Présentation du pare-feu Citrix Web Application

Le Citrix Web应用程序防火墙empêche les failles de sécurité， la perte de données et les éventuelles修改非autorisées des sites Web qui accèdent aux information sensibles de l ' enterprise ou des clients。我们需要的过滤条件réponses，我们需要的检查官à我们需要的检查官'activités我们需要的检查官和检查官démontrent我们需要的检查官activité。Votre网站est protégé不能控制攻击的类型，不能控制新的攻击，再来一次。En plus de protéger les servers Web et les sites Web contre les accès non autorisés, le Web App Firewall protège contre les vulnérabilités des code ou scripts CGI存在，des frameworks Web, des logiciels de server Web et d ' aures systèmes d 'exploitation -jacents。

Citrix Web应用程序防火墙是不可替代的设备，自主的，自主的fonctionnalité根据Citrix ADC (VPX)。Dans la documentation du Web App Firewall, le terme Citrix ADC fait référence à la plate- formme sur laquelle le Web App Firewall est exécuté， que te plate- formme soit undipositif de parefeu dédié， un Citrix ADC sur lequel d ' aures fonctionnalités ont également été configurées ou un Citrix ADC VPX。

Pour utiliser le Web App Firewall, vous devez créer au moins une configuration de sécurité Pour bloquer les connexions qui enfreignent les règles que vous définissez Pour vos sites Web protégés。Le nombre de configurations de sécurité que vous souhaitez créer dépend de la complexité de votre网址。Parfois, une seule configuration est suffisante。我们所能做的事情，包括网站的网络互动，网站的网站accèdent à服务器的基础，données，网站的服务，网站的服务，网站的配置différentes pour protéger au mieux les données有意义的事情，重要的事情，在竞争的基础上vulnérable à某些类型的攻击。您的纪念自由les valeurres pardéfaut des paramètres globaux，有影响的路线les配置de sécurité， inchangées。修饰语les paramètres世界上所有的人都有冲突，有自己的人，有自己的人，有自己的人préférez。

Sécurité des applications Web

La sécurité des应用程序Web est La sécurité du réseau pour les ordinateurs et les programs qui communiquer à l’aide des protocols HTTP et HTTPS。这是一个伟大的王国，它的水平，它的失败和失败matière de sécurité丰富。Les systèmes d '剥削des服务器和客户présentent des problèmes de sécurité et sont vulnérables aux攻击。Les logiciels de server Web et Les technologies d 'activation de sites Web comme CGI, Java, JavaScript, PERL et PHP présentent des vulnérabilités sous-jacentes。Les navigateurs et autre应用程序客户端qui communique avec des应用程序web présentent également des vulnérabilités。网站的Web是实用的和进口的技术，简单的HTML和简单的，包含了网站的交互性和访问者，在vulnérabilités propres。

丹斯勒passé，巴黎人à la sécurité，巴黎人était巴黎人gêne，巴黎人。举例来说，les attacks au cours desquelles un pirate a accédé à un server Web et apporté des modified non autorisées à un site Web (défacé) étaient courantes。伊尔étaient généralement lancés海盗们的动机démontrer leurs compétences à海盗们的动机gêner个人和企业visée。先发，执行任务的动力à la sécurité sont motivés par un désir d '银色。La majorité tene d 'atteindre l 'un ou l 'autre des objectifs suants:获取安全信息和潜在效用，获取联合国accès非autorisé à un site Web ou un server Web et à le contrôler。

网络上的某些攻击形式à获取信息privées。ce攻击的可能性même contre des sites Web suffisamment sécurisés pour empêcher unattaquant de prendre le contrôle total。网址包括姓名，地址，numéros de téléphone, numéros de sécurité sociale, numéros de carte de crédit，档案médicaux et aures information privées。L 'attaquant peut alors利用者提供信息或提供信息à d ' autre。“信息的大党”“信息的大党”“信息的大党”“信息的大党”“信息的大党”“信息的大党”“信息的大党”“信息的大党”“信息的大党”protégéeUne违例类型peut avoid de graves conséquences pour les客户don ' t les信息privées sont妥协。Au mieux, ce client doivent faire preuve de vigilance pour empêcher le aures d ' auteluser de leurs cartes de crédit, d ' vrir des comptes de crédit non autorisés à leur nom ou des 'approprier leur identité纯粹和简单(篡夺d 'identité)。Au pire, les clients peuvent faire face à des notes de crédit ruines ou même être blâmés pour des activités criminelles auxquelles ils n 'ont pas participé。

D ' autre攻击Web visent à obtenir le contrôle(欧compromettre) un site Web ou le server sur level il opère, ou les deux。网址:contrôle d 'un site Web ou d 'un server peut l 'utiliser pour héberger du contenun non autorisé， agir comme proxy pour le contenu hébergé Un autre server Web, fournir des services SMTP pour proxy des courriels non sollicités en masse ou fournir des services DNS pour prederen charge de telles activités sur d ' aures servers Web折中。网站hébergés服务器网站，企业网站carrément欺诈网站。一个例子，la plupart des sites Web d 'hameçonnage et des sites d’exploitation des enfants sont hébergés sur des servers Web comis。

保护网站Web和服务Web反攻击nécessite une défense多口能力à La fois de bloquer les攻击协防caractéristiques可识别的攻击协防protéger协防攻击协防être détectées parce qu 'elles ont un aspect différent du流量正常的网站Web和Web服务。

Attaques Web有名

网址:première ligne de défense de vos sites网址:保护与攻击的伟大的名字相抗衡observées et analysées par des experts en sécurité Web。Les types courants d’attques contre Les sites Web HTML sont Les suivants:

• 攻击débordement de卫生棉条。L 'envoi d 'une longue URL, d 'un cookie long ou de longue信息à un server Web entraîne le blocage, le blocage ou L 'accès non autorisé au système d 'exploitation sous-jacent。Une attack par débordement de卫生棉条peut être utilisée pour accéder à des information non autorisées, compromettre un server Web, ou les deux。
• 攻击sécurité des cookies。特使d 'un cookie modifié à un服务器Web, généralement dans l 'espoir d 'obtenir l 'accès à uncontu non autorisé en liisant des information d 'identification falsifiées。
• 导航puissante。Accéder网址网址网址网址网址，没有accéder网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址网址。导航的个人forcée寻找有用的信息marqué网页根据投票点的网址，有可能的répétées d 'accès à du contenu不存在，有à du contu auquel les utilisauurs ne doivent jamais accéder方向，représentent souvent une attete à la sécurité du site网址。La navigation forcée est normalement utilisée pour accéder à des information non autorisées, mais peut également être combinée à une attque par débordement de tampon dans le but de compromettre votre server。
• 攻击sécurité公式网。选举代表inapproprié à投票网站投票网。Le contenu inapproprie我们inclure des冠军假面具修改,du HTML或者du代码在冠军注定或者alphanumeriques的数据,一个经纱太舌头在冠军,n组接受一经纱courte,一个经纱alphanumerique在冠军这般瞿接受一个entier等一个grande variete其他数据的网站网页不contient recevoir在ce formulaire网络当然可以。一个安全范围attaque de formulaire Web可能utilisee所以倒obtenir des信息非autorisees您的网站网页,所以倒compromettre le Web网站,generalement当est associee一个attaque元debordement de棉条。

两种类型spécialisés d’atques contre la sécurité des formulaires Web méritent une mention spéciale:

• 攻击par注入SQL。Envoi d 'une ou de plusieurs命令SQL active dans un formulaire Web ou dans le cadre d 'une URL, dans le but d 'amener une base de données SQL à exécuter la ou les命令。Les攻击par注入SQL sont normalement utilisées pour obtenir des information non autorisées。
• 脚本间攻击。利用d 'une URL ou d 'un script sur une page Web pour enfreindre la stratégie de même origin, qui interdit à tout script d 'obtenir des propriétés à partir d 'un autre site Web ou de modifier un contenu sur un autre site Web。Étant donné巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎巴黎。

攻击控制服务Web XML relèvent两个人的规范(normalement d 'au moins une des deux) catégories suivantes:竞争的临时代理inapproprié à un service Web ou违反服务Web的临时代理sécurité un service Web。攻击类型，附加服务，控制服务，Web XML sont Les suant:

• 代码反对恶意行为。要求XML内容代码对象获取方向信息感知器à unattaquant le contrôle du service Web ou du server sojjacent。
• 要求XML mal formées。要求XML规范符合à la spécification XML du W3C et qui peuvent donc enfreindre la sécurité sur un service Web non sécurisé
• 攻击déni de service (DoS)。需求XML envoyées à plusieurs reprises et en volume élevé， danans le but d ' accable le service Web ciblé et de rejuser aux utiisateurs légitimes l 'accès au service Web。

超越攻击basées根据XML标准，les服务Web XML et les站点Web 2.0 sont également vulnérables aux攻击par注入SQL et par脚本跨站点，comme décrit ci-dessous:

• 攻击par注入SQL。Envoi d 'une ou de plusieurs命令SQL active dans une requête XML, dans le but d 'amener une base de données SQL à exécuter cette ou ces命令。Comme pour les攻击par注入HTML SQL, les攻击par注入XML SQL sont normalement utilisées pour obtenir des information non autorisées。
• 脚本间攻击。使用d 'un脚本包括dans une应用XML pour enfreindre la stratégie de même origin, ce qui ne permet à aucun脚本d 'obtenir des propriétés à partir d 'une应用différente ou de modifier un contenu。Étant donné que les scripts peuvent获取信息和修改器获取信息à l 'aide de votre应用XML, permettre à un script d 'accéder au contenu appartenant à une autre应用peut donner à un attaquant les moyens d 'obtenir信息非autorisées, de compromettre l 'application, ou les deux

Les attaques Web有名peuvent generalement可能arretees en filtrant勒杜交通网站Web倒des的特性specifiques(签名),apparaissent始终把一个attaque specifique et ne doivent jamais apparaitre在马路洋。Cette接近présente l '优势d 'exiger相对peu de资源和présenter相对peu de risques de假积极。Par conséquent, il s 'agit d 'un outil précieux网站Web服务Web，配置器基础签名保护。

Attaques Web食用淡水鱼

"大威胁"控制网站网站和应用程序只要有攻击就行，攻击就行。拉学生的des attaques食用淡水鱼同时属于l何谓des沿著两个类别:les attaques nouvellement兰斯倒lesquelles les信息化安全范围变量不是安可developpe de国防efficace (attaques«的零»)、et les attaques已用行动在联合国网站Web或者联合国服务specifique记成是关于我们网站的Web服务的Web (attaques lance)。这就是攻击，这就是攻击，这就是获取信息机密信息的权利，这就是网站服务的权利这就是利用的权利这就是攻击，这就是双重目标。

零日袭击，构成威胁，不可抗力。ce攻击sont généralement du même类型que les攻击conues;les attacks«jour zéro»implient souvent du SQL injecté， un script intersite, une伪造de requête intersite ou un autre类型d ' attack similaire aux attack conues。Généralement, ils ciblent des vulnérabilités que les développeurs du logiciel, du site Web ou du service Web ciblé无知的信息。Les enterprises de sécurité n 'ont donc pas développé de défenses反攻击，等même si elles l 'ont fait, Les utilisateurs n 'ont pas obtenu et installé Les correctifs ni effectué Les solutions de contournement nécessaires pour se protéger反攻击。Le temps entre la découverte d 'une攻击«jour zéro»et la disponibilité d 'une défense (la fenêtre de vulnérabilité)减小，mais les auteurs peuvent toujour computer sur des heures, voire des jour pendant lesquels de nombreux sites Web et services Web ne deent pas d 'une protection spécifique contre l ' attack。

不可抗力的威胁和威胁的组成部分的攻击，利用者集团加上sélect。一种类型的公共攻击，一种hameçonnage de lance, est ciblé由客户和银行组成的机构financière spécifique，由(moins souvent)组成的机构employés由企业和组织组成的机构spécifique。合同à d ' aures hameçons，仿造的纪念品écrits grossièrement通信系统的管理者réelles cette banque ou机构financière peut reconnaître，网络钓鱼系统的创建者。法国人的愿望spécifiques à法国人的愿望étranger法国人的愿望connaître ou être法国人的愿望à première vue。Le spécialiste de l 'hameçonnage世界信息中心信息中心demandées，法国信息中心信息中心信息中心信息中心信息中心信息中心信息中心信息中心信息中心信息中心。

两种类型的攻击和某些东西caractéristiques如果有的话généralement être détectées，用什么东西就用什么东西modèles如果有的话就用什么东西caractéristiques spécifiques，标准的字体和签名。La détection de ces攻击类型nécessite des approach + sophistiquées et + gourmandes en resources, telles que le filtrage heurtique et les systèmes de modèles de sécurité positifs。Les regards de filtrque heurtique, non pas pour des modèles spécifiques, mais pour des modèles de comements。Les systèmes de modèles de sécurité positifs modélisent le行为正常的站点Web ou du service Web qu 'ils protègent，是一个bloquent Les connexions qui ne通讯员à ce modèle d ' use isation normal。莱斯还安全范围基地苏尔des URL et des formulaires Web演示限定词le资料de l 'utilisation正de vos Web网站,然后,这样控制器拉不莱斯utilisateurs interagissent用vos Web网站,现在,一个拉回des heuristiques等一个积极反常的ou inattendu倒bloquer le交通安全炸药。Une sécurité启发式等积极，bien conçue et déployée, peut détecter la plupart des攻击，que les signatures manquent。先祖，伊尔nécessitent博库普加上签名的资源，以及时间的传递者à les配置者纠正pour éviter les faux正面。ilsont donc utilisés，不卖葡萄的地方défense校长，这里有很多美味佳肴。

配置保护avancées En + des签名，vous créez un modèle de sécurité Web应用程序防火墙保护complète控制攻击和不连接。

Citrix Web应用防火墙的功能

允许你安装Web应用防火墙，允许你créez une configuration de sécurité initiale，允许你组成d 'une stratégie，允许你配置和对象签名。La stratégie est une règle流量的基本识别à过滤器和概要识别modèles和类型的行为à autoriser ou à bloquer lorsque le traffic est filtré。Les modèles Les plus simple, appelés签名，ne sont pas spécifiés dans le proffil, mais dans un objet签名associé au proffil。

Une签名est Une chaîne ou un motif qui对应à un type d ' attack connu。Le Web应用程序防火墙大陆加上d 'un millide signatures dans 9 catégories, chacune dirigée反攻击反类型spécifiques de服务器Web et de contenu Web。Citrix遇到了à关于新签名的清单à关于新威胁的措施identifiées。Au cours de la configuration, vous spécifiez les catégories de signature appropriées pour les servers Web et le contenu que vous devez protéger。我们的签名是美好的，保护的，基础的，不可破坏的。我的申请présentent des vulnérabilités spéciales ou Si vous détectez une攻击，控制，倾注，laquelle auune签名不存在，vous pouvez ajouter, vos propres签名。

Les保护Les加avancées sont appelées contrôles de sécurité。Une vérification de sécurité est Une检查算法加上严格的要求modèles ou de行为spécifiques qui pour rairaie Une攻击ou构成Une威胁pour vos sites Web et services Web protégés。例如，某一类型的d的要求的必要条件'opération易受伤害的人sécurité，有必要的réponse包括机密信息敏感的人告知的信息numéro de sécurité社会的人numéro de carte de crédit。Lors de la configuration, vous spécifiez les vérifications de sécurité appropriées pour les servers Web et le contenque vous deves protéger。Les contrôles de sécurité sont限制。我们的需求是什么? réponses légitimes我们的例外是什么? appropriées(放松)lors de leur配置。标识符例外nécessaires最艰难的使用学徒适应的功能，观察使用选民的规范网站等crée例外recommandées。

Le Web App Firewall peut être installé en tant que périphérique réseau de couche 3 ou pont réseau de couche 2 entre vos servers et vos utilisateurs, généralement derrière Le routeur ou Le pere -feu de votre enterprise。我们的网站être installé à unendroit où Il peut拦截流量进入服务器的网站查询信息protéger我们的信息集中服务器的网站accèdent à ce服务器的网站。您的配置ensuite le réseau pour qu 'il特使要求au Web应用程序防火墙plutôt que指示à vos servers Web, et des réponses au Web应用程序防火墙plutôt que指示à vos utilisateurs。Le Web App Firewall过滤流量先行者transférer vers sa destination final, en utilisant à la fois son jeu de règles internet et vos ajouts et修改。不冒犯人的地方activité qu 'il détecte comme nuisible, puis transfère le traffic restant au servers Web。这就是我的生活，我的生活，我的生活。

标记:

La figure omet l 'application d 'une stratégie au traffic entrant。我的例子是配置sécurité dans laquelle la stratégie est de traiter totes les demandes。De plus, dans cette配置，un对象签名été configuré et associé au proffil, et vérifications De sécurité ont été configurées dans le proffil。

图1。网络应用防火墙的流量过滤图

让我来说明一下这个图，使用人员要求网站上的URL网址protégé，网络应用防火墙检查要求保险公司对应à签名。要求对应à une签名，Citrix Web应用程序防火墙请求错误对象(Web页面située sur le dispositif de Web应用程序防火墙et que vous pouvez配置者à l 'aide de la fonctionnalité d '进口)或者transfère la demande à l 'URL d 'erreur désignée(错误页面)。Les签名ne nécessitent pas auant de resources que Les vérifications de sécurité。La détection et l 'arrêt des攻击détectées par une签名先锋d 'exécuter l’une des vérifications de sécurité réduisent La charge sur le server。

需要réussit检查签名，需要Web应用程序防火墙贴花vérifications de sécurité需要été activées。Les contrôles de sécurité de la demand渗透性de vérifier que la demand est appropriée pour votre site Web ou service Web et qu 'elle ne continent pas de matériel易受威胁的构成者。一个例子，les vérifications de sécurité exament la demande pour détecter des signes indiquant qu 'elle peut être d 'un type inattendu, demander du contenu inattendu ou contenir des données de formulaire Web, des command SQL ou des scripts inattendus et éventuellement malveillants。Si la demand échoue une vérification de sécurité， le Web App Firewall nettoie la demande, puis la renvoie à l 'appliance Citrix ADC (ou à l 'appliance virtuelle Citrix ADC)， ou affiche l ' object d 'erreur。Si la demande réussit les vérifications de sécurité， elle est renvoyée à l 'appliance Citrix ADC, qui termine tout autre traitement et transfère la demande au servers Web protégé。

Lorsque le site Web ou le service Web特使une réponse à l 'utilisateur, le Web App Firewall贴花les vérifications de sécurité de réponse qui ont été activées。Les contrôles de sécurité des réponses审查员la réponse à la présence de信息机密信息，de défacement du site网站信息机密信息的来源être présents。Si la réponse échoue une vérification de sécurité， le Web App Firewall补充le contenu qui ne doit pas être présent ou bloque la réponse。Si la réponse réussit les vérifications de sécurité， elle est renvoyée à l’appliance Citrix ADC, qui la transmet à l’utilisateur。

Fonctionnalités du pare-feu Citrix Web Application

Les fonctionnalités de base du Web App Firewall sont Les stratégies, Les profile et Les signatures, qui fournissent un modèle de sécurité hybride tel que décrit dansAttaques Web有名，攻击Web inconues等Web App的功能．我的方便的noter la fonctionnalité d '徒弟，我观察的交通vers vos应用protégées et推荐les paramètres de配置appropriés倒某些vérifications de sécurité。

La fonctionnalité d ' imports gère les fichiers que vous téléchargez vers le Web App Firewall。ce fichiers sont ensuite utilisés par le Web App Firewall dans diver contrôles de sécurité ou lors de la réponse à une connexion qui对应à une vérification de sécurité。

您将使用日志的功能，统计和关系évaluer Web应用程序的性能和防火墙，以及各种可能的保护。

评论Citrix Web应用防火墙修改流量的应用程序

Citrix Web应用程序防火墙影响移动d 'une应用程序Web qu 'il protège en modiant les éléments suivants:

• 饼干
• En-tetes HTTP
• Formulaires /数据

Cookie de session Citrix Web Application Firewall

Pour maintenir l ' état de la session, Citrix ADC Web App Firewall génère son propre cookie de session。Citrix ADC Web应用程序和非服务器Web。这是一种修饰词，小甜饼，小甜饼，小甜饼，小甜饼，小甜饼transférer有需求的，有服务的，有需求的，有新需求的，有用途的。Le cookie de session est présent ant que Le navigateur Web est ouvert。Lorsque le navigateur Web est fermé， le cookie de session应用程序防火墙越轨加上有效。L ' état de la session保存信息des URL et formulaires visités par le client。

Le cookie de session de Web App Firewall可配置的citrix_ns_id．

À partir de Citrix ADC build 12.1 54 et 13.0, la cohérence des cookies est sans session et n 'applique pas le cookie de session d 'ajoutcitrix_ns_idgenere l 'appliance不相上下。

Cookies Citrix Web应用防火墙

De nombreuses applications Web génèrent des cookies pour suivre les information spécifiques à l 'utilisateur ou à la session。ce信息peuvent être des préférences de l 'utilisateur ou des articles de panier。Un cookie d 'application Web peut être l 'un des deux types suivants:

• 饼干执着- ce饼干sont stockés当地的熟食店和utilisés à新产地的熟食店。Ce类型de cookie大陆généralement des信息sur l 'utilisateur, telles que l 'ouverture de session, le mot de passe ou les préférences。
• cookie de session ou transitoires- Ces cookies ne sont utilisés que pendant la session et sont détruits après la fin de la session。Ce类型的cookie大陆信息sur l ' état de l ' application, telles que les éléments du panier d ' achat ou les信息d ' identification de session。

Les pirates peuvent tenter de modifier ou de voler des cookies d 'application pour détourner une session utilisateur ou se mask en tant qu 'utilisateur。我们的应用是什么? empêche我们的应用是什么?我们的应用是什么?我们的应用是什么?我们的应用是什么?让我们traçant这些小甜饼，让我们的客户端和我们的小甜饼，让我们的客户端和我们的小甜饼。你的应用程序，你的应用程序。

Citrix Web Application Firewall génère les cookies par défaut suivants pour suivre les cookies d’Application:

• 饼干执着：citrix_ns_id_wlf．注:wlf signifie vivra éternellement。
• cookie de session ou transitoires：citrix_ns_id_wat．注:wat signifie agir de façon transitoire。把应用的饼干倒在一起，把应用的饼干重新组合在一起，把应用的饼干放在一起，把应用的饼干放在一起。安西，le pere -feu d 'application génère unwlf饼干倒生存tous les饼干d '应用持久等联合国窟小甜饼，小甜饼，小甜饼。

Le tableau suant indique Le nombre et les types de cookies générés par l 'Application Firewall sur la base des cookies générés par l 'Application web:

Citrix Web应用程序防火墙permet de chiffrer le cookie d 'application。Application Firewall offre également une option pour proxy le cookie de session envoyé par l 'application, en le stockant avec le reste des données de session应用防火墙et en ne l '特使pas au client。Lorsqu 'un客户端使者使者requête à应用程序包含的cookie session应用程序防火墙，应用程序防火墙insère le cookie envoyé新需求使者使者需求à原始应用程序。应用程序防火墙执行également d 'ajouter les指示HttpOnly et/ou安全辅助cookie。

评论le pare-feu de l 'application影响les en-têtes HTTP

Les requêtes HTTPS et Les réponses HTTPS utilisent des en-têtes pour使者des information sur un ou plusieurs messages HTTPS。Un en-tête est une série de lignes avec chque ligne contenant Un nom suivi d 'un deuivi d ' en en valeur。标准示例，l 'en-tête Host a le格式suivant:

主持人:m.giftsix.com

某些冠军'en-tête sont utilisés dans les en-têtes de requête et de réponse，这是一种不方便的方式à une demande ou à une réponse。Le pare-feu d 'application peut ajouter, modifier ou ou supplier cers en-têtes dans une ou plusieurs requêtes HTTPS ou réponse afin de maintenir la sécurité de l 'application。

En-têtes de requête supprimés par Citrix Web Application Firewall

La plupart des en-têtes de requête liés à La mise en cache sont supprimés pour afficher chque requête dans le上下文d 'une session。même, si la demand包括en-tête De code渗透au server Web d '使者De réponses compressées, le pere -feu d 'application助推器en-tête De De sorte que le contourte De la réponse du serur non compressé soit inspecté par le Web App Firewall pour éviter toute fuite De données sensibles vers le client。

Le pare-feu d 'application supplement les en-têtes de requête suivants:

• 范围:permet de récupérer à partir d 'un transfer de fichiers en échec ou partiel。
• If-Range - Permet à un client de récupérer un objet partiel lorsqu 'il continent déjà une party de cet objet dans son cache (GET conditionnel)。
• 如果-修改-自从-Si l 'objet demandé n 'est pas modifié代理l 'heure spécifiée dans ce champ, une entité n 'est pas renvoyée par le server。Vous obtenez une错误HTTP 304非modifiée。
• If-Non-Match - Permet des mises à jour effective des information mises en cache avec un minimum de frais généraux。
• Accept-Encoding - Quelles méthodes d '鼓励sont autorisées pour un objecet particulier, tel que gzip。

En-tête de demand modifié par Citrix Web Application Firewall

Web使用HTTP/1.0 ou antérieurs, le navigator ouvre et ferme continuelement la connection socket TCP après avoir reçu chaque réponse。Cela ajoute une附加费au servers Web et empêche le maintien de l ' état de session。协议HTTP/1.1 permet à la connexion de rester ouverte pendant la session。Le pare-feu d 'application modifie l 'en-tête de requête suivant pour utiliser HTTP/1.1 entre Le pare-feu d 'application et Le server Web, quel que soit Le protocol utilisé par Le navigateur Web: Connexion: keep-alive

En-têtes de requête ajoutés par Citrix Web Application Firewall

应用程序代理反向替代地址IP源会话地址IP应用程序的地址IP。Par conséquent，请求enregistrées dans le journal du server Web请求请求envoyées à parr du Par -feu d 'application。

En-tête de réponse supprimé par Citrix Web Application Firewall

Le pere -feu d 'application peut bloquer ou modifier du contenu, comme la suppression des numéros de carte de crédit ou la suppression de commentaires, ce qui peut entraîner une inadéquation de la taille。Pour éviter un tel scénario, le pare-feu d 'application辅l 'en-tête suivant:

内容-长度- Indique la taille du message envoyé au destinataire。En-têtes de réponse modifiés par le par -feu d 'application

La plupart des en-têtes de réponse modifiés par le pare-feu应用sont liés à La mise en cache。Les en-têtes de mise en cache dans Les réponses HTTP (S) doivent être modifiés pour forcer le navigateur Web à toujours envoy une requête au server Web pour obtenir Les données Les + récentes et à ne pas utiliser le cache local。一些应用程序ASP实用插件区别pour afficher de竞争动态和peuvent nécessiter la possibilité de mettre en cache temporaiment les données dans le navigator。Pour autoriser la mise en temporaire des données lorsque des protection avancées de sécurité telles que FFC, fermeture d 'URL ou vérifications CSRF sont activées，应用防火墙ajoute ou modifie les en-têtes de contrôle de cache dans la réponse du server à l 'aide de la logique suivante:

• 服务器特使Pragma:无缓存，应用程序效果修改。
• Si la requête客户端est HTTP 1.0，应用程序防火墙insère Pragma: no-cache。
• Si la requête客户端est HTTP 1.1 et a Cache-Control: no-store，应用程序防火墙n 'apporte aucune修改。

• Si la requête客户端est HTTP 1.1 et que服务器响应un en-tête cache - control sans magasin ou aucune指令缓存，应用程序防火墙n 'apporte aucune修改。

• Si la requête客户端est HTTP 1.1 et que la réponse du server n 'a pas d 'en-tête de contrôle cache - control ou l 'en-tête cache - control n 'a pas de directive magasin ou sans cache, le pare-feu d 'application effect les tâches suivantes:

1. insert Cache-control: max-age=3，必须重新验证，私有。
2. 插入X-Cache-Control-orig =缓存控制头的原始值。
3. 补充'en-tête Dernière修改。
4. Remplace Etag。
5. Insère X-Expires-Orig=Valeur d 'origine de l 'en-tête Expire envoyé par le server。
6. 修改'en-tête过期和définit过期日期网页上的网页passé， récupérée à新。
7. Modifie les plages Accept-Plages et la définit sur aucun。

Pour remplacer les données temporairequirement mises en cache dans le navigateur client lorsque Application Firewall modifie la réponse(典型示例，Pour StripComments, X-out/Remove SafeObject, xout ou suppression de carte de crédit ou transformation d 'URL)， Application Firewall effect les actions suivantes:

1. 支持la dernière修改du服务器avant le转移到客户端。
2. 替换Etag平价déterminée平价应用防火墙。

En-têtes de réponse ajoutés par Citrix Web App Firewall

• 传输编码:分块。Cet en-tête传递信息à unclient sans avoir à connaître la longueur totale de la réponse avant d '使节la réponse。Cet en-tête est义务车l 'en-tête de longueur de contenu est supprimé。
• set - cookie: les cookies ajoutés par le par -feu d 'application。
• Xet-Cookie:我的秘密和秘密réponse我的秘密expiré我的秘密和秘密，我的秘密和秘密à我的秘密和秘密和秘密à我的新使者饼干车我的秘密和秘密。Dans un tel scénario, le Set-Cookie est changé en Xet-Cookie。Pour le navigateur Web。

评论les données de formulaire sont affectées

我们的应用程序protège我们的攻击可以被修改我们的应用程序原始的envoyé我们的服务程序。Il peut également se protéger控制攻击de伪造de requête站点间。Le pere -feu d 'application effect en insérant la balise de formulaire masquée as_fid dans la page。

为例: .

Le champ masqué as_fid est utilisé pour la cohérence des champs。最先进的应用程序防火墙提供最先进的产品，最先进的产品masqués我们提供最先进的产品envoyé最先进的服务器modifié du côté客户。vérification CSRF使用également唯一的配方，作为一种保险公司，提供配方，确保使用的方式été服务à使用的配方，提供的方式和使用的方式détourner使用的方式。

Vérification du formulaire sans session

应用程序防火墙offre également une option pour protéger les données de formulaire en utilisant une cohérence de champ sans session。最实用的应用où我们的公式避免了伟大的荣誉masqués我们的动力à我们的分配mémoire élevée同样的session同样的应用。Le contrôle de cohérence des champs sans session est effectué en insérant un autre champ masqué as_ffc_field pour uniquement les requêtes POST ou pour les requêtes GET et POST en function du paramètre configuré。Le pare-feu d 'application change la méthode GET en POST lorsqu 'il transfère Le formulaire au client。L 'appliance rétablit ensuite la méthode GET lorsqu 'elle est renvoyée au server。La valeur as_ffc_field peut être volumineuse car elle continental le résumé chiffré du formula aire servi。voice i un example de vérification de formulaire sans session

< input type = "隐藏" name = " as_ffc_field " value = " CwAAAAVIGLD / luRRi1Wu1rbYrFYargEDcO5xVAxsEnMP1megXuQfiDTGbwk0fpgndMHqfMbzfAFdjwR + TOm1oT + u + Svo9 + NuloPhtnbkxGtNe7gB / o8GlxEcK9ZkIIVv3oIL / nIPSRWJljgpWgafzVx7wtugNwnn8 / GdnhneLCJTaYU7ScnC6LexJDLisI1xsEeONWt8Zm + vJTa3mTebDY6LVyhDpDQfBgI1XLgfLTexAUzSNWHYyloqPruGYfnRPw + DIGf6gGwn1BYLEsRHKNbjJBrKpOJo9JzhEqdtZ1g3bMzEF9PocPvM1Hpvi5T6VB / YFunUFM4f + bD7EAVcugdhovzb71CsSQX5 + qcC1B8WjQ = = " / > < !——NeedCopy >

Décapage des commentaires HTML

Le pare-feu d 'application offre également une option pour suppmer tous les commentaires HTML dans les réponses avant de les特使au client。Cela affte non seulement les formulaires, mais toutes les pages de réponses。Le Pare-feu d 'application本地化和补充文本incorporé entre les balises de commentaire " ”。Les balises restent pour indiquer qu 'un commentaire exist à cet emplacement du源代码HTML。输出文本incorporé dans d 'autres balises HTML ou JavaScript est ignoré。某些应用程序会发生功能上的错误incorporé dans les balises de commentaire。Une比较du代码源de la page avant et après que les commentaires ont été supprimés par应用程序防火墙peut aider à identifier si l 'un des commentaires supprimés comportait le JavaScript requis intégré dans ces commentaires。

保护cartes de crédit

Le pare-feu d 'application offre une option pour inspector les en-têtes et Le corps de la réponse et辅ou élimine les numéros de carte de crédit avant de transférer la réponse au客户。实施应用防火墙提供的防火墙保护是由crédit的原则卡:美国运通，大莱俱乐部，发现，JCB，万事达卡和Visa。动作X-out函数indépendamment动作Bloquer。

保护sécurisée des objets

Comme pour les numéros de carte de crédit, la fuite d ' aures données sensibles peut également être évitée en utilisant la vérification de sécurité应用防火墙安全对象倒供应商ou供应商le contenu sensible dans la réponse。

Le script between site transform l 'action

Lorsque la transformation est activée pour le脚本intersite, le Web App Firewall change“<”变成“%26lt;”“>”变成“%26gt;”在requetes。Si le paramètre CheckRequestHeaders dans le Web App Firewall est activé， le pare-feu Web App inspecte les en-têtes de requête et transformme ces caractères dans En-tête et cookies également。转变的行动，一个方块，一个转变，价值的人的缩写envoyées, par, le，服务器。Il存在un ensemble d 'attributs et de balises par défaut站点间脚本和Web应用程序防火墙。Une liste par défaut des modèles de script intersite refusés est également fournie。你是我们的个人主义者sélectionnant我们的目标，签名和团体，在boîte对话Gérer les modèles de script SQL/inter-site在l 'interface图表。

转换des caractères spéciaux SQL

应用程序防火墙possède les règles de transformation par défaut suivantes pour les caractères spéciaux SQL:

Lorsque la transformation des caractères spéciaux est activée et que le checkRequestHeaders est défini sur ON, la transformation des caractères spéciaux se product également dans les en-têtes et les cookies。备注:某些en-têtes de requête tels que User-Agent, Accept-Encoding continental généralement des points-virgules et peuvent être affectés par la transformation SQL。

行为Citrix Web应用程序防火墙级别的腐蚀'en-tête期望

1. chque fois que NetScaler reçoit une requête HTTP avec l 'en-tête EXPECT, NetScaler特使la réponse EXPECT: 100 -continue au client au nom du server后端。
2. Ce problème est dû我们需要的保护和应用程序être exécutées我们需要的保护和应用程序être exécutées我们需要的保护和应用程序transférer我们需要的服务器，NetScaler需要的保护entière我们客户。
3. À la réception d 'une100年继续Réponse，委托人的特使，一方的要求，一方的要求complète，一方的要求。
4. NetScaler exécute ensuite toutes les保护，puis transmet la requête au服务器。
5. 维护人员查询NetScaler transfère la requête complète, l 'en-tête EXPECT qui provent de la requête初始值devient obsolète, ce qui entraîne l 'altération de cet en-tête par NetScaler qui l 'envoie au server。
6. 服务器à la réception de la demande ignore tout en-tête腐蚀。