签收
Web应用程序防火墙签名提供特定的、可配置的规则,以简化保护您的网站免受已知攻击的任务。签名代表一种模式,它是针对操作系统、web服务器、网站、基于xml的web服务或其他资源的已知攻击的组成部分。一组丰富的预先配置的Web应用程序防火墙内置或本地规则提供了一个易于使用的安全解决方案,应用模式匹配的强大功能来检测攻击和保护应用程序漏洞。
您可以创建自己的签名或在内置模板中使用签名。Web应用防火墙有两个内置模板:
- 默认的签名:该模板包含预配置的超过1300个签名的列表,以及SQL注入关键字、SQL特殊字符串、SQL转换规则和SQL通配符的完整列表。它还包含跨站点脚本的拒绝模式,以及跨站点脚本的允许属性和标记。这是一个只读模板。您可以查看内容,但不能在此模板中添加、编辑或删除任何内容。要使用它,你必须复印一份。在您自己的副本中,您可以启用希望应用于您的流量的签名规则,并指定签名规则匹配流量时的动作。
Web应用防火墙签名来源于哼声,是一个开源的入侵防御系统,能够进行实时流量分析,检测各种攻击和探测。
- * Xpath注入模式:此模板包含一个预先配置的文字和PCRE关键字和特殊字符串,用于检测XPath(XML路径语言)注入攻击。
空白的签名:除了复制内置的*Default Signatures模板外,您还可以使用空白签名模板创建签名对象。您使用空白签名选项创建的签名对象没有任何本机签名规则,但是,就像*Default模板一样,它具有所有SQL/跨站脚本内置实体。
外部格式签名: Web应用防火墙也支持外部格式签名。您可以使用Citrix Web App Firewall支持的XSLT文件导入第三方扫描报告。以下扫描工具可以使用一组内置XSLT文件来将外部格式文件转换为本机格式:
- Cenzic
- Web应用程序的深度安全
- IBM AppScan Enterprise.
- IBM AppScan标准。
- 素质
- Qualys云
- Whitehat
- 惠普企业WebInspect
- Rapid7 Appspider
- Acunetix
应用程序的安全保护
更严格的安全性增加了处理开销。签名提供以下部署选项,以帮助您优化应用程序的保护:
消极的安全模型:通过负安全模型,您可以使用一组丰富的预定义签名规则,应用模式匹配的强大功能来检测攻击并防范应用程序漏洞。你只屏蔽你不想要的东西,允许其他的。您可以根据应用程序的特定安全需求添加自己的签名规则,以设计自己的定制安全解决方案。
混合的安全模型:除了使用签名外,您还可以使用正面安全检查来创建理想的配置适合您的应用程序。使用签名来阻止您不想要的内容,并使用正面安全检查来强制执行允许的内容。
要通过使用签名来保护应用程序,您必须配置一个或多个配置文件来使用您的签名对象。混合安全配置,SQL注入和跨站点脚本模式和SQL转换规则,在使用你的签名对象不仅通过签名规则,也积极的安全检查在Web应用程序中配置防火墙配置文件使用签名对象。
Web应用程序防火墙检查访问受保护网站和Web服务的流量,以检测匹配签名的流量。只有当规则中的每个模式都与流量匹配时,才会触发匹配。当匹配发生时,将调用规则的指定操作。当请求被阻止时,可以显示错误页面或错误对象。日志消息可以帮助您识别对应用程序发起的攻击。如果启用了统计功能,Web应用防火墙将维护有关匹配Web应用防火墙签名或安全检查的请求的数据。
如果流量同时匹配一个签名和一个正的安全检查,这两个动作的限制性会更强。例如,如果一个请求匹配了阻止动作被禁用的签名规则,但该请求也匹配了动作为阻止的SQL Injection正向安全检查,则该请求将被阻止。在这种情况下,签名违规可能被记录为<不阻塞>,尽管请求被SQL注入检查阻塞。
定制:如有必要,您可以将自己的规则添加到签名对象。您还可以自定义SQL /跨站点脚本模式。添加您自己的签名规则的选项,根据您的应用程序的特定安全性需要,可以灵活地设计自己的自定义安全解决方案。你只屏蔽你不想要的东西,允许其他的。指定位置的特定快速匹配模式可以显着降低处理开销以优化性能。您可以添加,修改或删除SQL注入和跨站点脚本模式。内置正则表达式和表达式编辑器可帮助您配置模式并验证其准确性。
自动更新:您可以手动更新签名对象,获取最新的签名规则,也可以应用自动更新功能,Web应用防火墙可以从基于云的Web应用防火墙更新服务自动更新签名。
笔记:
如果在自动更新过程中添加了新的签名规则,默认禁用。您必须定期检查已更新的签名,并启用新添加的与保护应用程序相关的规则。
您必须将CORS配置为在IIS服务器上的主机签名。
当您从Citrix ADC GUI访问URL时,签名自动更新功能在本地web服务器上不起作用。
开始
使用Citrix Signatures来保护您的应用程序很容易,可以通过一些简单的步骤完成:
- 添加签名对象。
- 您可以使用向导来提示您创建整个Web App Firewall配置,包括添加配置文件和策略、选择和启用签名,以及为签名和正向安全检查指定动作。签名对象是自动创建的。
- 您可以从*默认签名模板创建签名对象的副本,使用空白模板使用您自己的自定义规则创建签名,或添加外部格式签名。启用规则并配置要应用的操作。
配置目标Web应用防火墙配置文件以使用该签名对象。
发送流量以验证功能
强调
- Default签名对象是一个模板。不能编辑或删除。要使用它,必须创建一个副本。在您自己的副本中,您可以根据应用程序的需要为每个规则启用规则和所需的操作。要保护应用程序,必须将目标配置文件配置为使用此签名。
- 处理签名模式有开销。尝试仅启用适用于保护应用程序的签名,而不是启用所有签名规则。
- 规则中的每个模式都必须匹配以触发签名匹配。
- 您可以添加自己的自定义规则来检查传入请求,以检测各种类型的攻击,如SQL注入或跨站点脚本攻击。您还可以添加规则来检查响应,以检测和阻止敏感信息(如信用卡号码)的泄漏。
- 通过添加或编辑规则和SQL/跨站点脚本模式,您可以复制现有签名对象并对其进行调整,以保护另一个应用程序。
- 您可以使用自动更新来下载Web应用程序防火墙默认规则的最新版本,而不需要持续监控以检查新更新的可用性。
- 签名对象可以由多个配置文件使用。即使您配置了一个或多个配置文件以使用签名对象,您仍然可以启用或禁用签名或更改操作设置。您可以手动创建和修改自己的自定义签名规则。更改适用于当前配置为使用此签名对象的所有配置文件。
- 您可以配置签名来检测各种类型的有效负载(如HTML、XML、JSON和GWT)中的违规情况。
- 您可以导出已配置的签名对象,并将其导入到另一个Citrix ADC设备,以便轻松复制自定义的签名规则。
签名是与已知漏洞相关联的模式。您可以使用签名保护来识别试图利用这些漏洞的流量,并采取相应的措施。
签名被组织成类别。您可以通过只启用适用于保护应用程序的类别中的规则来优化性能并减少处理开销。