Citrix Web应用防火墙
以下主题涵盖了Citrix Web应用程序防火墙特性的安装和配置细节。
| 介绍 | web安全概述和web应用程序防火墙如何工作。 |
| 配置 | 如何配置Web App防火墙以保护网站、Web服务或Web 2.0网站。 |
| 签名 | 本章详细介绍了如何使用支持的漏洞扫描工具配置签名,以及如何定义自己的签名,并举例说明。 |
| 安全检查概述 | 详细描述Web应用防火墙的安全检查,配置信息和示例。 |
| 配置文件 | 描述如何在Web App防火墙中配置和使用配置文件。 |
| 政策 | 在配置Web应用防火墙时如何使用策略的描述,以及有用的策略示例。 |
| 进口 | 介绍Web应用防火墙如何使用不同类型的导入文件,以及如何导入和导出文件。 |
| 全局配置 | Web应用防火墙特性的描述,适用于所有配置文件,以及如何配置它们。 |
| 用例 | 扩展示例,演示如何设置Web应用程序防火墙,以最好地保护特定类型的更复杂的网站和Web服务。 |
| 日志、统计和报表 | 如何访问和使用Web应用防火墙的日志、统计和报表,以帮助配置Web应用防火墙。 |
Citrix Web应用程序防火墙提供了易于配置的选项,以满足广泛的应用程序安全需求。Web App Firewall配置文件由一组安全检查组成,可以通过提供深度包级检查来保护请求和响应。每个配置文件包括一个选择基本保护或高级保护的选项。有些保护可能需要使用其他文件。例如,xml验证检查可能需要WSDL或模式文件。配置文件还可以使用其他文件,如签名或错误对象。这些文件可以在本地添加,也可以提前导入并保存在设备上以备将来使用。
每个策略标识一种类型的流量,并检查该流量是否存在与该策略关联的配置文件中指定的安全检查冲突。策略可以有不同的绑定点,它们决定了策略的范围。例如,仅针对流经该虚拟服务器的流量调用和评估绑定到特定虚拟服务器的策略。策略按照其指定的优先级顺序进行评估,并应用与请求或响应匹配的第一个策略。
Web应用防火墙保护快速部署
您可以使用以下步骤快速部署Web App防火墙安全:
- 添加Web应用程序防火墙配置文件,并根据应用程序的安全要求选择适当的类型(html、xml、JSON)。
- 选择所需的安全级别(基本或高级)。
- 添加或导入所需的文件,如签名或WSDL。
- 配置配置文件以使用这些文件,并对默认设置进行任何其他必要的更改。
- 为这个配置文件添加Web应用防火墙策略。
- 将策略绑定到目标绑定点并指定优先级。
Web应用防火墙实体
配置文件Web应用防火墙配置文件指定要查找什么和要做什么。它同时检查请求和响应,以确定在处理事务时必须检查哪些潜在的安全违规,以及必须采取哪些操作。配置文件可以保护HTML、XML或HTML和XML有效负载。根据应用程序的安全需求,可以创建基本配置文件或高级配置文件。基本配置文件可以防范已知的攻击。如果需要更高的安全性,可以部署高级配置文件,允许对应用资源的控制访问,阻止零日攻击。但是,可以修改基本配置文件以提供高级保护,反之亦然。可以使用多种操作选择(例如,块、日志、学习和转换)。高级安全检查可能使用会话cookie和隐藏的表单标记来控制和监视客户端连接。Web应用防火墙配置文件可以了解触发的违规,并建议放松规则。
基本的保护-A基本配置文件包括预先配置的“起始URL”和“禁止URL”放松规则集。这些放宽规则决定了哪些请求必须被允许,哪些请求必须被拒绝。根据这些列表匹配传入请求,并应用配置的操作。这允许用户能够用最小的放松规则配置来保护应用程序。Start URL规则防止强制浏览。通过启用一组默认的“拒绝URL”规则,可以检测和阻止已知的被黑客利用的web服务器漏洞。通常发起的攻击,如缓冲区溢出、SQL或跨站点脚本也可以很容易地检测到。
先进的保护-顾名思义,高级保护用于具有更高安全要求的应用程序。松弛规则配置为仅允许访问特定数据并阻止其余数据。这种积极的安全模型缓解了基本安全检查可能无法检测到的未知攻击。除了所有基本保护之外,高级配置文件还通过控制浏览、检查cookie、指定各种表单字段的输入要求以及防止表单篡改或跨站点请求伪造攻击来跟踪用户会话。默认情况下,许多安全检查都启用了观察流量并部署适当放松的学习功能。尽管易于使用,但高级保护需要适当考虑,因为它们提供更严格的安全性,但也需要更多的处理,并且不允许使用缓存,这可能会影响性能。
进口-当Web App防火墙配置文件必须使用外部文件(即托管在外部或内部Web服务器上的文件,或必须从本地计算机复制的文件)时,导入功能非常有用。导入文件并将其存储在设备上非常有用,特别是在您必须控制对外部网站的访问、编译需要很长时间、必须跨HA部署同步大型文件,或者您可以通过跨多个设备复制文件来重用文件的情况下。例如:
- 在阻止访问外部网站之前,可以在本地导入驻留在外部web服务器上的wsdl。
- 可以使用Citrix设备上的模式导入和预编译由外部扫描工具(如Cenzic)生成的大型签名文件。
- 定制的HTML或XML错误页面可以从外部web服务器导入,也可以从本地文件复制。
签名—签名很强大,因为它们使用模式匹配来检测恶意攻击,并且可以配置为同时检查事务的请求和响应。当需要可定制的安全解决方案时,它们是首选选项。当检测到签名匹配时,可以采取多种选择(例如,块、日志、学习和转换)。Web应用防火墙有一个内置的默认签名对象,包含1300多条签名规则,并可以通过使用自动更新功能获取最新的规则。其他扫描工具创建的规则也可以导入。可以通过添加新规则来定制签名对象,这些规则可以与Web App Firewall配置文件中指定的其他安全检查一起工作。一个签名规则可以有多个模式,并且只有当所有的模式都被匹配时才能标记违规,从而避免误报。对文字的仔细选择
fastmatch规则的模式可以显著优化处理时间。政策-Web应用防火墙策略用于过滤流量并将其分为不同类型。这为应用程序数据实现不同级别的安全保护提供了灵活性。对高度敏感数据的访问可以直接进行高级安全检查,而对不太敏感的数据则通过基本级别的安全检查进行保护。还可以将策略配置为绕过无害流量的安全检查。更高的安全性需要更多的处理,所以仔细设计策略可以提供所需的安全性和优化的性能。策略的优先级决定其评估顺序,其绑定点决定其应用范围。
突出了
- 能够通过保护不同类型的数据、为不同的资源实现适当的安全级别,并仍然获得最大的性能来保护广泛的应用程序。
- 添加或修改安全配置的灵活性。您可以通过启用或禁用基本和高级保护来加强或放松安全检查。
- 选项将HTML配置文件转换为XML或Web2.0 (HTML+XML)配置文件,并提供了为不同类型的有效负载添加安全性的灵活性。
- 易于部署的操作可以阻止攻击、在日志中监视它们、收集统计信息,甚至将一些攻击字符串转换为无害的。
- 通过检查传入请求来检测攻击,并通过检查服务器发送的响应来防止敏感数据泄漏的能力。
- 能够从流量模式中学习,以获得可轻松编辑的放松规则的建议,可以部署这些规则以允许异常。
- 混合安全模型,它应用了可定制签名的能力来阻止匹配指定模式的攻击,并提供了使用正向安全模型检查基本或高级安全保护的灵活性。
- 全面配置报告的可用性,包括有关PCI-DSS遵从性的信息。