WAF的建议

思杰Web应用防火墙(WAF)配置文件和WAF签名保护您的Web应用程序免受恶意攻击。WAF签名提供特定的、可配置的规则，以简化保护您的网站免受已知攻击的任务。签名表示一种模式，该模式是针对操作系统、web服务器、网站、基于xml的web服务或其他资源的已知攻击的组成部分。要使用签名保护应用程序，必须检查规则、启用并配置要应用的规则。

类似地，为了防止数据泄露并在应用程序中提供正确的安全保护，必须创建带有安全检查的WAF配置文件。当您在ADC实例中创建WAF配置文件时，流量可能:

• 使用上述安全检查生成

• 不能使用上述安全检查生成

实例可能正在接收其他攻击，但是您可能没有在WAF配置文件中启用该安全检查。

作为管理员，您必须了解如何启用正确的签名并创建正确的WAF配置文件来保护web应用程序。在某些场景中，识别正确的签名和WAF配置文件可能是一项困难的任务。

Citrix应用程序交付和管理WAF建议扫描应用程序的漏洞，并生成以下建议:

• WAF概要

• WAF签名

有关更多信息，请参见WAF概要而且WAF签名．

WAF推荐数据库会在一段时间内频繁更新，以包括任何新的漏洞。您可以扫描，然后选择启用所需的推荐。您可以启用所有签名和安全检查，但这可能会导致误报并影响ADC实例性能。因此，建议只选择需要的安全检查和签名。WAF推荐引擎还自动检测必须为应用程序启用哪些签名和安全检查。

请注意

ADC实例必须是13.0 41.28及以上版本(用于安全检查)及13.0或以上版本(签名)。

先决条件

应用程序:

• 必须有高级许可证。

• 必须是负载均衡虚拟服务器。

配置WAF扫描设置

在Citrix应用程序交付和管理中，导航到安全> WAF建议及以下应用程序,点击开始扫描为应用程序配置WAF扫描设置。

在WAF推荐页面:

• 域名—指定与应用VIP关联的公共访问/公共可达域名。例如:www.example.com．

  请注意

  “起始URL”、“登录URL”和“注销URL”必须与指定的域匹配。

• 流量和起始URL—提供应用(服务器)的URL详细信息。

  • HTTP / HTTPS协议—选择应用协议。

  • 交通超时—扫描过程中单个请求的等待时间(秒)。该值必须大于0。

  • 开始的URL—启动扫描的应用程序的首页。例如,https://www.example.com/home．URL必须是有效的IPv4地址。不允许内部IP地址范围为10.0.0.0/8、172.16.0.0/12和192.168.0.0/16。

    

• 登录网址-指定登录凭据，url(如果有的话)来访问应用程序。

  • 登录网址—登录数据发送到认证的URL地址。在HTML中，这个URL通常被称为动作URL。

  • 身份验证方法-为您的应用程序选择支持的身份验证方法(基于表单或基于头部)。

    • 基于表单的身份验证要求使用登录凭证向登录URL提交表单。这些凭证必须是表单字段及其值的形式。然后，应用程序共享用于在扫描期间维护会话的会话cookie。

    • 基于头的身份验证需要authentication头及其在头部分中的值。Authentication头必须有一个有效值，用于在扫描期间维护会话。基于header的表单字段应该为空。

  • 请求方法—选择向登录URL提交表单数据时使用的HTTP方法。允许的请求方法为POST、GET和PUT。

  • 表单字段-指定提交到登录URL的表单数据。只有选择基于表单的身份验证时，才需要填写表单字段。必须在键-值对中指定，其中“字段名”是“键”，“字段值”是“值”。确保正确添加了登录工作所需的所有表单字段，包括密码。这些值在存储到数据库之前是加密的。您可以单击Add按钮添加多个表单字段。例如“字段名-用户名”、“字段值- admin”。

  • HTTP头信息—登录成功可能需要HTTP报头。您必须在键-值对中指定，其中头名称是键，头值是值。单击“添加”按钮可以添加多个HTTP报头。最常见的HTTP报头之一是Content-Type报头。

    

• 注销的url—指定访问后终止会话的URL。例如:https://www.example.com/customer/logout．

  

• 脆弱性—选择扫描器需要检测的漏洞。目前，这是针对SQL注入和跨站点脚本违规的。默认情况下，选中所有违规项。在选择漏洞后，它模拟应用程序上的这些攻击，以报告潜在的漏洞。建议启用不在生产环境中的这种检测。还报告了所有其他漏洞，但没有对应用程序模拟这些攻击。

  

• 附加的设置

  • 请求并发—并发发送到web应用程序的请求总数。

  • 扫描深度- web应用程序必须扫描到的深度。例如，当扫描深度为2时，将扫描起始URL和该URL中找到的所有链接。必须指定一个大于或等于1的值。

  • 响应大小限制—响应大小的最大限制。任何超出上述值的响应都不会被扫描。建议限制为3mb(300000字节)。

WAF扫描设置配置完成。您可以单击扫描启动扫描进程或单击留着以后用保存配置，稍后扫描。

WAF扫描推荐过程

当你开始扫描时，WAF推荐引擎:

• 通过提供的URL扫描提供的web应用程序。

• 检查web应用程序以发现web应用程序使用的技术。

• 模拟web应用程序上的安全攻击，以检测潜在的漏洞。

• 根据检测到的web技术推荐签名。

• 根据发现的漏洞和流量分析建议安全检查。

• 分析web应用程序响应以生成更细粒度的设置。

支持以下安全检查:

• 缓冲区溢出

• 字段格式

• 信用卡

• 饼干的一致性

• SQL注入

• HTML跨站点脚本

• 表单字段一致性

• CSRF表单标注

查看扫描报告

扫描完成后，单击查看报告查看结果。

扫描结果显示:

• WAF推荐—查看应用推荐的总签名和安全检查的概要信息。

• 扫描检测—查看应用执行的技术、违规明细等信息汇总。点击查看详细信息查看有关检测的信息和扫描的其他详细信息。

  

下WAF推荐,点击复习建议查看的详细信息安全检查而且签名．

推荐的安全设置建议对应用程序进行推荐的安全检查和签名。您可以编辑列表中的推荐信息，然后单击查看或编辑根据需求查看详细信息或编辑更改。重置为默认值将重置所做的所有更改，并恢复到最初的建议。

查看详细信息后，单击应用推荐．建议是使用StyleBooks配置的。您必须确保应用的建议安全检查而且签名单独的标签。

建议先应用签名，再应用安全检查。这将自动将签名绑定到概要文件。

当成功应用签名时:

• 该配置通过appfw-import-object样本。

• 在ADC实例中导入配置了推荐的签名文件。

请注意

ADC 13.0或更高版本支持签名。

在继续应用安全检查建议，导航到>配置>配置包并确保签名configpack已成功创建。

当您成功应用安全检查时:

• 该配置通过StyleBooks应用于ADC实例，具体取决于ADC版本。对于ADC 13.0，waf -默认- 130StyleBook用于ADC 13.1，waf -默认- 131使用Stylebook。

• 的Appfw配置文件在您的ADC上创建，并使用policylabel．

• 如果已经应用了推荐的签名，这些签名将被绑定到appfw配置文件上。

请注意

ADC 13.0 41.28或更高版本支持安全检查。

应用推荐(安全检查和签名)后，可以看到如下确认信息:

您可以通过导航到默认的StyleBooks来验证WAF概要文件和签名是否应用>配置>配置包．