配置Web应用防火墙配置文件
要配置用户定义的Web App防火墙配置文件,请首先配置安全检查,这些检查称为深的保护或先进的保护在Web应用防火墙向导中。如果要使用某些检查,则需要配置。其他公司的默认配置是安全的,但范围有限;您的网站可能需要或受益于利用某些安全检查的更多特性的不同配置。
配置安全检查后,还可以配置一些其他设置来控制行为,而不是单个安全检查,而是Web App防火墙功能。默认配置足以保护大多数网站,但您必须检查它们以确保它们适用于受保护的网站。
注意:
配置文件名称长度和所有导入对象名称长度可以设置为127个字符。
有关Web应用程序防火墙安全检查的更多信息,请参见高级保护。
使用命令行配置Web App防火墙配置文件
在命令提示符处,输入以下命令:
设置appfw配置文件
[ …] 地点:
=参数和任何关联选项。
=第二个参数和任何相关选项。- =附加参数和选项。
配置安全检查时需要用到的参数说明请参见高级保护。
保存ns配置
例子
下面的示例演示如何在名为pr basic的概要文件中为HTML SQL注入和HTML跨站点脚本检查启用阻止。此命令允许阻止这些操作,同时不对配置文件进行其他更改。
设置appfw配置文件pr basic-crossSiteScriptingAction块-SQLInjectionAction块<--需要复制-->
绑定放松规则到Web应用防火墙配置文件
当Web应用防火墙检测到违规时,用户有能力绕过通过放松规则应用的动作。松弛规则是一个例外,适用于检测到的安全违规。例如,Start URL放松规则防止强制浏览。通过启用一组默认的“拒绝URL”规则,可以检测和阻止已知的被黑客利用的web服务器漏洞。通常发起的攻击,如缓冲区溢出、SQL或跨站点脚本也可以很容易地检测到。
通过命令行绑定安全豁免或安全松弛规则
在命令提示符处,输入:
bind appfw profile(-startURL[-resourceId)-denyURL(-fieldConsistency[-isRegex(REGEX-NOTREGEX)])(-cookieConsistency[-isRegex(REGEX-NOTREGEX)])(-SQLInjection[-isRegex(REGEX-NOTREGEX)[-location][-valueType…<!--NeedCopy-->
使用GUI绑定安全豁免或放松规则
- 导航到安全> Citrix Web App防火墙>配置文件。
- 在详细信息窗格中,选择配置文件并单击编辑。
- 在Citrix Web App防火墙配置文件页面,点击放松规则从高级设置部分
- 在放松规则部分中,点击斯塔图尔并点击编辑。
- 在开始URL放松规则页面,点击添加。
在启动URL放松规则第页,设置以下参数:
- 启用。选中复选框以启用松弛规则
- 开始的URL。输入正则表达式值
- 评论。提供一个关于松弛规则的简短描述。
- 点击创造和关闭。
使用GUI配置Web应用防火墙配置文件
- 导航到安全> Citrix Web App防火墙>配置文件。
- 在详细信息窗格中,选择要配置的配置文件,然后单击编辑。
在配置Web应用防火墙配置文件对话框中安全检查选项卡,配置安全检查。
若要启用或禁用某个复选框的操作,请在列表中选择或清除该操作的复选框。
要为具有这些参数的检查配置其他参数,请在列表中单击该检查最右侧的蓝色徽标。在弹出的对话框中,配置参数。每个支票都不一样。
也可以选择一个复选框,然后在对话框底部单击“打开”以显示该复选框配置放松对话框或配置规则对话框中的复选框。这些对话框也因复选框的不同而不同。其中大部分包括检查标签和a一般选项卡。如果检查支持放松或自定义规则,则检查选项卡包含一个添加按钮,打开另一个对话框,您可以在其中指定检查的放松或规则。(松弛是从检查中豁免指定流量的规则。)如果已配置松弛,则可以选择一个并单击开放修改它。
要查看了解的检查异常或规则,请选择该检查,然后单击习得性违规行为。在管理学到的规则对话框中,依次选择每个学到的例外或规则。
- 要编辑异常或规则,然后将其添加到列表中,请单击编辑和部署。
- 要接受例外或规则而不进行修改,请单击部署。
- 要从列表中删除例外或规则,请单击跳过。
要刷新要查看的例外或规则列表,请单击刷新。
打开“学习可视化工具”并使用它来回顾学习过的规则,单击视觉型的人。
检查与检查匹配的连接的日志条目,选择检查,然后单击日志。您可以使用此信息来确定哪些检查与攻击相匹配,以便启用对这些检查的阻止。您还可以使用此信息来确定哪些检查与合法的流量匹配,以便您可以配置适当的豁免以允许那些合法的连接。有关日志的详细信息,请参见日志、统计和报表。
要完全禁用复选框,请清除列表中该复选框右侧的所有复选框。
- 在设置选项卡,配置配置文件设置。
- 如果要使用学习功能,请单击学习,然后配置配置文件的学习设置,如中所述配置和使用学习特性。
- 点击好啊保存更改并返回到配置文件窗玻璃