选定类别的操作设置行动下拉列表。
- 指定签名保护(高级模式)
高级模式允许对签名定义进行更细粒度的控制,并提供更多的信息。如果需要对签名定义进行完全控制,请使用高级模式。
此界面内容与“修改签名对象”对话框内容一致,具体说明请参见配置/修改签名对象.在此屏幕中,您可以通过单击行动下拉列表或动作菜单,它显示为一个带有三个点的圆圈。
7.指定深度的保护:在这个屏幕上,您选择高级保护(也称为安全检查或简单地检查),您想使用它来保护您的网站和web服务。可用的检查取决于您在Specify Name屏幕上选择的概要文件类型。所有检查都可用于Web 2.0应用程序概要文件。
您为已启用的高级保护配置操作。您可以配置的动作有:
- 阻断:阻断匹配签名的连接。默认情况下禁用。
- 日志:记录命中签名的连接信息,以便后续分析。默认启用。
- Stats:维护每个签名的统计信息,显示它匹配了多少连接,并提供有关被阻塞的连接类型的某些其他信息。默认情况下禁用。
- 学习。观察此网站或web服务的流量,并使用多次违反此检查的连接来生成检查的建议异常或检查的新规则。只提供一些支票。有关学习特性的更多信息,请参见配置和使用学习特性,以及学习是如何工作的,以及如何配置异常(放松)或部署学到的规则进行检查,请参见通过GUI方式手动配置.
若要配置动作,请通过单击复选框选择保护,然后单击动作设置选择所需的操作。如果需要,请选择其他参数,单击好吧关闭“操作设置”窗口。
要查看某个检查的所有日志,请选中该检查,然后单击日志显示Syslog查看器,如Web应用防火墙日志.如果安全检查阻止了对受保护网站或web服务的合法访问,您可以通过选择一个显示不想要的阻止的日志,然后单击,创建并实现对该安全检查的放松部署.
完成指定操作设置后,单击完成完成向导。
以下四个过程展示了如何使用Web应用程序防火墙向导执行特定类型的配置。
创建一个新的配置
按照以下步骤,使用application firewall向导创建新的防火墙配置和签名对象。
导航到安全>应用防火墙.
在详细信息窗格中,在开始,单击“**应用防火墙”。打开向导。
在指定名称界面中,选择“**Create New Configuration”。
在的名字字段,键入名称,然后单击下一个.
在指定规则屏幕上,单击下一个一次。
在选择签名屏幕上,选择创建新的签名和简单的设置为编辑模式,然后单击下一个.
在指定签名保护屏幕,配置所需的设置。有关要考虑阻止哪些签名以及如何确定何时可以安全地对签名启用阻止的更多信息,请参见签名.
在指定深度的保护屏幕配置所需的操作和参数动作设置.
完成后,单击完成关闭“应用程序防火墙”向导。
修改现有配置
通过本步骤可以修改已配置的签名和已有的签名类别。
- 导航到安全>应用防火墙.
- 在详细信息窗格中,在开始,点击应用程序防火墙向导.打开向导。
- 在指定名称界面中,选择“修改现有配置”的名字下拉列表,选择在新配置期间创建的安全配置,然后单击下一个.
- 在指定规则,单击Next保持默认值“true”。如果您想修改规则,请按照中描述的步骤进行操作配置自定义策略表达式.
- 在选择签名屏幕上,单击选择现有的签名.从现有的签名下拉列表,选择适当的选项,然后单击下一个.进入高级签名保护界面。注意:如果选择已存在的签名,“受保护签名”的默认编辑模式为“高级”。
- 在“指定签名保护”界面中,配置相应的设置后,单击下一个.有关要考虑阻止哪些签名以及如何确定何时可以安全地对签名启用阻止的更多信息,请参见签名.
- 在指定深度的保护界面,配置设置并单击下一个.
- 完成后,单击完成关闭Web应用防火墙向导.
创建一个没有签名的新配置
按照以下步骤使用“应用程序防火墙向导”跳过“选择签名”屏幕,并创建一个只有配置文件和相关策略但没有任何签名的新配置。
- 导航到安全>应用防火墙.
- 在详细信息窗格中,在开始,点击应用程序防火墙向导.打开向导。
- 在指定名称屏幕上,选择创建新配置.
- 在的名字字段,键入名称,然后单击下一个.
- 在指定规则屏幕上,单击Next。
- 在选择签名屏幕上,单击跳过。
- 在指定深度的保护屏幕配置所需的操作和参数动作设置.
- 完成后,单击完成关闭“应用程序防火墙向导”。
配置自定义策略表达式
按照以下步骤使用应用程序防火墙向导创建专门的安全配置,以仅保护特定的内容。在这种情况下,您将创建一个新的安全配置,而不是修改初始配置。这种类型的安全配置需要一个自定义规则,以便策略只将配置应用于所选的Web流量。
- 导航到安全>应用防火墙.
- 在详细信息窗格中,在开始,点击应用程序防火墙向导.
- 在“指定名称”屏幕上,在“名称”文本框中键入新安全配置的名称,从“类型”下拉列表中选择安全配置的类型,然后单击下一个.
- 在指定规则屏幕,输入一条规则,只匹配您希望web应用程序保护的内容。使用常用的表达下拉列表和表达式编辑器创建自定义表达式。完成后,单击下一个.
- 在选择签名屏幕,选择编辑模式,然后单击下一个.
- 在指定签名保护屏幕,配置所需的设置。
- 在指定深度的保护屏幕配置所需的操作和参数动作设置.
- 完成后,单击完成关闭应用程序防火墙向导.