faq和部署指南

问:为什么Citrix Web App Firewall是保护应用程序的首选?

通过以下特性，Citrix Web App Firewall提供了全面的安全解决方案:

• 混合安全模式:Citrix ADC混合安全模型允许您同时利用积极安全模型和消极安全模型来提出最适合您的应用程序的配置。
  • 正向安全模型防止缓冲区溢出，CGI-BIN参数操作，表单/隐藏字段操作，强制浏览，Cookie或会话中毒，损坏的acl，跨站点脚本(跨站点脚本)，命令注入，SQL注入，错误触发敏感信息泄漏，不安全使用密码，服务器错误配置，后门和调试选项，基于速率的策略强制，众所周知的平台漏洞，零日漏洞，跨站点请求伪造(CSRF)，信用卡及其他敏感资料的泄露。
  • 负安全模型使用富集签名来防范L7和HTTP应用程序漏洞。Web应用防火墙集成了一些第三方扫描工具，如Cenzic、Qualys、Whitehat和IBM提供的扫描工具。内置的XSLT文件允许简单地导入规则，可以与基于本机格式Snort的规则一起使用。自动更新功能获取新漏洞的最新更新。

积极安全模型可能是保护对安全性有很高要求的应用程序的首选，因为它让您可以完全控制谁可以访问哪些数据。你只允许你想要的，而阻止其他的。该模型包括一个内置的安全检查配置，只需几次单击即可部署。但是，请记住，安全性越严格，处理开销就越大。

负安全性模型可能更适合于定制应用程序。签名允许您组合多个条件，只有当所有条件都满足时才会触发匹配和指定的操作。你只屏蔽你不想要的，允许其他的。在指定位置使用特定的快速匹配模式可以显著降低处理开销，从而优化性能。根据应用程序的特定安全需求添加自己的签名规则的选项使您可以灵活地设计自己的自定义安全解决方案。

• 请求和响应端检测和保护:您可以检查传入的请求以检测任何可疑行为并采取适当的操作，还可以检查响应以检测和防止敏感数据泄漏。
• 丰富的HTML, XML和JSON有效负载内置保护:Web应用防火墙提供了19种不同的安全检查。其中6个(如启动URL和拒绝URL)同时适用于HTML和XML数据。5个检查(如字段一致性和字段格式)是特定于HTML的，8个检查(如XML格式和Web服务互操作性)是特定于XML有效负载的。该特性包括一组丰富的操作和选项。例如，URL闭包使您能够通过您的网站控制和优化导航，以防止强制浏览，而不必配置放松规则，以允许每个合法的URL。您可以选择在响应中删除或x-out敏感数据，例如信用卡号码。无论是SOAP数组攻击保护、XML拒绝服务(XDoS)、WSDL扫描预防、附件检查，还是任何数量的其他XML攻击，当您的应用程序受到Web应用程序防火墙的保护时，您可以放心地知道您有一个铁面盾牌保护您的数据。签名允许您使用XPATH-Expressions配置规则，以检测JSON有效负载正文和头部中的违规行为。
• 吕震中本:支持保护谷歌Web Toolkit应用程序，防止SQL，跨站脚本和表单字段一致性检查违规。
• 无java，用户友好的图形用户界面(GUI):直观的GUI和预配置的安全检查可以通过单击几个按钮轻松部署安全性。向导会提示并指导您创建所需的元素，例如概要文件、策略、签名和绑定。基于HTML5的GUI不依赖于任何Java。它的性能明显优于基于Java的旧版本。
• 易于使用和自动化的CLI:GUI中可用的大多数配置选项也可以在命令行界面(CLI)中使用。CLI命令可以通过批处理文件执行，很容易实现自动化。
• 支持REST API:Citrix ADC NITRO协议支持一组丰富的REST API，以自动化Web应用程序防火墙配置并收集相关统计数据，以持续监控安全违规。
• 学习:Web应用防火墙通过监控流量来学习以优化安全性的能力对用户非常友好。学习引擎推荐规则，这使得在不精通正则表达式的情况下很容易部署松弛。
• RegEx编辑器支持:正则表达式为想要合并规则并优化搜索的困境提供了一种优雅的解决方案。您可以利用正则表达式的强大功能来配置url、字段名、签名模式等等。丰富的内置GUI RegEx编辑器为您提供了表达式的快速参考，并提供了一种方便的方法来验证和测试您的RegEx的准确性。
• 自定义错误页面:被阻止的请求可以重定向到错误URL。您还可以选择显示一个定制的错误对象，该对象使用受支持的变量和Citrix Advanced策略(高级PI表达式)为客户端嵌入故障排除信息。
• PCI-DSS、统计数据和其他违规报告:丰富的报告集可以很容易地满足PCI-DSS遵从性要求，收集有关流量计数器的统计信息，并查看所有概要文件或仅一个概要文件的违规报告。

• 日志记录和从日志点击规则:本地和CEF格式都支持详细的日志记录。Web应用防火墙为您提供了在syslog查看器中过滤目标日志消息的能力。您可以选择一条日志消息，并通过单击按钮部署相应的松弛规则。您可以灵活地定制日志消息，还支持生成web日志。有关其他详细信息，请参见Web应用防火墙日志的话题。

• 在跟踪记录中包含违规日志:在跟踪记录中包含日志消息的能力使得调试诸如重置和阻塞等意外行为变得非常容易。
• 克隆:有用的Import/Export配置文件选项允许您将安全配置从一个Citrix ADC设备克隆到其他设备。导出学习到的数据选项可以很容易地将学习到的规则导出到Excel文件。然后，您可以在应用它们之前让应用程序所有者审查和批准它们。
• 一个AppExpert模板(一组配置设置)可以设计为您的网站提供适当的保护。通过将这些千篇一律的模板导出到模板，可以简化和加快在其他设备上部署类似保护的过程。

有关其他详细信息，请参见AppExpert模板主题．

• 无会话安全检查:部署无会话安全检查可以帮助您减少内存占用并加快处理速度。
• 与其他Citrix ADC功能的互操作性:Web应用防火墙与其他Citrix ADC功能无缝协作，例如重写、URL转换、集成缓存、CVPN和速率限制。
• 策略中PI表达式的支持:您可以利用高级PI表达式的强大功能设计策略，为应用程序的不同部分实现不同级别的安全。
• 支持IPv6:Web应用防火墙支持IPv4和IPv6协议。
• 基于地理位置的安全保护:您可以灵活地使用Citrix高级策略(PI Expressions)来配置基于位置的策略，这些策略可以与内置的位置数据库一起使用，以自定义防火墙保护。您可以识别恶意请求的起源位置，并对来自特定地理位置的请求执行所需级别的安全检查检查。
• 性能:请求端流媒体显著提高性能。一旦处理了一个字段，结果数据就被转发到后端，同时继续对其余字段进行评估。在处理大型邮件时，处理时间的改善尤其显著。
• 其他安全特性:Web应用防火墙有其他几个安全设置，可以帮助确保您的数据安全。例如，机密字段允许您阻止日志消息中敏感信息的泄漏HTML注释允许您在将响应转发到客户端之前从响应中删除HTML注释。字段类型可用于指定提交给应用程序的表单中允许哪些输入。

问:如何配置Web应用防火墙?

做以下几点:

• 添加一个Web应用防火墙配置文件，并为应用程序的安全需求选择适当的类型(html、xml、web2.0)。
• 选择所需的安全级别(基本或高级)。
• 添加或导入所需的文件，例如签名或WSDL。
• 配置配置文件以使用这些文件，并对默认设置进行任何其他必要的更改。
• 为此配置文件添加Web应用程序防火墙策略。
• 将策略绑定到目标绑定点，并指定优先级。

问:我如何知道该选择哪种档案类型?

Web应用防火墙配置文件为HTML和XML有效负载提供保护。根据应用程序的需要，可以选择HTML概要文件或XML概要文件。如果应用程序同时支持HTML和XML数据，则可以选择Web2.0配置文件。

问:基本配置文件和高级配置文件有什么区别?我如何决定我需要哪一个?

使用基本概要文件还是高级概要文件取决于应用程序的安全需求。基本配置文件包括一组预先配置的“启动URL”和“拒绝URL”放松规则。这些放宽规则决定允许哪些请求，拒绝哪些请求。传入请求与预先配置的规则匹配，并应用配置的操作。用户可以用最少的放松规则配置来保护应用程序。“开始URL”规则防止强制浏览。通过启用一组默认的拒绝URL规则，可以检测和阻止黑客利用的已知web服务器漏洞。通常发起的攻击，如缓冲区溢出、SQL或跨站点脚本也可以很容易地检测到。

顾名思义，高级保护是针对对安全性要求较高的应用。放松规则被配置为只允许访问特定数据并阻止其余数据。这种积极的安全模型减轻了基本安全检查可能无法检测到的未知攻击。除了所有基本保护之外，高级配置文件还通过控制浏览、检查cookie、指定各种表单字段的输入要求以及防止篡改表单或跨站点请求伪造攻击来跟踪用户会话。学习，观察流量并建议适当的放松，在默认情况下启用了许多安全检查。虽然易于使用，但高级保护需要适当考虑，因为它们提供更严格的安全性，但也需要更多的处理。一些高级安全检查不允许使用缓存，这可能会影响性能。

在决定是使用基本配置文件还是高级配置文件时，请记住以下几点:

• 基本概要文件和高级概要文件只是启动模板。您总是可以修改基本配置文件来部署高级安全特性，反之亦然。
• 高级安全检查需要更多的处理，并且会影响性能。除非您的应用程序需要高级安全性，否则您可能希望从基本配置文件开始，并根据应用程序的需要加强安全性。
• 除非应用程序需要，否则不要启用所有安全检查。

问:什么是政策?如何选择绑定点并设置优先级?

Web应用防火墙策略可以帮助您将流量分类为逻辑组，以配置不同级别的安全实现。仔细选择策略的绑定点，以确定哪些流量与哪个策略匹配。例如，如果希望检查每个传入请求是否存在SQL/跨站点脚本攻击，可以创建一个通用策略并全局绑定它。或者，如果希望对包含敏感数据的虚拟服务器承载应用程序的流量应用更严格的安全检查，则可以将策略绑定到该虚拟服务器。

仔细分配优先级可以提高流量处理能力。您希望将更高的优先级分配给更具体的策略，而将较低的优先级分配给通用策略。注意，数字越高，优先级越低。优先级为10的策略在优先级为15的策略之前进行评估。

您可以为不同类型的内容应用不同级别的安全，例如，对静态对象(如图像和文本)的请求可以通过使用一种策略来绕过，而对其他敏感内容的请求可以通过使用另一种策略进行更严格的检查。

问:如何配置规则来保护我的应用程序?

Web应用防火墙使它非常容易为您的网站设计正确的安全级别。您可以有多个Web应用防火墙策略，绑定到不同的Web应用防火墙配置文件，为您的应用程序实现不同级别的安全检查检查。最初可以监视日志，以观察检测到哪些安全威胁以及触发了哪些违规行为。您可以手动添加放松规则，也可以利用Web应用防火墙推荐的学习规则来部署所需的放松，以避免误报。

Citrix Web应用程序防火墙提供视觉型的人在GUI中支持，这使得规则管理非常容易。您可以轻松地在一个屏幕上查看所有数据，并通过单击对多个规则采取行动。可视化工具的最大优点是它推荐正则表达式来合并多个规则。您可以根据分隔符和操作URL选择规则的子集。可视化工具支持用于查看1)习得的规则和2)松弛规则。

1. 学习规则的可视化工具提供了编辑规则并将其部署为松弛项的选项。你也可以跳过(忽略)规则。

2. 用于部署松弛的可视化工具为您提供了添加新规则或编辑现有规则的选项。控件，还可以启用或禁用一组规则启用或禁用按钮。

问:什么是签名?我如何知道该使用哪些签名?

签名是一个可以有多条规则的对象。每个规则由一个或多个模式组成，这些模式可以与一组指定的操作相关联。Web应用程序防火墙有一个内置的默认签名对象，由1300多个签名规则组成，并提供了一个选项，可以通过使用自动更新特性以获得针对新漏洞的保护。其他扫描工具创建的规则也可以导入。

签名非常强大，因为它们使用模式匹配来检测恶意攻击，并且可以配置为检查事务的请求和响应。当需要可定制的安全解决方案时，它们是首选。当检测到签名匹配时，可以使用多种操作选择(例如，阻止、记录、学习和转换)。缺省签名包含不同类型应用程序的保护规则，如web-cgi、web-coldfusion、web-frontpage、web-iis、web-php、web-client、web-activex、web-shell-shock、web-struts等。为了匹配应用程序的需求，您可以选择和部署属于特定类别的规则。

Signature-usage小贴士:

• 您只需复制默认签名对象并对其进行修改，以启用所需的规则并配置所需的操作。
• 签名对象可以通过添加新规则进行自定义，新规则可以与其他签名规则配合使用。
• 签名规则还可以配置为与Web应用程序防火墙配置文件中指定的安全检查一起工作。如果通过签名和安全检查检测到表示违规的匹配，则执行更严格的操作。
• 签名规则可以有多个模式，并配置为仅当所有模式都匹配时才标记违规，从而避免误报。
• 为规则仔细选择文字快速匹配模式可以显著优化处理时间。

问:Web应用程序防火墙是否与其他思杰ADC功能兼容?

Web应用防火墙完全集成到Citrix ADC设备中，并与其他功能无缝工作。您可以将其他Citrix ADC安全特性与Web应用程序防火墙结合使用，为应用程序配置最大的安全性。例如,AAA-TM可用于对用户进行身份验证，检查用户访问内容的授权，并记录访问，包括无效的登录尝试。重写可用于修改URL或添加、修改或删除标题，以及应答器可用于向不同用户交付定制内容。您可以通过使用定义网站的最大负载速度限制监控流量并在流量过高时控制流量。拒绝服务(DoS)可以帮助区分真正的HTTP客户端和恶意的DoS客户端。可以通过将Web应用防火墙策略绑定到虚拟服务器来缩小安全检查的范围，同时仍然可以通过使用负载平衡管理大量使用的应用程序的特性。对静态对象(如图像或文本)的请求可以绕过安全检查检查，利用集成缓存或压缩优化此类内容的带宽使用。

问:Web应用防火墙和其他Citrix ADC功能是如何处理负载的?

显示Citrix ADC设备中L7包流细节的图表可在特征处理顺序部分。

问:Web应用防火墙部署的推荐工作流程是什么?

现在您已经了解了使用Citrix Web App Firewall最先进的安全保护的优点，您可能希望收集其他信息，这些信息可以帮助您设计出满足安全需求的最佳解决方案。Citrix建议您采取以下措施:

• 了解你的环境:了解您的环境将帮助您确定满足需求的最佳安全保护解决方案(签名、安全检查或两者兼有)。在开始配置之前，您必须收集以下信息。
  • 操作系统:你有什么操作系统(MS Windows, Linux, BSD, Unix，其他)?
  • Web服务器:您正在运行什么web服务器(IIS, Apache或Citrix ADC Enterprise server) ?
  • 应用程序:在您的应用服务器上运行什么类型的应用程序(例如，ASP。NET, PHP，冷融合，ActiveX, FrontPage, Struts, CGI, Apache Tomcat, Domino和WebLogic)?
  • 您是否有定制的应用程序或现成的应用程序(例如Oracle、SAP) ?你使用的是什么版本?
  • SSL:您需要SSL吗?如果是，用于签名证书的密钥大小(512、1024、2048、4096)是什么?
  • 交通量:通过您的应用程序的平均流量是多少?你有季节性或特定时间的流量高峰吗?
  • 服务器农场:你有多少服务器?您需要使用负载平衡吗?
  • 数据库:你使用什么类型的数据库(MS-SQL, MySQL, Oracle, Postgres, SQLite, nosql, Sybase, Informix等等)?
  • 数据库连接:你有什么样的数据库连接(DSN，每个文件连接字符串，单个文件连接字符串)和使用什么驱动程序?
• 确定你的保安需求:您可能希望评估哪些应用程序或特定数据需要最大程度的安全保护，哪些应用程序或特定数据不那么容易受到攻击，以及哪些应用程序或特定数据可以安全地绕过安全检查。这将帮助您提出最佳配置，并设计适当的策略和绑定点来隔离流量。例如，您可能希望配置一个策略绕过对静态web内容(如图像、MP3文件和电影)请求的安全检查，并配置另一个策略对动态内容请求应用高级安全检查。您可以使用多个策略和概要文件来保护同一个应用程序的不同内容。
• 许可证要求:Citrix提供了一个统一的解决方案，通过利用一组丰富的特性(如负载平衡、内容切换、缓存、压缩、响应器、重写和内容过滤等)来优化应用程序的性能。确定您想要的特性可以帮助您决定需要哪个许可证。
• 安装并基线Citrix ADC设备:创建一个虚拟服务器，并通过它运行测试流量，以了解流经系统的流量的速率和数量。这些信息将帮助您确定容量需求并选择正确的设备(VPX、MPX或SDX)。
• 部署Web应用防火墙:使用Web应用程序防火墙向导进行简单的安全配置。向导引导您浏览几个屏幕，并提示您添加配置文件、策略、签名和安全检查。
  • 简介:为您的配置文件选择一个有意义的名称和适当的类型(HTML、XML或WEB 2.0)。策略和签名将使用相同的名称自动生成。
  • 政策:自动生成的策略有默认的表达式(true)，选择所有流量，全局绑定。这是一个很好的起点，除非您心中已经有了想要使用的特定策略。
  • 保护:该向导可帮助您利用混合安全模型，在该模型中，您可以使用提供丰富规则集的默认签名来保护不同类型的应用程序。简单的编辑模式允许您查看各种类别(CGI, Cold Fusion, PHP等)。您可以选择一个或多个类别，以确定适用于应用程序的特定规则集。使用行动选项，启用所选类别中的所有签名规则。确保阻止是禁用的，这样您就可以在加强安全之前监控流量。点击继续．在指定深度保护窗格中，您可以根据需要进行更改以部署安全检查保护。在大多数情况下，基本保护对于初始安全配置已经足够。运行流量一段时间，以收集有代表性的安全检查数据样本。
  • 加强安全:在部署Web应用防火墙并观察流量一段时间后，您可以开始通过部署松弛然后启用阻塞来加强应用程序的安全性。学习，视觉型的人,单击部署规则是非常有用的功能，可以很容易地调整您的配置，以达到适当的放松水平。此时，您还可以更改策略表达式和/或配置其他策略和概要文件，以便为不同类型的内容实现所需的安全级别。
  • 调试:如果你看到你的应用程序的意外行为，Web应用防火墙提供了各种选项，方便调试:
    • 日志．如果合法请求被阻止，第一步是检查ns.log文件，看看是否触发了任何意外的安全检查违规。
    • 禁用功能。如果您没有看到任何违规，但仍然看到意外行为，例如应用程序重置或发送部分响应，您可以禁用Web应用程序防火墙功能进行调试。如果问题仍然存在，则排除了Web应用防火墙的嫌疑。
    • 使用日志消息跟踪记录。如果问题似乎与Web应用程序防火墙相关，需要进一步检查，则可以选择在nstrace中包含安全违规消息。您可以在跟踪中使用“跟踪TCP流”，在同一屏幕上查看单个事务的详细信息，包括标题、有效负载和相应的日志消息。有关如何使用此功能的详细信息，请参见附录．