安全物件检查
安全物件检查
安全对象检查为敏感业务信息提供用户可配置的保护,例如客户号码、订单号、特定国家或地区的电话号码或邮政编码。用户定义的正则表达式或自定义插件告诉Web应用防火墙这些信息的格式,并定义用于保护这些信息的规则。如果用户请求中的字符串与安全对象定义匹配,Web应用程序防火墙会在将响应发送给用户之前阻止响应、屏蔽受保护信息或从响应中删除受保护信息,这取决于您如何配置特定的安全对象规则。
安全对象检查可以防止攻击者利用您的web服务器软件或您的网站中的安全漏洞来获取敏感的私人信息,如公司信用卡号码或社会安全号码。如果您的网站无法访问这些类型的信息,则不需要配置此检查。如果您的购物车或其他应用程序可以访问此类信息,或者您的网站可以访问包含此类信息的数据库服务器,则必须为您处理和存储的每种类型的敏感私有信息配置保护。
注意:
不访问SQL数据库的网站通常无法访问敏感的私人信息。
安全对象检查不同于任何其他检查。对于此类信息,您创建的每个安全对象表达式都相当于一个单独的安全检查,类似于信用卡检查。
通过GUI配置安全对象检查
请注意
安全对象检查只能通过图形界面进行配置。不支持命令行界面。
使用实例增加安全对象安全检查。
导航到安全> Citrix Web应用防火墙>配置文件.
选择需要的配置文件,单击编辑.
在高级设置窗格中,单击放松规则.
选择安全对象并点击编辑.
点击添加并配置如下:
- 安全对象名称。新的安全对象的名称。名称可以以字母、数字或下划线符号开头。名称长度范围为1 ~ 255个字符,由字母、数字和“-”、“。”、“#”、“)、“@”、“=”、“:”、“_”组成。
- 行动。启用或禁用块,日志,统计数据动作,以及以下动作:
- x。用字母“X”屏蔽与安全对象表达式匹配的任何信息。
- 删除。删除与安全对象表达式匹配的任何信息。
- 正则表达式。输入一个定义安全对象的与pcre兼容的正则表达式。可以通过以下两种方式创建正则表达式:
- 通过直接在文本框中输入正则表达式
- 通过使用正则表达式的令牌菜单直接在文本框中输入正则表达式元素和符号
- 通过打开正则表达式编辑器并使用它来构造表达式。正则表达式只能由ASCII字符组成。不要剪切和粘贴不属于基本128字符ASCII集的字符。如果要包括非ascii字符,则必须以PCRE十六进制字符编码格式手动键入这些字符。
注意:
不要在安全对象表达式的开头使用开始锚(^),也不要在安全对象表达式的末尾使用结束锚($)。这些PCRE实体在安全对象表达式中不受支持,如果使用,会导致表达式与预期匹配的内容不匹配。
最大匹配长度。输入一个正整数,表示要匹配的字符串的最大长度。例如,如果您想匹配美国的社会安全号码,请在此字段中输入数字11。这允许正则表达式匹配包含9个数字和2个连字符的字符串。如果你想匹配加州的驾驶执照号码,输入数字8(8)。
警告:
如果您没有设置最大匹配长度,Web应用程序防火墙在过滤与安全对象表达式匹配的字符串时使用默认值1(1)。因此,大多数安全对象表达式都不能匹配它们的目标字符串。
您可以通过选择所需的表达式,单击,修改现有表达式开放然后配置表达式修改安全对象对话框。
下面是安全对象检查正则表达式的例子:
- 寻找看起来是美国社会安全号码(SSN)的字符串。SSN由以下字符按上述顺序组成:
- 三个数字(第一个不能为零)
- 一个连字符
- 还有两个数字
- 第二个连字符
- 由另外四个数字组成的字符串
[1 - 9] [0 - 9] {3 3} - [0 - 9] {2,} [0 - 9] {4 4} < !——NeedCopy > 寻找看起来是加州驾照id的字符串,以字母开头,后面跟着恰好7个数字的字符串:
[A-Za-z] [0 - 9] {7} < !——NeedCopy >- 寻找看起来是客户id的字符串。客户id按上述顺序由以下几部分组成:
- 由五个十六进制字符组成的字符串(所有数字和字母A到F)
- 一个连字符
- 三个字母的密码
- 第二个连字符
- 10个数字的字符串
[0-9A-Fa-f] {5, 5} - [A-Za-z]{3 3}[0 - 9]{10、10}< !——NeedCopy >
警告:
正则表达式功能强大。如果您不太熟悉pcre格式的正则表达式,请仔细检查您编写的任何正则表达式。确保正则表达式精确地定义了要添加的字符串类型作为安全对象定义。不小心使用通配符,特别是使用点星号(.*)元字符/通配符组合,可能会导致您不想要或期望的结果,例如阻止访问您不想阻止的web内容。