配置应用程序防火墙

您可以使用以下任何方法配置NetScaler应用程序防火墙：

• 应用程序防火墙向导。由一系列屏幕组成的对话框，这些屏幕通过配置过程。
• NetScaler App Interface AppExpert模板。旨在为网站提供适当保护的NetScaler AppExpert模板（一组配置设置）。此AppExpert模板包含适当的应用程序防火墙配置设置，用于保护许多网站。
• NetScaler Gui。基于NetScaler Web的配置界面。
• NetScaler命令行界面。NetScaler命令行配置界面。

Citrix建议您使用App Firewall向导。大多数用户将找到配置App防火墙的最简单方法，它旨在防止错误。如果您有一个新的NetScaler或VPX，您将主要用于保护网站，您可能会发现Web界面AppExpert模板更好的选择，因为它提供了良好的默认配置，而不仅仅是用于App防火墙，而且提供整个设备。GUI和命令行界面都适用于经验丰富的用户，主要是要修改现有配置或使用高级选项。

App防火墙向导

App防火墙向导是一个对话框，它由多个屏幕组成，提示您配置简单配置的每个部分。“应用程序防火墙”然后从您提供的信息中创建相应的配置元素。这是最简单的，并且对于大多数目的，配置App防火墙的最佳方法。

要使用向导，请使用您选择的浏览器连接到GUI。建立连接时，请验证启用了“应用程序防火墙”，然后运行“应用防火墙向导”，这会提示您进行配置信息。您无需在您第一次使用向导时提供所有请求的信息。相反，您可以接受默认设置，执行一些相对简单的配置任务以启用重要功能，然后允许应用防火墙收集重要信息以帮助您完成配置。

例如，当向导会提示您指定要选择要处理的流量的规则时，可以接受选择所有流量的默认值。当它为您提供签名列表时，您可以启用相应类别的签名，然后打开这些签名的统计信息。对于此初始配置，您可以跳过高级保护（安全检查）。该向导自动创建适当的策略，签名对象和配置文件（统称，安全配置），并将策略绑定到全局。“应用程序防火墙”开始将连接过滤到受保护的网站，记录与您启用的一个或多个签名匹配的任何连接，并收集每个签名匹配的连接的统计信息。在应用程序防火墙处理某些流量之后，您可以再次运行向导并检查日志和统计信息以查看您已启用的任何签名是否与合法流量匹配。在确定哪个签名是标识要阻止的流量之后，您可以为这些签名进行阻止。如果您的网站或Web服务不复杂，则不使用SQL，并且无法访问敏感的私人信息，此基本安全配置可能提供足够的保护。

例如，如果您的网站是动态的，您可能需要额外的保护。使用脚本的内容可能需要保护跨站点脚本攻击。使用SQL - 如购物车，许多博客和大多数内容管理系统的Web内容 - 可能需要保护免受SQL注入攻击。收集敏感私人信息（如社会安全号码或信用卡号）的网站和Web服务可能需要保护免受该信息的无意暴露。某些类型的Web服务器或XML-Server软件可能需要保护对该软件量身定制的攻击类型。另一个考虑因素是您的网站或Web服务的特定元素可能需要不同的保护而不是其他元素。检查应用程序防火墙日志和统计信息可以帮助您识别您可能需要的其他保护。

在决定您的网站和Web服务需要哪些高级保护之后，您可以再次运行向导以配置这些保护。某些安全检查要求您输入异常（放松）以防止检查阻止合法流量。您可以手动执行此操作，但通常更容易启用自适应学习功能，并允许它推荐必要的放松。您可以根据需要使用向导，以增强基本安全配置和/或创建其他安全配置。

该向导自动执行某些任务，如果您未使用向导，则必须手动执行。它自动创建策略，签名对象和配置文件，并为它们分配您在提示您配置名称时提供的名称。该向导还将您的高级保护设置添加到配置文件中，将签名对象绑定到配置文件，将配置文件与策略相关联，并将策略绑定到全局。

在向导中无法执行一些任务。您无法使用向导将策略绑定到全局以外的绑定点。如果您希望配置文件仅适用于配置的特定部分，则必须手动配置绑定。您无法在向导中配置引擎设置或某些其他全局配置选项。虽然您可以在向导中配置任何高级保护设置，但如果要在单个安全检查中修改特定设置，则在GUI中的手动配置屏幕上可以更容易。

有关使用App Firewall向导的更多信息，请参阅“App防火墙向导。“

NetScaler App Interface AppExpert模板

AppExpert模板是一种不同方便的方法来配置和管理复杂的企业应用程序。GUI中的AppExpert显示器由表组成。应用程序列于最左侧列中，使用NetScaler功能，适用于右侧的本栏中的该应用程序。（在AppExpert接口中，调用与应用程序关联的这些功能申请单位。）在AppExpert接口中，您可以为每个应用程序配置有趣的流量，然后打开压缩，缓存，重写，过滤，响应者和应用防火墙的规则，而不是必须单独配置每个功能。

Web界面appExpert模板包含以下应用程序防火墙签名和安全检查的规则：

• “拒绝URL检查。“检测已知对安全风险构成的内容的连接，或者指定的任何其他URL。
• “缓冲区溢出检查。“检测尝试在受保护的Web服务器上导致缓冲区溢出。
• “cookie一致性检查。“检测由受保护的网站设置的cookie的恶意修改。
• “表格字段一致性检查。“检测对受保护网站上的Web形式的结构的修改。
• “CSRF表格标记检查。“检测跨站点请求伪造攻击。
• “现场格式检查。“在受保护的网站上检测到Web表单中上传的不当信息。
• “HTML SQL注入检查。“检测尝试注入未经授​​权的SQL代码。
• “HTML跨站点脚本检查。“检测跨站点脚本攻击。

有关安装和使用AppExpert模板的信息，请参阅“appExpert应用程序和模板。“

NetScaler Gui.

GUI是一个基于Web的界面，提供对App防火墙功能的所有配置选项的访问，包括任何其他配置工具或接口都无法使用的高级配置和管理选项。具体来说，许多高级签名选项只能在GUI中配置。您可以查看仅在GUI中生成的建议。您可以将策略绑定到仅在GUI中全局的绑定点。

有关GUI的描述，请参阅“APP防火墙配置接口。“有关使用GUI配置APP防火墙的更多信息，请参阅“使用GUI手动配置。“

有关使用GUI配置应用程序防火墙的说明，请参阅“使用GUI手动配置。“有关NetScaler GUI的信息，请参阅“APP防火墙配置接口。“

NetScaler命令行界面

NetScaler命令行界面是基于FreeBSD Bash Shell的修改后的UNIX shell。要从命令行界面配置应用程序防火墙，请在提示符下键入命令，然后按ENTER键，就像与任何其他UNIX Shell一样。您可以使用NetScaler命令行为App Firewall配置大多数参数和选项。例外是签名功能，许多选项只能通过使用GUI或App防火墙向导，以及学习功能，其建议只能在GUI中进行审核。

有关使用NetScaler命令行配置App防火墙的说明，请参阅“使用命令行界面手动配置。“