应用程序防火墙如何工作

在安装App Firewall时，需要创建一个初始安全配置，该配置由策略、配置文件和签名对象组成。策略是标识要过滤的流量的规则，配置文件是标识在过滤流量时允许或阻止的行为的模式和类型。最简单的模式(称为签名)不是在配置文件中指定的，而是在与配置文件关联的签名对象中指定的。

签名是与已知攻击类型相匹配的字符串或模式。应用程序防火墙包含七个类别的一千多个签名，每个签名都针对特定类型的web服务器和web内容进行攻击。当发现新的威胁时，Citrix会用新的签名更新列表。在配置过程中，您可以为需要保护的web服务器和内容指定相应的签名类别。签名以较低的处理开销提供了良好的基本保护。如果您的应用程序有特殊的漏洞，或者您检测到针对它们的攻击而不存在签名，那么您可以添加自己的签名。

更高级的保护措施被称为安全检查。安全检查是对请求进行更严格的算法检查，以确定可能指示攻击或对受保护的网站和web服务构成威胁的特定模式或行为类型。例如，它可以识别试图执行可能破坏安全性的特定类型操作的请求，或者包含敏感私人信息(如社会保险号或信用卡号)的响应。在配置过程中，您可以指定适合于web服务器和需要保护的内容的安全检查。安全检查是限制性的。如果在配置它们时没有添加适当的异常(松弛)，它们中的许多都可能阻止合法的请求和响应。如果使用自适应学习功能，识别所需的异常并不困难，该功能会观察网站的正常使用情况，并创建推荐的异常。

应用程序防火墙可以作为服务器和用户之间的第3层网络设备或第2层网络桥梁安装，通常位于公司的路由器或防火墙后面。它必须安装在可以拦截您想要保护的web服务器与用户访问这些web服务器的集线器或交换机之间的流量的位置。然后将网络配置为将请求发送到应用程序防火墙而不是直接发送到web服务器，并将响应发送到应用程序防火墙而不是直接发送给用户。在将流量转发到最终目的地之前，应用程序防火墙会使用其内部规则集和您的添加和修改对流量进行过滤。它阻止或呈现无害的任何活动，它检测为有害的，然后将剩余的流量转发到web服务器。下图提供了过滤过程的概述。

请注意:该图不包括策略对入站流量的应用。它演示了一种安全配置，其中策略是处理所有请求。此外，在此配置中，已经配置了签名对象并与配置文件关联，并且在配置文件中配置了安全检查。

图1所示。应用防火墙过滤流程图

如图所示，当用户请求受保护网站上的URL时，应用程序防火墙首先检查请求以确保它与签名不匹配。如果请求与签名匹配，应用程序防火墙要么显示错误对象(位于应用程序防火墙设备上的一个网页，您可以通过使用导入功能对其进行配置)，要么将请求转发到指定的错误URL(错误页面)。签名不像安全检查那样需要那么多资源，因此在运行任何安全检查之前检测和停止签名检测到的攻击可以减少服务器上的负载。

如果一个请求通过了签名检测，应用防火墙会应用已经开启的请求安全检查。请求安全性检查验证请求是否适合您的网站或web服务，并且不包含可能构成威胁的材料。例如，安全检查检查请求的迹象，表明它可能是一个意外的类型，请求意外的内容，或包含意外的，可能是恶意的web表单数据，SQL命令，或脚本。如果请求没有通过安全检查，应用程序防火墙要么对请求进行处理，然后将其发送回NetScaler设备(或NetScaler虚拟设备)，要么显示错误对象。如果请求通过了安全检查，它将被发送回NetScaler设备，NetScaler设备完成任何其他处理并将请求转发给受保护的web服务器。

当web站点或web服务向用户发送响应时，应用防火墙将应用已启用的响应安全检查。响应安全检查检查响应是否泄露敏感的私人信息、网站污损的迹象或其他不应该出现的内容。如果响应没有通过安全检查，应用防火墙要么删除不应该出现的内容，要么阻止响应。如果响应通过了安全检查，它将被发送回NetScaler设备，后者将其转发给用户。

应用程序防火墙功能

应用程序防火墙的基本特性是策略、配置文件和签名，它们提供了一种混合安全模型，如“已知的Web攻击”、“未知的Web攻击， "和"应用程序防火墙是如何工作的特别值得注意的是学习功能，它可以观察到受保护应用程序的流量，并为某些安全检查推荐适当的配置设置。

导入功能管理上传到应用程序防火墙的文件。这些文件随后被应用防火墙用于各种安全检查，或者在响应匹配安全检查的连接时使用。

您可以使用日志、统计数据和报告功能来评估应用程序防火墙的性能，并确定可能需要的额外保护。