Web应用防火墙配置文件设置

下面是您必须在设备上配置的概要文件设置。

在命令提示符处，输入:

添加appfw概要文件<名称> [-invalidPercentHandling < invalidPercentHandling >] [-checkRequestHeaders (|)] [-URLDecodeRequestCookies (|)] [-optimizePartialReqs (|)] [-errorURL <表达式>][-logEveryPolicyHit (|)] [-stripHtmlComments < stripHtmlComments >] [-stripXmlComments(没有|全部)][-postBodyLimitSignature][-fileUploadMaxNum ][-canonicalizeHTMLResponse (ON | OFF)][- percentdecoderecursed (ON | OFF)][-multipleHeaderAction …] [-inspectContentTypes < inspectContentTypes >…[- semolonfieldseparator (ON | OFF)]

例子:

添加appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

在那里,

invalidPercentHandling．配置处理百分比编码的名称和值的方法。

可用的设置功能如下:

asp_mode -条带和解析解析的无效百分比。例子:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)删除，检查其余的内容，并对sqlinejection检查采取操作。secure_mode—我们检测Invalid Percent编码值并忽略它。例子:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)，计数器将增加，内容将按原样传递给服务器。apache_mode -该模式类似于安全模式。取值范围:apache_mode、asp_mode、secure_mode默认值:secure_mode

optimizePartialReqs．当关闭/打开时(没有安全对象)，Citrix ADC设备将部分请求发送到后端服务器。发送回客户端的部分响应。当配置了Safe对象时，OptimizePartialReqs是有意义的。当关闭时，设备从服务器发送请求以获得完整响应，当开启时仅请求部分响应。

可选设置如下:

ON——客户端的部分请求导致对后端服务器的部分请求。OFF -将客户端的部分请求更改为后端服务器的全部请求。可能值:ON, OFF默认值:ON

URLDecodeRequestCookies．在进行SQL和跨站点脚本检查之前，URL Decode请求cookie。

取值范围:ON、OFF。默认值:OFF

签名后身体限制(字节)．限制使用指定为' HTTP_POST_BODY '的位置检查签名的请求有效负载(以字节为单位)。

缺省值:8096最小值:0最大值:4294967295

Post Body Limit(字节)．限制Web应用程序防火墙检查的请求负载(以字节为单位)。

默认值:20000000最小值:0最大值:10gb

有关安全设置及其GUI过程的详细信息，请参见配置Web应用防火墙配置文件的话题。

postBodyLimitAction．当您指定允许的HTTP正文的最大大小时，PostBodyLimit将允许错误设置。为了支持错误设置，您必须配置一个或多个Post Body Limit操作。该配置也适用于传输编码头被分块处理的请求。

set appfw profile -PostBodyLimitAction块日志统计

其中，Block -该动作将基于配置的HTTP主体的最大大小(post主体限制)阻止违反安全检查的连接。您必须始终启用该选项。

日志-违反安全检查的日志。

Stats -生成此安全检查的统计信息。

注意:

post body限制动作的日志格式现在更改为遵循标准审计日志格式，例如:ns.log.4.gz: 6月25 1.1.1.1。 10.101.10.100 06/25/2020:10:10:28 GMT 0- ppe -0: default APPFW APPFW_POSTBODYLIMIT 1506 0: 4234-PPE0 - testprof >请求post body length(< post body length >)超过post body limit。

inspectQueryContentTypes检查请求查询和web表单中注入的SQL和跨站点脚本的以下内容类型。

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

取值范围:HTML、XML、JSON、OTHER

默认情况下，对于基本和高级appfw配置文件，该参数都设置为“InspectQueryContentTypes: HTML JSON OTHER”。

将查询内容类型检查为XML的示例:

警告:当配置文件类型不是HTML或JSON时，除了“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”之外的HTML、JSON检查将不适用。<！——NeedCopy >

例如检查查询内容类型为HTML:

> set appfw profile p1 -type HTML警告:当配置文件类型不是XML或JSON时，除了InspectQueryContentTypes和Infer Content-Type XML Payload Action之外的XML、JSON检查将不适用。——NeedCopy >

检查JSON查询内容类型的示例:

> set appfw profile p1 -type JSON Warning: HTML, XML checking except " InspectQueryContentTypes " & " Infer Content-Type XML Payload Action将不适用于配置文件类型不是HTML或XML分别完成

errorURL表达式．Citrix Web应用防火墙使用的URL作为错误URL。最大长度:2047。

注意:

为了阻止请求URL中的违规，如果错误URL与签名URL类似，设备将重置连接。

logEveryPolicyHit—不论安全检查结果如何，记录每个匹配的配置文件。取值范围:“ON”、“OFF”。默认值:。

stripXmlComments—在响应用户请求转发受保护网站发送的网页之前，将XML注释剥离。取值范围:none、all、exclude_script_tag。默认值:无

postBodyLimitSignature—签名中“HTTP_POST_BODY”位置允许的签名检测的最大HTTP post body大小，单位为字节。值的变化会影响CPU和延迟配置文件。默认值:2048。最小值:0最大值:4294967295

fileUploadMaxNum-每个表单提交请求允许上传的最大文件数。最大设置(65535)允许无限制的上传数量。默认值:65535最小值:0最大值:65535

canonicalizeHTMLResponse-对受保护网站发送的响应中的任何特殊字符执行HTML实体编码。取值范围:ON、OFF。默认值:ON

percentDecodeRecursively—配置应用防火墙是否使用百分比递归解码。取值范围:ON、OFF。默认值:ON

multipleHeaderAction-一个或多个头部动作。可用的设置功能如下:

• 块。阻止有多个头的连接。
• 日志。记录具有多个头的连接。
• KeepLast。当有多个标头时，只保留最后一个标头。

inspectContentTypes—一个或多个InspectContentType列表。

• 应用程序/ x-www-form-urlencoded
• 多部分/格式
• 文本/ x-gwt-rpc

取值范围:none、application/x-www-form-urlencoded、multipart/form-data、text/x-gwt-rpc

semicolonFieldSeparator允许';'作为URL查询和POST表单主体中的表单字段分隔符。取值范围:ON、OFF。默认值:OFF