动态分析
动态分析
学习功能是观察和学习后端服务器上的活动的模式过滤器。根据观察结果,学习引擎为每次安全检查生成多达2000条规则或异常(松弛)。为了自动化该过程并自动部署放松规则,Citrix ADC设备使用动态分析。
使用动态概要分析,设备记录学习到的预定义阈值数据,并向用户发送SNMP警报。如果用户在宽限期内没有跳过数据,设备将自动将其部署为放松规则。在此之前,用户必须手动部署放松规则。目前,动态剖析仅适用于以下安全检查:
- SQL注入
- HTML跨站点脚本
- 字段格式
- 开始的URL
- 内容类型
- 字段格式
- CSRF表单标签
- 饼干的一致性
- 否认URL
- 缓冲区溢出
- 信用卡
- 内容类型的保护
- 注入保护
例如,考虑使用动态概要启用的HTML SQL注入安全检查。可以对ip列表(称为可信学习客户端列表)使用学习功能,学习功能必须从中生成建议。若要配置受信任客户端列表,请参阅学习受信任客户端主题。如果传入流量存在违规,则将其记录为学习数据。如果学习引擎中记录了学习到的数据,设备将向用户发送SNMP警报。如果用户没有识别出假阳性,并且在宽限期内没有跳过学习到的数据,设备将自动将其部署为松弛规则。
注意:配置动态概要文件后,必须定期检查设备配置,以便自动部署放松规则,并将其保存在设备上。
使用Citrix ADC命令接口配置动态分析
动态概要可用于启动URL, HTML跨站点脚本,字段格式,或HTML SQL注入安全检查。要配置动态概要分析,必须完成以下步骤。
- 配置动态学习
- 配置自动部署宽限期
配置动态学习
作为第一步,必须在设备上配置动态学习。在命令提示符下,输入:
set appfw profile
例子
set appfw profile test1 dynamicLearning SQLInjection CrossSiteScripting fieldFormat startURL
配置自动部署宽限期
当您在特定的安全检查中启用了该特性后,您需要配置自动部署的宽限期。
set appfw learningsettings
set appfw learningsettings
set appfw learningsettings
set appfw learningsettings
例子
30 . set appfw learningsettings test1 -crossSiteScriptingAutoDeployGracePeriod
7 . set appfw learningsettings test1 -startURLAutoDeployGracePeriod
10 . set appfw learningsettings test1 -fieldFormatAutoDeploymentGracePeriod
12 .设置appfw学习设置test1 -SQLInjectionAutoDeploymentGracePeriod
注意:
此处的自动部署宽限期以分钟为单位。
使用Citrix ADC GUI配置动态概要分析
- 导航到安全> Citrix Web应用防火墙>配置文件.
- 在详细信息窗格中,选择目标配置文件,单击编辑.
在Citrix Web应用程序概要页面,点击动态分析下高级设置.
在动态分析区域中,选择安全检查项,单击编辑.
在动态剖析和学习设置页面,设置安全检查的宽限期。
- 点击好吧而且完成.
出口和进口放宽规则
当您启用动态分析时,学习到的数据将作为放松规则自动部署。除此之外,该设备还允许您导出基于松弛规则和常规松弛规则的动态概要分析。您可以从登台环境导出规则,并将其导入到生产环境。
注意:
当您将规则导入到生产环境时,您必须确保该过程是附加的,并且不会覆盖现有的配置。
如何导出和导入放宽规则
导出和导入放宽规则需要完成以下步骤:
- 您必须首先导出基于动态概要分析的数据。为此,导出选项可用于WAF概要文件中的放松规则。选择此选项时,将导出动态概要松弛规则和常规松弛规则。您可以使用导出选项在设备上以压缩包的形式下载配置。
- 从登台环境导出数据后,必须将其导入到另一个Citrix ADC设备。为此,您必须使用WAF概要文件放宽规则中可用的导入选项。选择此选项时,设备将导入绑定的指定放松规则,并将其恢复到所选设备的WAF概要文件中。
注意:
如果您打算在WAF概要文件中导入松弛规则,有两种类型的操作:增强—此操作确保导入是附加的,因此不会覆盖任何现有配置。覆盖——此操作将现有配置覆盖为压缩导出包中的配置。”
通过CLI导入已归档的放松规则文件
要导入放松规则,必须将存档文件导入Citrix ADC设备,然后运行恢复命令来提取配置。可以使用以下CLI命令进行配置的导出、导入和管理。
要从指定位置导入存档文件并进行恢复,请在命令提示符处输入:
导入appfw archive
其中:“src”:tar归档文件的来源,格式为:<协议>:/ / <主机>[:<端口>][/ <路径>]name:归档文件名称。" comment ":与此存档相关的注释。
restore appfw profile
在那里,archivename: tar归档文件的来源。这是一个强制参数。" relaxationRules ":导入所有appfw松弛规则的选项。
importProfileName:恢复操作时为关联松弛规则而创建或更新的策略名称。" matchUrlString ":归档松弛规则中要匹配的动作URL字符串。
replaceUrlString:恢复松弛规则时要替换的字符串。
覆盖:现有规则操作,清除现有放松规则并在导入期间替换。
增加:在导入过程中增加松弛规则的现有规则操作。
例子:import appfw archive local: dutA_test_pr。tgz演示恢复appfw配置文件dutA_test_pr
使用CLI将归档文件导出到所选设备
如果通过CLI方式导出appfw松弛规则,请先将配置归档后再导出。要存档并导出存档文件,在命令提示符下输入:
Archive appfw profile
在那里,档案名称: tar归档文件的来源。这是一个强制参数。的名字:包含要导出的放松规则的appfw配置文件名称
导出appfw archive
在那里,名字。tar归档文件的名称。这是一个强制参数。最大长度:31目标。导出文件的路径。这是一个强制参数。最大长度:2047
例子:> archive appfw profile test_pr archived_test_pr
> export appfw archive archived_test_pr local:dutA_test_pr
使用Citrix ADC GUI导出松弛规则
导出放宽规则的步骤如下:
- 导航到安全>Citrix Web应用防火墙.
- 在详细信息页面,单击Citrix Web应用程序防火墙配置文件下链接配置概述部分。
- 在Citrix Web App防火墙配置文件页,单击放松规则下链接高级设置部分。
在放松规则部分中,点击导出所有放宽规则.该动作适用于所有安全检查,以及在该配置文件上启用动态学习的安全检查。
使用Citrix ADC GUI导入松弛规则
完成导入放宽规则的步骤:
- 导航到安全>Citrix Web应用防火墙.
- 在详细信息页面中,单击Citrix Web应用程序防火墙配置文件下链接配置概述部分。
- 在Citrix Web App防火墙配置文件页,单击放松规则下链接高级设置部分。
- 在放松规则部分中,点击导入所有放松规则.
- 在配置Citrix Web App防火墙配置文件页,设置以下参数:
- 本地文件。包含放松规则的压缩归档文件的名称。
- 配置文件名称。松弛规则绑定到的概要文件的名称。
- 匹配的URL字符串。匹配的URL的一部分。
- 替换URL字符串。URL的一部分,用于替换URL字符串。
- 现有规则操作。选择规则是否必须覆盖现有规则或增加现有规则。
点击好吧.
