Web应用防火墙配置文件设置
下面是您必须在设备上配置的概要文件设置。
在命令提示符处,输入:
添加appfw概要文件<名称> [-invalidPercentHandling < invalidPercentHandling >] [-checkRequestHeaders (|)] [-URLDecodeRequestCookies (|)] [-optimizePartialReqs (|)] [-errorURL <表达式>][-logEveryPolicyHit (|)] [-stripHtmlComments < stripHtmlComments >] [-stripXmlComments(没有|全部)][-postBodyLimitSignature
例子:
添加appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]
在那里,
invalidPercentHandling.配置处理百分比编码的名称和值的方法。
可用的设置功能如下:
asp_mode -条带和解析解析的无效百分比。例子:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)
删除,检查其余的内容,并对sqlinejection检查采取操作。secure_mode—我们检测Invalid Percent编码值并忽略它。例子:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)
,计数器将增加,内容将按原样传递给服务器。apache_mode -该模式类似于安全模式。取值范围:apache_mode、asp_mode、secure_mode默认值:secure_mode
optimizePartialReqs.当关闭/打开时(没有安全对象),Citrix ADC设备将部分请求发送到后端服务器。发送回客户端的部分响应。当配置了Safe对象时,OptimizePartialReqs是有意义的。当关闭时,设备从服务器发送请求以获得完整响应,当开启时仅请求部分响应。
可选设置如下:
ON——客户端的部分请求导致对后端服务器的部分请求。OFF -将客户端的部分请求更改为后端服务器的全部请求。可能值:ON, OFF默认值:ON
URLDecodeRequestCookies.在进行SQL和跨站点脚本检查之前,URL Decode请求cookie。
取值范围:ON、OFF。默认值:OFF
签名后身体限制(字节).限制使用指定为' HTTP_POST_BODY '的位置检查签名的请求有效负载(以字节为单位)。
缺省值:8096最小值:0最大值:4294967295
Post Body Limit(字节).限制Web应用程序防火墙检查的请求负载(以字节为单位)。
默认值:20000000最小值:0最大值:10gb
有关安全设置及其GUI过程的详细信息,请参见配置Web应用防火墙配置文件的话题。
postBodyLimitAction.当您指定允许的HTTP正文的最大大小时,PostBodyLimit将允许错误设置。为了支持错误设置,您必须配置一个或多个Post Body Limit操作。该配置也适用于传输编码头被分块处理的请求。
set appfw profile
其中,Block -该动作将基于配置的HTTP主体的最大大小(post主体限制)阻止违反安全检查的连接。您必须始终启用该选项。
日志-违反安全检查的日志。
Stats -生成此安全检查的统计信息。
注意:
post body限制动作的日志格式现在更改为遵循标准审计日志格式,例如:
ns.log.4.gz: 6月25 1.1.1.1。
10.101.10.100 06/25/2020:10:10:28 GMT 0- ppe -0: default APPFW APPFW_POSTBODYLIMIT 1506 0: 4234-PPE0 - testprof > 请求post body length(< post body length >)超过post body limit。
inspectQueryContentTypes检查请求查询和web表单中注入的SQL和跨站点脚本的以下内容类型。
set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER
取值范围:HTML、XML、JSON、OTHER
默认情况下,对于基本和高级appfw配置文件,该参数都设置为“InspectQueryContentTypes: HTML JSON OTHER”。
将查询内容类型检查为XML的示例:
警告:当配置文件类型不是HTML或JSON时,除了“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”之外的HTML、JSON检查将不适用。<!——NeedCopy >
例如检查查询内容类型为HTML:
> set appfw profile p1 -type HTML警告:当配置文件类型不是XML或JSON时,除了InspectQueryContentTypes和Infer Content-Type XML Payload Action之外的XML、JSON检查将不适用。——NeedCopy >
检查JSON查询内容类型的示例:
> set appfw profile p1 -type JSON Warning: HTML, XML checking except " InspectQueryContentTypes " & " Infer Content-Type XML Payload Action将不适用于配置文件类型不是HTML或XML分别完成
errorURL表达式.Citrix Web应用防火墙使用的URL作为错误URL。最大长度:2047。
注意:
为了阻止请求URL中的违规,如果错误URL与签名URL类似,设备将重置连接。
logEveryPolicyHit—不论安全检查结果如何,记录每个匹配的配置文件。取值范围:“ON”、“OFF”。默认值:。
stripXmlComments—在响应用户请求转发受保护网站发送的网页之前,将XML注释剥离。取值范围:none、all、exclude_script_tag。默认值:无
postBodyLimitSignature—签名中“HTTP_POST_BODY”位置允许的签名检测的最大HTTP post body大小,单位为字节。值的变化会影响CPU和延迟配置文件。默认值:2048。最小值:0最大值:4294967295
fileUploadMaxNum-每个表单提交请求允许上传的最大文件数。最大设置(65535)允许无限制的上传数量。默认值:65535最小值:0最大值:65535
canonicalizeHTMLResponse-对受保护网站发送的响应中的任何特殊字符执行HTML实体编码。取值范围:ON、OFF。默认值:ON
percentDecodeRecursively—配置应用防火墙是否使用百分比递归解码。取值范围:ON、OFF。默认值:ON
multipleHeaderAction-一个或多个头部动作。可用的设置功能如下:
- 块。阻止有多个头的连接。
- 日志。记录具有多个头的连接。
- KeepLast。当有多个标头时,只保留最后一个标头。
inspectContentTypes—一个或多个InspectContentType列表。
- 应用程序/ x-www-form-urlencoded
- 多部分/格式
- 文本/ x-gwt-rpc
取值范围:none、application/x-www-form-urlencoded、multipart/form-data、text/x-gwt-rpc
semicolonFieldSeparator允许';'作为URL查询和POST表单主体中的表单字段分隔符。取值范围:ON、OFF。默认值:OFF