文件上传保护
在多表单提交过程中,许多攻击者试图以文件附件的形式上传恶意代码、病毒或恶意软件。保护我们的网络并克服这些威胁是很重要的。为了防止此类恶意文件上传,Citrix ADC管理员现在可以在WAF配置文件中配置一组允许的文件上传格式。通过这样做,可以将文件上传限制为特定格式,并保护设备不受恶意文件上传的影响。但是,只有当您禁用WAF配置文件中的“ExcludeFileUploadFormChecks”选项时,该保护才会起作用。
文件上传的工作原理
配置文件上传格式时,组件交互如下:
- 客户端请求有一个文件上传类型的表单提交,例如PDF。
- 作为安全检查的一部分,WAF检查请求有效负载并验证文件类型(基于魔术签名数)。
- 如果文件类型是允许的文件格式,则应用基于文件类型绑定的相应操作。
- 为了验证文件类型,设备将检查有效负载,并在已知偏移量处检查已知魔术数字。每个文件类型都有一个神奇数字序列来验证文件类型。
- 只有验证通过后,WAF才将文件标识为允许的格式,并应用相关操作。
为了配置允许的文件格式,设备使用与文件上传参数绑定的WAF配置文件。
- 配置Web应用防火墙配置文件
要配置web应用程序防火墙配置文件,请键入以下命令:
set appfw profile [-fileUploadTypesAction ] = (none | block | log | stats)
例子
设置appfw profile profile1 -fileUploadTypesAction块
- 将Web应用程序防火墙配置文件与文件上传参数绑定。该命令将指定的豁免(放松)或规则绑定到指定的应用程序防火墙配置文件。
要将配置文件与文件上传参数绑定,请键入以下命令:
绑定appfw profile - fileUploadType -fileType (pdf | msdoc | text | image | any)
[-isNameRegex REGEX (REGEX | NOTREGEX)] > **备注:** > >表单字段名称为正则表达式类型。默认值为“NOTREGEX”。示例:' > bind appfw profile test -fileuploadType thefile "http://10.10.10.10/fileupload_sample/upload.php" -filetype image -isNameRegex '——>
按照下面的步骤设置文件上传设置。
- 在导航窗格中,导航到安全>配置文件.
- 在“配置文件”页面,单击添加.
- 在Citrix Web App防火墙配置文件页面,点击安全检查下高级设置.
在安全检查节,转到文件上传类型设置。
![配置文件上传安全设置]()
- 选中复选框,单击动作设置.
- 在文件上传类型设置页,设置文件上传动作。
- 点击好吧.
在Citrix Web App防火墙配置文件页面,点击好吧而且完成.
![配置文件上传安全设置]()
您可以放松文件上传的安全保护,以避免误报。例如,该设备可能会阻止文件上传,但您可以添加松弛规则以允许从特定网站上传文件。通过这样做,设备绕过了对指定表单字段的安全检查,并允许用户从操作URL中提到的网站上传文件。
按照下面的步骤来创建一个放松规则。
- 在导航窗格中,导航到安全>Citrix Web应用防火墙<配置文件.
- 在“配置文件”页面,单击添加.
- 在Citrix Web App防火墙配置文件页面,点击放松规则下高级设置.
在放松规则部分中,选择文件上传类型并点击编辑.
![配置文件上传安全设置]()
- 在文件上传类型文件上传规则页面,点击添加.
在文件上传类型放松规则页,设置以下参数:
- 启用。选中此复选框可启用松弛规则。
- 表单字段名。输入不需要安全检查的字段名。
- 行动的URL。必须免除安全检查的表单提交URL。
- 文件类型。必须允许用户上传的文件类型。
- 评论。关于文件上传的简要说明。
点击创建.
![配置文件上传安全设置]()
在Citrix Web App防火墙配置文件页面,点击好吧而且完成.
![配置文件上传安全设置]()
本内容的官方版本为英文。一些Citrix文档内容是机器翻译的,仅供您使用。Citrix无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英语原文翻译成任何其他语言的任何译文的准确性、可靠性、适用性或正确性,或者您的思杰产品或服务符合任何机器翻译内容,以及根据适用的最终用户许可协议或服务条款或与思杰的任何其他协议提供的任何保证,不作任何形式的明示或暗示保证。产品或服务符合任何文件的规定不适用于机器翻译的文件。思杰将不对因使用机器翻译内容而产生的任何损害或问题负责。
diesel dienst kann Übersetzungen enthalten, die von谷歌bereitgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigenden gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen bestimmten zweck und der nichtverletzung von rechten dritter。
贸易服务适用于同等条件下的贸易。谷歌排除担保相对惯例,表达你隐含的,y包含担保正确,fiabilitÉ等担保隐含qualitÉ马尔钱德,'adÉquation À未特殊用法和缺席contrefaÇon。
Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas, incluidas las garantÍas de准确,fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en particular y ausencia de infracciÓn de derechos。
本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
このサ,ビスには,谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exime de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo qualquer garantia de precisÃo, confiabilidade e qualquer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。