Bonnes pratiques en matière de sécurité Citrix ADC MPX, VPX et SDX

Une appliance Citrix ADC MPX est un contrôleur de distribution d ' application qui accélère les sites Web，确保流量安全L4-L7, offre un Citrix Web App Firewall intégré et décharge les服务器。Une instance Citrix ADC VPX est Une appliance virtuelle qui possède toutes les fonctionnalités d 'une appliance Citrix ADC MPX, s 'exécute sur des server standard et offre Une plus grande disponibilité pour les applications Web, notamment Citrix XenDesktop et XenApp。Une appliance Citrix ADC SDX offre Une virtualization avancée pour toute la flexibilité de VPX avec les performance de MPX。À l 'aide de MPX, VPX et SDX, une enterprise peut déployer la solution multi-locataire ou flexible qui optimise votre infrastructure de mise à处置d 'applications Web en séparant les services réseau partagés à volume élevé des services spécifiques aux applications gourmands en procseur。Une appliance Citrix ADC fournit également l 'intégration transparente avec Citrix OpenCloud Access qui peut étendre le centre de données avec la puissance du cloud。

倒garantir la sécurité tout au long du cycle de vie du déploiement, Citrix推荐de prendre en compte les points suivants倒:

• 安全炸药的体格
• Sécurité des appareils
• Sécurité du réseau
• 行政及事务

Différents déploiements peuvent nécessiter différentes considérations de sécurité。Ce文件sécurité généraux为您服务à为您服务déploiement sécurisé approprié为您提供紧急服务sécurité spécifiques。

重要的是:

à partir de la version logicielle 12.1, NetScaler est renommé Citrix ADC。倒加样品资料，咨询https://www.citrix.com/about/citrix-product-guide/。

指令de déploiement

Lors du déploiement d 'un Citrix ADC, prenez en compte les meilleures pratiques de sécurité physiques et matérielles suivantes:

美丽实践en matière de sécurité体质

Déployez l 'appliance Citrix ADC dans un emplacement sécurisé

Les appliances Citrix ADC doivent être déployées dans un emplacement sécurisé avec des contrôles d 'accès physiques suffants pour protéger Les appliances contre tout accès non autorisé。Au minimum, l 'accès à la salle des serurs doit être contrôlé à l 'aide d 'un verrou, d 'un lecteur de carte électronique ou d ' aures méthodes physiques similaires。

D ' autre措施peuvent包括l 'utilisation D 'un système de surveillance électronique, par example une vidéosurveillance, pour surveillance en permanence l 'activité de la pièce。En cas d 'intrusion non autorisée, la sortie de ce système doit En informer le personnel de sécurité。S 'il y a une vidéosurveillance, les images enregistrées sont disponibles à des fins d 'audit。

Accès sécurisé au panneau avant de l 'appliance et au port de la console

L 'appliance Citrix ADC ou le server d 'hébergement VPX doit être déployé dans un rack ou une cage pouvant être verrouillé à L 'aide d 'une clé appropriée ou d ' aures méthodes physiques。Le verrouillage empêche l 'accès aux ports physiques de l 'appliance Citrix ADC ou, dans un déploiement VPX， à la console hôte de virtualization。

营养保护

L 'appliance Citrix ADC (ou le server d 'hébergement) doit être protégée par une alimentation sans interruption appropriée。En cas de panne de courant, l 'alimentation不间断的保证功能持续的应用和永久的arrêt contrôlé思杰ADC的物理和虚拟。营养的利用没有爱情的贡献également à保护控制力量的图片。

保护des clés密码

Si une protection supplémentaire est requise pour les clés cryptographiques de votre déploiement, envisagez d 'utiliser une appliance conme à la norme FIPS 140-2 Niveau 2。La板形成FIPS利用un模块de sécurité matérielle pour protéger les clés cryptographiques批评de l 'appliance contre un accès非autorisé。

Meilleure pratique de sécurité de l’appliance Citrix ADC

Mise à jour logicielle de l 'appliance

思杰推荐fortement que, avant le déploiement, les客户s ' assured que leurs appliances ont été mises à jour avec les dernières versions du microprogramme。Lorsqu 'elle est effectuée à distance, Citrix推荐aux clients d 'utiliser un protocol sécurisé， tel que SFTP ou HTTPS, pour mettre à niveau l 'appliance。

Il est également conseillé aux clients de consulter les bulletin de sécurité relatifs à leurs products Citrix。Pour plus d ' information sur les bulletins de sécurité nouveaux et mis à jour, consultez la page Web des bulletins de sécurité Citrixhttps://support.citrix.com/securitybulletins等沉思à你的题词倒恢复警报倒新公报和错误à日https://support.citrix.com/user/alerts。

Sécuriser le système d 'exploitation des servers hébergeant une appliance Citrix ADC VPX

Une appliance Citrix ADC VPX peut exécuter Une appliance virtuelle sur un server de virtualization standard ou en tant qu 'appliance virtuelle sur un SDX Citrix ADC。

En + d 'appliquer des procédures de sécurité体格normales, vous devez protéger l 'accès à l 'hôte de virtualisation avec un contrôle d 'accès basé sur les rôles et une gestion solid des mots de mots de过去。En oute, le server doit être mis à jour avec les derniers correctifs de sécurité pour le système d 'exploitation lorsqu 'ils sont disponibles, et déployer un logiciel antivirus à jour sur le serveur, le cas échéant au type de virtualisation。Les clients qui utilent la plate- formme Citrix ADC SDX pour héberger Citrix ADC VPX doivent s ' assured qu 'ils utilisent la dernière version du microprogramme pour leur SDX Citrix ADC。

Réinitialiser la gestion des lumières éteintes (LOM) Citrix ADC

Citrix推荐，先手配置le LOM pour une利用率dans un déploiement de生产，有效的d ' tuer une réinitialisation d 'usine du LOM pour餐厅les paramètres par défaut。

1. À l 'invite du shell Citrix ADC, exécutez la command suivante:

   >ipmitool raw 0x30 0x41 0x1 

   标记:L 'exécution de la command précédente rétablit les paramètres d 'usine par défaut du LOM et suprime tous les certificats SSL。在la façon de reconfigurer le port LOM, reportez-vous à la section提供获取指示Lumières du port de gestion de l 'appliance思杰ADC MPX。

2. Dans l 'interface graphique LOM, accédez à配置>证书SSLEt ajoutez UN certificate Et une clé privée。

   思杰(Citrix)推荐有效的配置和使用方式。使用de l '界面图形LOM:

   • Accedez一配置>Utilisateurs>修饰符l 'utilisateurEt modifiez le mot de pass du compte densrootsuperutilisateur。
   • Accedez一配置>Utilisateurs>修饰符l 'utilisateurEt créez des stratégies pour les utilisateurs ou liez des stratégies existantes à ceeux -ci。
   • Accedez一配置>Contrôle d 'accès IP地址>Ajouteret configurer le contrôle d 'accès IP pour autoriser l 'accès à la plage d ' address IP连接。
   • Accedez一配置>Utilisateurs>修饰符l 'utilisateur， créez UN autre compte superutilisateur et liez des stratégies à ce compte。

   根据LOM的配置，补充信息配置LOM。

维护和抑制des données持久化

Si un Citrix ADC est redéployé vers un autre环境，mis hors service ou renvoyé à Citrix sous RMA, assurez vous que les données persistantes sont correctement supprimées de l 'appliance。

Pour plus d ' information sur ce processsus, consultez la section湮灭之战données先锋使者器具ADC à Citrix。

配置委托

Sécurité du réseau

Lors du déploiement d 'une appliance Citrix ADC dans un environment de production, Citrix推荐vivement que les modification de configuration clés suivantes soient apportées:

• N 'exposez pas l '接口管理员Citrix ADC (NSIP) à Internet。
• Le certificat SSL par défaut Citrix ADC doit être remplacé。
• Le protocol HTTPS (HTTP over TLS) doit être utilisé lors de l 'accès à l 'interface graphique et l 'interface HTTP par défaut doit être désactivée。

附则附资料considérations clés，附则附修改supplémentaires recommandées。

元首considérations亲戚à la sécurité réseau

N 'exposez pas le NSIP à互联网:

Citrix推荐vived que l ' address IP de geestion Citrix ADC (NSIP) ne soit pas exposée à l 'Internet public et soit déployée derrière un pare-feu SPI (state - eful Packet Inspection) approprié。

Remplacez le certificat TLS par défaut Citrix ADC:

Lors de la configuration initiale d 'une appliance Citrix ADC, les certificates TLS par défaut sont créés。Ces certification ne sont pas destinés à être utilisés dans les déploiements de production et doivent être remplacés。

Citrix推荐aux clients de configurer l 'appliance Citrix ADC pour utiliser des certificates provenant d 'une autorité de certification (CA) réputée ou des certificates appropriés de l 'autorité de certification de votre enterprise。

Lorsqu 'il est lié à un server virtuel public, un certificat TLS valide provenant d 'une autorité de certification可认证的simplifie l 'expérience utilisateur pour les应用程序Web访问à Internet;les navigateurs Web utilisateur ne nécessitent aucune交互de l 'utilisateur lors de l '初始化d 'une通信sécurisée avec le服务器Web。Pour remplacer le certificat Citrix ADC par défaut par un certificat d 'autorité de certification approuvé， consultez l 'article CTX122521 du centre de connaances:«评论remplacer le certificate at par défaut d 'une appliance Citrix ADC par un certificate at d 'autorité de certification de confconfant au nom d 'hôte de l 'appliance。»

替代方案，最可能的de créer et d 'utiliser des certificates TLS personnalisés et des clés privées。Bien que cela puisse fournir un niveau équivalent de sécurité de la couche transport, cela nécessite que les certificats TLS soient distribués aux utilisateurs et nécessite une interaction de l ' utilisateur lors de l ' établissement de connexions au server Web。Pour plus d ' information sur la création de certificats personnalisés, consultez l 'article CTX121617 du Centre de connaissances:评论créer et installer des certificates auto-signés sur Citrix ADC Appliance。

Vous trouverez + d '信息有关的问题和配置证书TLS dan la章节«建议Citrix ADC TLS»de ce指南。

Désactivez l 'accès HTTP à l '接口管理员:

Pour protéger le traffic vers l 'interface d 'administration et l 'interface graphique Citrix ADC, l 'appliance Citrix ADC doit être configurée Pour utiliser HTTPS。Procédez comme西装:

• Créez une paire de clés privées et publies RSA 2048 bits ou plus et utilisez les clés pour HTTPS et SSH pour accéder à l ' address IP Citrix ADC, en remplaçant la paire de clés privées et publies RSA 512 bits provisionnée en usine。

• 配置设备，并使用的工具套房套房套房和修改的工具套房集合«默认»工具套房套房套房。Il est recommandé d 'utiliser la list des suites de chiffment TLS approuvées à la section 3.3 de la publication spéciale 800-52 du NIST (Révision 1). Ce document peut être consulté sur le site Web du NIST à l 'adresse suivante:https://www.nist.gov/publications/guidelines-selection-configuration-and-use-transport-layer-security-tls-implementations?pub_id=915295

• 配置l 'appliance pour utiliser l ' authentication par clé publique SSH pour accéder à l 'interface administreur。N 'utilisez pas les clés par défaut Citrix ADC。Créez et utilisez votre propre paire de clés privées et publiques RSA 2048比特。Pour plus d ' information, consultez l 'article CTX109011 du centre de connaisances:如何使用公钥身份验证确保Citrix ADC设备的SSH访问安全等la文档产品Citrix:本地系统用户的SSH密钥认证

• Une fois que Citrix ADC a été configuré pour utiliser ces nouveaux certifats, l 'accès HTTP à l 'interface de gestion de l 'interface graphique peut être désactivé à l 'aide de la command suivante:

set ns ip  -gui SECUREONLY 

Pour plus d ' information sur la configuration de l 'accès sécurisé à l 'interface graphique d 'administration, consultez l 'article CTX111531 du Centre de connaisances:使用设备的SNIP/MIP地址安全访问Citrix ADC GUI。

Autres considérations亲戚à la sécurité du réseau

Limitez l 'accès à l 'interpréteur de command VPX aux administrateurs VPX qui ne sont pas fiables pour gérer le SDX:

具体情况où il est souhaitable qu ' une autre person administrte un VPX à celui de la SVM, l ' administrter de la SVM doit créer un utilisateur administrteeur VPX qui dispose d ' un accès shell limité sur le VPX et ne fournir le compte d ' utilisateur administrteeur restrint qu ' à l ' administrateur VPX。

当然opérations peuvent nécessiter un accès shell (comme l 'administration de certificats SSL)。Toutefois, seules les personnes autorisées à管理la SVM doivent avoir accès à l 'interpréteur de命令de l 'instance VPX。Les commandes de niveau RBAC, répertoriées加上loin dans cette section, peuvent être affectées à ces comptes。ce建议适用à tous les flux de travail de gestion SVM-IP/VPX-NSIP (L2/L3) et doivent être suvies à des fins d 'audit d 'accès sécurisé。

Les étapes suivantes peuvent être utilisées pour supplier l 'accès au shell d 'un administrateur VPX。

Sécurisation d 'instances VPX存在:

1. Connectez-vous à l 'interface de ligne de command VPX en tant que superutilisateurnsroot。

   Citrix的建议是:不需要使用计算机nsrootEt de créer plutôt UN compte de superutilisateur。你在利用我nsrootCompte，确保在过去的日子里的堡垒和组成caractères spéciaux。为过去的堡垒提供信息，法官行政及事务。

   • Créez un utilisateur et une stratégie RBAC dans une instance VPX sur le système SDX。
   • Liez cet utilisateur à la stratégie。

   > add system user userabc Enter password: Confirm password: Done > bind system user userabc superuser 2 Done > add system cmdpolicy shell deny (shell) Done > bind system user userabc shell 1 Done 

   标记:丹斯cet例子，le systèmecmdpolicy(例如:nom)cmdpolicy: shell) est créé pour refuser l 'accès au shell。赛特stratégie est liée à l 'utilisateur crééuserabc) avec une priorité élevée。Le superutilisateur par défautcmdpolicyEst également lié en priorité inférieure à l 'utilisateur système。Avec cette配置，l 'utilisateur système créé dispose de stratégies RBAC de superutilisateur, mais l 'accès à l 'interpréteur de commandes est refusé。

2. 连接你的使用工具créé和影响opérations的人。
   • Vérifiez que l 'utilisateur actuel a appliqué les stratégies RBAC。
   • Exécutez toutes les commands auxquelles l 'utilisateur est autorisé。(比如,显示system cmdpolicy）
   • Exécutez la cmd shell pour vérifier que l 'accès à l 'interpréteur de命令est约束。

   Connectez-vous en tant que:userabc

   留言de bannière de pré-authentification du serveur:

   | ############################################################################# > ## | # > # | # 警告:访问这个系统仅供授权用户> # | #立即断开,如果你不是一个授权的用户!> # | # > # | ############################################################################# > ## | 年底横幅消息从服务器Keyboard-interactive验证提示服务器:|密码:年底Keyboard-interactive从服务器上登录提示:5月13日星期四从10.10.1.1 04:11:15 2021做< !——NeedCopy >

   > whoami UserName: userabc LoggedIn: "Thu May 13 04:18:50 2021" Done 

3. dan la console de ce VPX, connectez-vous en tant qu 'utilisateur et sure -vous que l 'accès au shell n 'est pas autorisé pour cet utilisateur:

   > shell ERROR: Not authorized to execute this command [shell] 

4. connect -vous en tant qu 'utilisateur admin normal (nsroot) et assurez vous que l 'accès au shell est autorisé:

   > shell版权(c) 1992-2013 FreeBSD项目。版权所有(c) 1979、1980、1983、1986、1988、1989、1991、1992、1993、1994加州大学校董会。版权所有。root@Zela-40G-10 # < !——NeedCopy >

Sécurisation d 'une nouvelle实例VPX:

1. Lorsqu 'une nouvelle实例VPX est créée à partir de l 'interface graphique SVM, créez un utilisateur instance ADMIN et désactivez la case à cocher壳牌/ SFTP / SCP访问。Lors de la désactivation de l 'accès au shell，svm_access_policy(动作否认)est explicit liée à l 'utilisateur administrateur de l 'instance spécifié。

2. Fournissez ces信息utilisateur à l 'ADMIN VPX。SDX ADMIN doit conservation mot de passnsroot行政官等不知道怎么做的人。

标记:

• 倒修饰语le mot de passnsroot， ouvrez une session sur la SVM, sélectionnez l 'instance et modifiez le mot de pass。Ne modifiez jamais le mot de passnsrootà partir de la CLI de VPX。
• 为RBAC提供信息Utilisateurs, groupes d 'utilisateurs et stratégies de command。
• Pour modifier le mot de passe de l 'appliance Citrix ADC à partir de la SVM, consultez修改器une实例Citrix ADC。
• Pour provisioning ner l 'appliance Citrix ADC avec l 'administration des instances, reportez-vous à la sectionAjouter une实例Citrix ADC。

Désactiver le transfer de port SSH:

Le transfer de port SSH n 'est pas requis par l 'appliance Citrix ADC。Si vous ne souhaitez pas utiliser cette fonctionnalité， Citrix vous recommand de la désactiver en procédant comme suit:

1. Modifiez le fichier /etc/sshd_config en ajoutant la ligne suivante。

   AllowTcpForwarding没有

2. Enregistrez le fichier et copy -le dans /nsconfig pour que les修改soient persistantes au cas où vous redémarreriez垂坠les测试。

3. Redémarrez le procsussshdà l 'aide de la command suivante:

   kill -HUP ' cat /var/run/sshd.pid的< !——NeedCopy >

Configurez l 'appliance Citrix ADC avec la haute disponibilité:

Dans les déploiements nécessitant un function continuu, les appliances Citrix ADC peuvent être déployées Dans une configuration haute disponibilité。Une telle配置永续器à功能器si l 'une de appliances cesse de function ou nécessite Une mise à niveau hors ligne。

Pour plus d ' information sur la configuration de la haute disponibilité， consultez la rubrique高级disponibilité >配置de la高级disponibilité在洛杉矶文档Citrix等如何在Citrix ADC上建立高可用性对。

配置une通信sécurisée entre les电器同义词:

Si vous avez configuré vos电器Citrix ADC dans une configuration haute disponibilité， en cluster ou GSLB, sécurisez la通信入口les电器。

倾倒sécuriser la通信入口电器，Citrix vous推荐de modifier le compte d 'utilisateur interne ou mot de passe du neure RPC, et d ' active l 'optionSecurise。Les nounuds RPC sont des entités système internes utilisées pour la communication système à système des information de configuration et de session。

Les fonctionnalités de l 'appliance Citrix ADC peuvent également utiliser une authentication basée sur une clé SSH pour la communication interne lorsque le compte d 'utilisateur interne est désactivé。Dans de tel cas, le nom de la clé doit être défini comme " ns_comm_key "。倒加d '信息，陪审员Accès à une appliance Citrix ADC à l 'aide de clés SSH et sans mot de pass。

Modifiez les mots de passe par défaut:

倒améliorer la sécurité， Citrix推荐修改器les mots de passe de l 'administrateur et du compte utilisateur interne ou du neure RPC Pour les déploiements sur site et dans le cloud。Il est conseillé de修饰语fréquemment les mots de pass。

• 行政长官:陪审员修饰语le mot de pass administreur。
• 我是说，我是说，我是说，我是说修饰语le mot de pass d 'un neure RPC。

  标记

  Citrix推荐également de désactiver le compte d 'utilisateur internet et d 'utiliser plutôt l ' authentication par clé。

配置les domaines de sécurité réseau et les VLAN:

Citrix推荐设备配置流量réseau接口设备配置ADC soit séparé，设备配置和逻辑配置流量réseau正常。La meilleure pratique recommandée consister à disposer de trois réseaux virtuels:

• VLAN Internet extérieur
• VLAN剥离
• VLAN du server internet

Citrix推荐de configurer le réseau pour intégrer le port LOM au VLAN de gestion。

Lors du déploiement d 'une appliance Citrix ADC en mode à deux bras, dédiez un port spécifique à un réseau spécifique。Si le暗光路标VLAN等la联络de两reseaux联合国港口是necessaires,你们devez你们保险公司里面的两个reseaux des掌握安全炸药identiques ou similaires。

双网网réseaux法国网网sécurité différents，法国网网être utilisé。Au lieu de cela, envisagez de consacrer un port à chque réseau spécifique et d 'utiliser des VLAN indépendants distribués sur les ports de l 'appliance。

Envisager d 'utiliser Citrix Web应用防火墙:une appliance sous licence Citrix ADC高级版fournit un pare-feu Citrix Web应用防火墙intégré qui utilise un modèle de sécurité positif et apatiquement automatiquement approprié de l 'application pour la protection contre les threates telles que l 'injection de command, l 'injection SQL et les scripts inter-site。

Lorsque vous utilisez Citrix Web应用防火墙，les utilisateurs peuvent ajouter une sécurité supplémentaire à l 'application Web无修改器代码等修改和配置。倒加d '信息，咨询Présentation de Citrix Web应用防火墙。

管制'accès有关问题的申请: Exécutez la command suivante pour restreindre la capacité des applications autres que de gestion à accéder à une appliance Citrix ADC。

set ns ip  -restrictAccess enabled 

Déploiement sécurisé du集群:si les nouluds de cluster Citrix ADC sont distribués en dehors du centre de données, Citrix推荐活动d 'utiliser un RPC sécurisé pour la messagerie de noulud à noulud (NNM)， AppNNM et la configuration de la haute disponibilité。

Pour activer la fonctionnalité Secure RPC Pour toutes les address IP Citrix ADC dans un cluster Citrix ADC et une configuration haute disponibilité， exécutez la command suivante:

设置rpcnode  -secure on 

标记: Une autre configuration peut être requise。Pour + d ' information, consultez les rubriques聚类基于站点的Citrix文档。

Lorsqu 'ils sont déployés dans un déploiement de cluster L3, les paquets entre les nouluds Citrix ADC sont échangés via un tunnel GRE non chiffré qui utilise les address NSIP des nouluds source et de destination pour le routing。Lorsque l ' échange se product sur Internet, en l ' without tunnel IPsec, les NSIP sont exposés sur Internet。Ceci n 'est pas recommandé car il ne respect pas les meilleures pratiques de sécurité pour Citrix ADC。

Citrix推荐forement aux clients d ' établir leur propre solution IPSec pour utiliser le cluster sur la fonctionnalité L3。

Si la function de transfer IP n 'est pas utilisée, utilisez la command suivante pour désactiver le mode L3:

禁用ns模式L3 

MEP Utiliser le MEP sécurisé pour l ' équilibrage de charge du serur global (GSLB):倒chiffrer le MEP entre les appliances Citrix ADC倒GSLB, exécutez la command suivante à partir du NSCLI:

set rpcNode  -secure yes 

Sécurisez le cookie de persistence d ' équilibrage de charge:

Citrix推荐de chiffrer le cookie de persistence d ' équilibrage de charge en plus du canal SSL/TLS。Pour plus d ' information sur la procédure à suivre, voir持久化cookie HTTP。

Paramètre Helloverifyrequest pour atténuer l 'attaque d 'amplification DDoS DTLS:

À partir de Citrix ADC版本12.1 build 62。X et 13.0构建79。X, le paramètrehelloverifyrequestEst activé par défaut。L’activation du paramètrehelloverifyrequestsur le profile DTLS permet d 'atténuer le risque qu 'un attaquant ou des bots淹没le débit réseau, entraînant potentiellement un épuisement de la bande passante sortante。C 'est -à-dire qu 'il aide à atténuer l 'attaque d 'amplification DDoS DTLS。

倒afficher l ' état du paramètrehelloverifyrequest， à l 'invite de l 'interface de ligne de command ADC, tapez;

show dtlsProfile 

Sécurisation du流量直通sur l 'appliance Citrix ADC à l 'aide des paramètres du模式基础设施

Les paramètres du mode d 'infrastructure Citrix Web App Firewall peuvent être utilisés pour le traffic pass-through sécurisé sur l 'appliance Citrix ADC。Ces paramètres du模式基础设施offrent un niveau de sécurité de base sans interrompre les应用程序。La liste suivante récapitule les paramètres du mode d 'infrastructure disponibles。

• 保护d ' état de session
• 会话固定保护(活动HTTP唯一)
• HSTS (active la sécurité de transport stricte HTTP (HSTS))
• 认证的强项
• SSL de bout en bout préféré (TLS 1.2 et TLS 1.1)
• 代理HTTPS/Refuser输出流量

保护état会议:

建议:Citrix ADC activé: activé par défaut pour la plupart des entités

勒的变量保护de l ' état de sessionEst activé par défaut et ne nécessite aucune配置spécifique。Lorsque l 'appliance Citrix ADC est configurée pour créer un proxy pour une connection。例如lorsque le flux sélectionne un server virtuel configuré ou un service de type TCP ou supérieur, l 'appliance Citrix ADC crée une session avec état。L ' appliance Citrix ADC continue de maintenir L ' état de ces connections et seuls les paques qui tombent dans cette machine d ' état sont traités。Les aures paquets sont abandonnés ou réinitialisés。

Les entités de type de service suivantes obtiennent ceportement avec état sur une appliance Citrix ADC。

• ADNS_TCP
• 直径、DNS_TCP
• FTP-c
• GRE-c
• HTTP
• MYSQL,该软件
• NNTP
• 甲骨文
• 推动,PPTP
• RTSP, RDP
• SIP_SSL, SIP_TCP
• SMPP
• Ssl, ssl_bridge, ssl_diameter, ssl_push
• SSL_TCP, SYSLOG_TCP
• TCP
• ADNS_TCP
• RNAT (rnat_tcpproxy est ACTIVÉ)

会话固定保护(en activant l ' indiceur HttpOnly ou en ajoutant une stratégie de réécriture):

建议:Pour active HttpOnly Pour les cookies définis par l 'appliance Citrix ADC ou le server principal
Citrix ADC: Activé par défaut pour les cookies insérés par Citrix ADC，可能通过Réécriture pour les cookies définis par le server principal。

HttpOnly:lorsque vous balisez un cookie avec l 'indicateur HttpOnly, cela indique au navigateur que ce cookie ne doit être accessible que par le server。Toute暂定d 'accès au cookie à partir du脚本客户端est严格指令。Les cookies HttpOnly, s ' ils sont correctement implémentés, rendent d ' énormes classes d ' attaques de script intersite courantes beaucoup + difficiles à tirer。

voice i un example de cookie avec l 'indicateur HttpOnly défini:

set - cookie: ASP.NET_SessionId = ig2fac55;路径= /;HttpOnly < !——NeedCopy >

Les cookies insérés par Citrix ADC pour la persistance d ' insert de Cookie, par défaut, définissez l 'indicateur HttpOnly pour inquer que le Cookie n 'est pas scriptable et ne doit pas être révélé à l 'application client。Par conséquent, le script côté client ne peut pas accéder au cookie et le client n 'est pas sensible aux scripts intersite。

Pour active le paramètre d 'indicateur HttpOnly à l 'aide de l 'interface de ligne de command:

À l 'invite de commands, tapez:

设置lb参数-HttpOnlyCookieFlag (ENABLED) 

利用德拉stratégie德réécriture倒insérer安全et HttpOnly倒les饼干:

La stratégie de réécriture insère安全et HTTP unique ement pour les cookies envoyés par le server principal。

标记: Les cookies sécurisés et HttpOnly peuvent être utilisés ensemble pour Les VIP SSL。倒les VIP非SSL，尽可能d 'insérer l ' indiceur HttpOnly。

Avec Citrix ADC, il ' est possible d 'inclure des indicatorurs HTTP unique ement et Secure pour les cookies définis par le server。

• HttpOnly - Cette option sur un cookie oblige les navigateurs Web à renvoyer le cookie en utilant le protocol HTTP (ou HTTPS)唯一性;les méthodes非HTTP telles que les références文档。cookie JavaScript ne peuvent pas accéder au cookie。Cette选项永久d 'empêcher le vol de cookies dû à des scripts intersites。
• Sécurisé - Cette option sur un cookie permet aux navigateurs Web de renvoyer unique la valeur du cookie lorsque la transmission est chiffrée par SSL。赛特选项peut être utilisée pour empêcher le vol de cookies par écoute de connexion。

倒créer une stratégie de réécriture à l 'aide de l 'interface de ligne de command:

1. Activez la function de réécriture, si elle n 'est pas déjà activée。

   启用特性REWRITE 

2. Créez une action de réécriture (cet示例est configuré pour définir à la fois les indicateurs Secure et HttpOnly)。Si l 'une ou l 'autre est manquante, modifiez-la Si nécessaire pour les aures组合)。

   添加重写动作<动作名称> replace_all http.RES。full_Header " path = /;安全的;HttpOnly" -search "regex(re!(path=/\\;安全的;HttpOnly) | (path = / \ \;安全)| (path = / \ \;HttpOnly) |(路径= /)!)”-bypassSafetyCheck YES 

   为例:

   添加重写动作act_cookie_Secure replace_all http.RES。full_Header " path = /;安全的;HttpOnly" -search "regex(re!(path=/\\;安全的;HttpOnly) | (path = / \ \;安全)| (path = / \ \;HttpOnly)|(path=/)!)”或添加重写动作act_cookie_Secure replace_all http.RES。full_Header " path = /;安全的;HttpOnly" -search "regex(re!(path=/\\;安全的; HttpOnly)|(path=/\\; Secure)|(path=/\\; HttpOnly)|(path=/)!)" -bypassSafetyCheck YES 

   标记:À partir de la版本13.1 de Citrix ADC, le paramètrebypassSafetyCheck不适用。Toutefois, pour les版本antérieures à 13.1, ce paramètre est pris en charge。

3. Créez une stratégie de réécriture pour déclencher l 'action。

   添加重写策略<策略名称> "http.RES.HEADER("Set-Cookie")<动作名称> 

   为例:

   添加重写策略rw_force_secure_cookie "http.RES.HEADER("Set-Cookie")“act_cookie_Secure 

4. Liez la stratégie de réécriture au server virtuel à sécuriser (si l’option Sécurisé est utilisée, un server virtuel SSL doit être utilisé)。

   bind lb vserver  - <策略名称> -priority <优先级编号> - gotopriorityexpression NEXT -type RESPONSE 

   为例:

   bind lb vserver mySSLVServer -policyName rw_force_secure_cookie -priority 100 -gotoPriorityExpression NEXT -type RESPONSE 

   倒加样品资料，咨询https://support.citrix.com/article/CTX138055。

HSTS (active la sécurité de transport stricte HTTP (HSTS)):

倒激活HSTS à l 'aide de la ligne de command Citrix ADC:

À l 'invite de commands, tapez:

add ssl vserver  -HSTS (ENABLED) maxage  - inclesubdomains (YES | NO) 

欧

add ssl profile  -HSTS (ENABLED) -maxage  - inclesubdomains (YES | NO) 

为你提供信息，为你提供咨询。

• 配置企业管理sécurité严格传输HTTP (HSTS)。

• https://support.citrix.com/article/CTX205221

认证优势:

L ' authentication forte (ou authentication multifacteur - MFA) doit être activée pour tous les accès aux données sensibles, aux applications et à L 'administration。

Pour plus d ' information sur la façon don ' les applications sensibles peuvent être configurées Pour l ' authentication multifactorielle, voir身份验证多因素(nFactor)。

SSL de bout en bout préféré (TLS 1.2 et TLS 1.1):

Il est recommandé d 'avoir SSL à la fois sur le前端et le后端。Les protocols SSLv3 et TLS v1.0 peuvent être désactivés sur Les entités SSL car des failles de sécurité ont été signalées。Vous ne pouvez active que TLS 1.1 et TLS 1.2。可能的话，使用唯一的TLS 1.2版本对VIP客户进行保密。Cela peut être fait au niveau de l 'entité SSL ou au niveau du profile et tout les entités SSL héritent des paramètres SSL du profile。

倒désactiver les entités SSL à l 'aide de l 'interface de ligne de command:

À l 'invite de commands, tapez:

set ssl vserver  -ssl2 DISABLED -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED set ssl service  -ssl2 DISABLED -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED 

Si le profile SSL est activé， utilisez la command suivante:

set ssl profile  -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED set ssl profile  -ssl3 DISABLED -tls1 DISABLED -tls11 DISABLED 

定制套件recommandées Citrix ADC:

Les chiffements suivants pris en charge par Citrix ADC n ' inclent aucun composant dans la liste«élimination义务»。Ces chiffements sont organisés par échange de clés (RSA, DHE et ECDHE) puis en plaçant les加上performants en haut et les加上sécuritaires en bas:

套房de chiffment d ' échange de clés RSA recommandées:

• tls1 - aes - 128 - cbc -沙
• tls1 - aes - 256 - cbc -沙
• tls1.2 sha256——aes - 128
• tls1.2 sha256——aes - 256
• TLS1.2-AES128-GCM-SHA256
• TLS1.2-AES256-GCM-SHA384

Suites de chiffire DHE Key Exchange recommandées:

• tls1——她——rsa - aes - 128 - cbc -沙
• tls1——她——rsa - aes - 256 - cbc -沙
• tls1.2 -她- rsa - aes - 128 sha256
• tls1.2 -她- rsa - aes - 256 sha256
• TLS1.2-DHE-RSA-AES128-GCM-SHA256
• TLS1.2-DHE-RSA-AES256-GCM-SHA384

套房de chiffire d ' échange de clés ECDHE recommandées:

• TLS1-ECDHE-RSA-AES128-SHA
• TLS1-ECDHE-RSA-AES256-SHA
• tls1.2 - ecdhe - rsa - aes - 128 sha256
• tls1.2 - ecdhe - rsa - aes - 256 sha384
• TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
• TLS1.2-ECDHE-RSA-AES256-GCM-SHA384

套房de chiffire dans l ' order de préférence recommandées:

La suivante de chiffences包括les échanges de clés RSA, DHE et ECDHE。Elle offre le meilleur妥协entre la sécurité， les performing et la compatibilité。

1. TLS1.2-AES128-GCM-SHA256
2. tls1.2 sha256——aes - 128
3. TLS1.2-ECDHE-RSA-AES128-GCM-SHA256
4. tls1.2 - ecdhe - rsa - aes - 128 sha256
5. TLS1-ECDHE-RSA-AES128-SHA
6. TLS1.2-DHE-RSA-AES128-GCM-SHA256
7. tls1.2 -她- rsa - aes - 128 sha256
8. tls1——她——rsa - aes - 128 - cbc -沙
9. tls1 - aes - 128 - cbc -沙

代理HTTPS/Refuser输出流量:

Dans la mesure du possible, disposez de VIP SSL pour un meilleur cryptage des données, en utilant des versions SSL sécurisées (TLSv1.1 et TLSv1.2) et des chiffements sécurisés。Le TPS SSL et Le débit SSL doivent être pris en compte lors de l 'activation du protocol SSL pour les VIP et les services SSL dorsaux。

行政及事务

赛特节fournit des示例de修改de配置spécifiques qui peuvent être appliquées pour augmenter la sécurité des电器Citrix ADC et Citrix ADC SDX。Citrix ADC dans l 'article . Vous trouverez + d ' information sur les meilleures pratiques de configurationParamètres recommandés et meilleures pratiques pour une implémentation générique d 'une appliance Citrix ADC。

Comptes système et utilisateurs

修饰语le mot de passe du compte de super utilisateur:Vous ne pouvez pas supplier le superutilisateur administreur intégré (nsroot)。Par conséquent, remplacez le mot de pass Par défaut de compte Par un mot de pass se sécurisé。倒修饰语le mot de passe par défaut de l 'utilisateur administrateur, effectuez les opérations suivantes:

1. 在配置方面，我有一个非常实用的方法。
2. 航海之旅，développez巴黎Systèmes。
3. Sélectionnez le nenorud Utilisateurs。
4. Sur la page Utilisateurs du système, sélectionnez l 'utilisateurnsroot。
5. Sélectionnez改变过去。
6. 我爱你，我爱你，我爱你，我爱你，我爱你
7. Cliquez sur OK。

Créer un autre compte de superutilisateur:Pour créer un compte de superutilisateur, exécutez les commandes suivantes:

添加系统用户 绑定系统用户超级用户0 

利用是超级利用的计算，也就是代替超级利用的计算nsrootdefaut不相上下。

Pour les déploiements Citrix ADC SDX, unadministreur doit modifier les information d 'identification par défaut Pour l 'appliance Citrix ADC SDX et sa console de geestion de l 'interface graphique après la configuration initiale。倒修饰语le mot de passe de l 'utilisateur par défaut, effectuez les opérations suivantes:

1. 在配置方面，我有一个非常实用的方法。
2. 航海之旅，développez巴黎Systèmes。
3. Sélectionnez le nenorud Utilisateurs。
4. Sur la page utilisaturs du système, sélectionnez l’utilisateur par défaut。
5. Selectionnez修饰符。
6. 我爱你，我爱你，我爱你，我爱你，我爱你
7. Cliquez sur OK。

Mot de passe fort pour l 'utilisateur du système:

思杰推荐d 'utiliser un mot de passe fort pour les comptes d 'utilisateurs du système créés dans思杰ADC。Voici des examples d 'exigences relatives à la complexité des mots de pass:

• Le mot de passe doit comporter au moins huit caractères。
• 这句话是什么意思?这句话是什么意思?
• 逝去的时光是伟大的，渺小的，不可磨灭的caractère spécial。

Les mots de pass fort peuvent être appliqués en définissant deux paramètres, l 'un pour la longueur minimale des mots de pass et l 'autre pour renforcer la complexité des mots de pass:

set system parameter -minpasswordlen  - -strongpassword (ENABLED | DISABLED) 

Dans les déploiements nécessitant plusieurs administrateurs, pensez à utiliser une méthode d ' authentication externe pour authenticentifier les utilisateurs, par举例RADIUS, TACACS+ ou LDAP (S). pour plus d ' information, consultez外部身份验证。

Verrouiller le compte d 'utilisateur du système pour l 'accès à la gestion:l’appliance Citrix ADC vous permet de verrouiller un utilisateur système pendant 24 heures et de refuser l 'accès à l’utilisateur。L 'appliance Citrix ADC prend en charge la configuration à la fois pour L 'utilisateur système et pour les utilisateurs externes。À l 'invite de commands, tapez:

set aaa parameter -persistentLoginAttempts DISABLED

维护人员，pour verrouiller un compte d 'utilisateur， à l 'invite de commands, tapez:

锁定aaa用户测试

Pour plus d ' information sur la configuration de cette fonctionnalité à l 'aide de l 'interface graphique, voir使用计算和通行问题。

Déverrouiller un compte d 'utilisateur système verrouillé pour l 'accès à la gestion:les utilisateurs système et les utilisateurs externes peuvent être verrouillés pendant 24 heures à l 'aide de la commande Verrouillage认证，自动化和审计utilisateur。L 'appliance Citrix ADC vous permet de déverrouiller L 'utilisateur système verrouillé。À l 'invite de commands, tapez:

解锁aaa用户测试Pour plus d ' information sur la configuration de cette fonctionnalité à l 'aide de l 'interface graphique, voir使用计算和通行问题。

Désactiver l 'accès à la gestion pour le compte utilisateur système:lorsque l ' authentication external configurée sur l 'appliance et qu 'en tant qu ' administreur, vous préférez refuser l 'accès aux utilisateurs du système pour qu 'ils puissent se connecter à l 'accès de gestion, vous devez désactiver l 'option LocalAuth dans le paramètre système。

备注:Le serveur externe doit être configuré。

À l 'invite de commands, tapez ce qui suit:

set system parameter localAuth .使用实例

为例:

设置系统参数localAuth DISABLEDPour plus d ' information sur la configuration de cette fonctionnalité à l 'aide de l 'interface graphique, voir使用计算和通行问题。

强制修改:倾注une认证sécuriséensroot， l 'appliance Citrix ADC invite l 'utilisateur à change le mot de passe par défaut en un nouveau si l 'optionforcePasswordChangeEst activée dans le paramètre système。你是我的改变者nsroot代理命令界面和绘图界面，loors de votre première连接信息识别界面défaut À命令界面，tapez:

set system parameter -forcePasswordChange (ENABLED | DISABLED)

倒savoir评论配置cette fonctionnalité，咨询la节使用计算和通行问题。

Accédez au Citrix ADC à l 'aide de clés SSH et sans mot de passe:dans les déploiements où il est nécessaire d ' administrrer de nombreuses appliances Citrix ADC, envisagez d 'utiliser les clés SSH et Aucun mot de passe。Pour + d ' information sur la configuration de cette fonctionnalité， consultezAccès à une appliance Citrix ADC à l 'aide de clés SSH et sans mot de pass。

Créez la clé principale du système pour la protection des données:de Citrix ADC 12.1 à Citrix ADC 13.0-71.44, il est nécessaire de créer une clé principale du système pour protéger cers paramètres de sécurité， tels que les mots de passe des comptes de service requis pour l ' authentication LDAP et l ' authentication, l 'autorisation et l 'audit des comptes utilisateurs stockés localement。

标记:à partir de la version 13.0-76.31 de Citrix et versions ultérieures, une clé principale système aléatoire est créée automatiquement par défaut lors du procsus de mise à niveau。

倒créer la clé principale du système:

1. À l 'aide de l 'interface de ligne de de command, connectez-vous en tant qu 'administrateur système。
2. Entrez la command suivante:

创建kek  

标记：

• Après l 'exécution de la command create system kek, kek est utilisé pour la plupart des crypts de mots de pass (les mots de pass des utilisateurs locaux ne sont pas chiffrés avec kek)。

• 你不知道我有多爱你。你的自由accès au shell et que vous ous de fragment de clé par error, cela peut entraîner une perte de configuration, un échec de synchronous, un échec d 'ouverture de session。Voici certain des points à noter:

  • Utilisez toujours un ancien fichier de configuration通讯员à la version en cours d 'installation lors de la rétrogradation;Sinon, l 'ouverture de session, la configuration de la source, la synchronous et le basculement peuvent échouer。
  • 如果两个des的成套片段de cle est,隐藏的漂浮物,le chiffrement / decryptage des数据明智的entraine联合国echec我们儿子旅游夹带剂一perte de配置,联合国echec de同步,联合国echec d·卢维杜尔de会话。
• La phrase de passe doit comporter au moins 8 caractères。

Utilisez les listes de contrôle d 'accès:

Par défaut, tous协议和端口，y组成l '接口图形和SSH, sont可访问的设备Citrix ADC。Les lists de contrôle d 'accès (ACL) peuvent vous辅助à gérer l 'appliance en toute sécurité en autorisant unique ement Les utilisateurs explicit spécifiés à accéder aux port et aux protocols。

建议pour contrôler l 'accès à l’appliance:

• Envisagez d 'utiliser思杰网关倒限流器l 'accès à l '设备à l '界面图形的独特性。Pour les administrateurs quentbesoin de méthodes d 'accès en + de l 'interface graphique, Citrix Gateway doit être configuré avec une liste ACL«REFUSER»par défaut Pour les ports 80,443 et 3010, mais avec un«AUTORISER»显式Pour que les address IP de confifissent accéder à ces ports。

Cette stratégie peut être étendue pour une utilisation avec la plage d 'adresses IP de confc à l 'aide de la command NSCLI suivante:

添加acl local_access allow -srcip 192.168.0.1-192.168.0.3 -destip 192.168.0.1-192.168.0.3 apply acl 

• i vous utilisez SNMP, autorisez显式流量SNMP avec ACL。命令集合的声音:

add acl snmp2-ssh ALLOW -srcip 10.0.0.1-10.0.0.20 -destp 192.168.0.2-192.168.0.3 -destp 192.168.0.2-192.168.0.3 -destport 161 -protocol udp apply acl 

举例précédent, la command fournit un accès pour toutes les requêtes SNMP aux deux sous-réseaux définis, même si les requêtes concernent la communauté correctement définie。

NSIP和SNIP的功能问题。Si cette option est activée, fournissez l 'accès aux address NSIP, SNIP, avec des ACL pour protéger l 'accès aux function de gestion。L ' administreur peut également configurer L 'appliance de telle sorte qu 'elle ne soit pas accessible avec la命令ping。

• OSPF (Open Shortest Path First) et IPSEC ne sont pas un protocol basé sur TCP ou UDP。Par conséquent, si vous avez besoin que l 'appliance prenne en charge ces protocols, autorisez explicit le traffic utilant ces protocols à l 'aide d 'une ACL。Exécutez la command suivante pour définir une ACL pour spécifier OSPF et IPSEC par numéros de protocol:

添加acl allow_ospf allow -protocolnumber 89添加acl allow_ipsec allow -protocolnumber 50 

• Si un service Web XML-API est utilisé， effectuez les tâches suivantes pour sécuriser接口API:
• Fournissez l 'autorisation à l 'hôte d 'accéder à l 'interface à l 'aide d 'une list ACL。例如，exécutez les commands suivantes pour permettre aux hôtes de la plage d ' address IP 10.0.0.1-20 et 172.16.0.1-20 d 'accéder à l 'interface XML-API:

add acl xml-api1 ALLOW -srcip 10.0.0.1-10.0.0.20 -destp 192.168.0.2-192.168.0.3 -destp 192.168.0.2-192.168.0.3 -destport 80 -protocol tcp apply acl 

• Pour appliquer des listes de contrôle d 'accès aux ports internnes, utilisez la command suivante:

set l3param -implicitACLAllow DISABLED 

标记:La valeur par défaut de La commandImplicitaClAllow美国东部时间启用。

• Pour supplier les ACL des ports internes, utilisez la command suivante:

set l3param -implicitACLAllow ENABLED 

• Vous pouvez obtenir une sécurité supplémentaire en utilant un certificate at côté client。提供证书相关信息côté客户端和认证客户端，咨询师认证客户端ou l 'article CTX214874 du centre de connaances:评论créer et utiliser des certificates clients sur l 'appliance Citrix ADC avec le microprogramme 10.1 et supérieur。

Utiliser le contrôle d 'accès basé sur les rôles pour les utilisateurs administratifs:

L 'appliance Citrix ADC comnd quatre stratégies ou rôles de command tels que L 'opérateur, la lecture seule, le réseau et le superutilisateur。pouvez également définir des stratégies de command, créer des comptes d 'administration différents pour différents rôles et affecter les stratégies de command nécessaires au rôle aux comptes。语音集合命令示例visant à restreindre l 'accès en lecture seule à l 'utilisateur en lecture seule:

添加系统用户readonlyuser绑定系统用户readonlyuser read-only 0 

倾倒附加信息根据la配置des utilisateurs, des groupes d 'utilisateurs ou des stratégies de command, consultez la sectionUtilisateurs, groupes d 'utilisateurs et stratégies de command。

配置le délai d 'expiration de la session système:

unintervalle d 'expiration de session est fourni pour limiter la durée pendant laquelle une session (interface graphique, CLI ou API) reste active lorsqu 'elle n 'est pas utilisée。Pour l 'appliance Citrix ADC, le délai d 'expiration de la session système peut être configuré aux niveaux suivants:

• Délai d 'expiration au niveau utilisateur。适用à l 'utilisateur spécifique。

界面图形:accédez à和>政府desutilisateurs > utilisateurs， sélectionnez UN utilisateur et modifiez le paramètre de délai d 'expiration de l 'utilisateur。CLI: À l 'invite de commands, entrez la command suivante:

设置系统用户 -timeout  

• Délai d 'expiration de niveau groupe d 'utilisateurs。适用à tous les utilisateurs du groupe。

界面图形:accédez à和>使用管理>的小组， sélectionnez UN groupe et modifiez le paramètre de délai d’expiration du groupe。CLI: À l 'invite de commands, entrez la command suivante:

set system group  -timeout  

• Délai d 'expiration du système global。适用à使用单位和使用单位的团体délai过期configuré。

界面图形:accédez à和>产品的， cliquez surDéfinir les paramètres système globaux， puis définissez le paramètre Délai d 'inactivité du客户端(secondes) ANY。CLI: À l 'invite de commands, entrez la command suivante:

设置系统参数-timeout  

La valeur de délai d 'expiration spécifiée pour un utilisateur a La priorité La + élevée。Si le délai d 'expiration n 'est pas configuré pour l 'utilisateur, le délai configuré pour un groupe member est pris en compte。Si le délai d 'expiration n 'est pas spécifié pour un groupe (ou Si l 'utilisateur n '表观pas à un groupe)， la valeur de délai d 'expiration configurée全球最大的企业。Si le délai d 'expiration n 'est configuré à aucun niveau, la valeur par défaut de 900 second est définie comme délai d 'expiration de la session système。

你的钱également重新估价délai到期时的估价délai到期时的估价être configurée au-delà到期时的估价délai到期时的估价configurée管理员。Vous pouvez limited la valeur du délai d 'expiration entre 5分钟et 1日。Pour restreindre la valeur du délai过期:

• 界面图形:accédez à和>产品的， cliquez surDéfinir les paramètres système globauxet sélectionnez le champ Délai d 'expiration约束。
• CLI: À l 'invite de commands, entrez la command suivante:

set system parameter -restrictedtimeout  

Une fois que l 'utilisateur a activé le paramètre RestrictedTimeout, et si la valeur du délai d 'expiration est déjà configurée sur Une valeur supérieure à 1 jour ou inférieure à 5分钟，l 'utilisateur est invité à modifier la valeur du délai d 'expiration。Si l 'utilisateur ne modifie pas la valeur du délai d 'expiration, par défaut, la valeur du délai d 'expiration sera reconfigurée à 900秒(15分钟)loors du prochain redémarrage。

Vous pouvez également spécifier des durées d 'expiration pour chacune des interfaces auxquelles Vous accédez。Toutefois, la valeur de délai d 'expiration spécifiée pour une interface spécifique est limitée à la valeur de délai d 'expiration configurée pour l 'utilisateur qui accède à l 'interface。例如，considérez qu 'un utilisateurpublicadminA une valeur de délai d ' attenente de 20分钟。Désormais, lors de l 'accès à une interface, l 'utilisateur doit spécifier la valeur du délai d 'expiration qui se situe dans les 20分钟。

倒配置la durée du délai d 'expiration à查询接口:

• CLI: spécifiez la valeur du délai d 'expiration sur l 'invite de command à l 'aide de la command suivante:

设置命令行模式-timeout  

• API: spécifiez la valeur du délai d 'expiration dans la charge utitile de connection。

新闻及监察

配置临时协议réseau

Citrix推荐le Protocol NTP(网络时间协议)soit activé sur l 'appliance et configuré pour utiliser un server de temps réseau approuvé。L 'activation du protocol NTP garantit que les heures enregistrées pour les entrées de journal et les événements système sont précises et synchronisées avec les aures resources réseau。

Lors de la configuration de NTP, le fichier NTP .conf doit être modifié pour empêcher le server NTP de泄露信息contengues dans des paquets sensibles。

Vous pouvez exécuter les commandes suivantes pour configurer NTP sur l 'appliance:

add ntp server  10 enable ntp sync 

修改NTP .conf pour chque server NTP approuvé que vous ajoutez。Il doit y avoir une entrée de restriction correspondence dante pour chque entrée de servur。Vous pouvez localiser le fichier ntp.conf en exécutant la command找到。- name ntp.confà partir de l 'invite de commands de l 'appliance。

配置SNMP

L’appliance Citrix ADC prend en charge version 3 du protocol SNMP。Le SNMPv3 intègre des fonctionnalités d’administration et de sécurité telles que l’authentication, Le contrôle d 'accès et les contrôles d 'intégrité des données。倒加d '信息，陪审员Configuration de Citrix ADC pour les requêtes SNMPv3。

标记:

Citrix vous建议使用SNMPv3代替SNMPv1和SNMPv2。

Si vous ne configurez pas au moins un gestionnaire SNMP, l 'appliance accept les requêtes SNMP de touttes les address IP du réseau et y répond。Exécutez la command suivante pour ajouter un gestionnaire SNMP et restreindre ce transport:

add snmp manager  

Dans les déploiements où SNMP n 'est pas requis, la fonctionnalité doit être désactivée à l 'aide de la command suivante:

set ns ip  -snmp disabled 

配置la journalization sur un hôte de journal Citrix ADC externe

Citrix ADC审计服务器enregistre tous les états et information d ' état collectées par différents modules dans le noyau et dans les démons de niveau utilisateur。永久审计服务器à历史审计管理员événements时间顺序。审计服务类似服务器SYSLOG设备日志收集。Le serur d 'audit利用les information d 'identification de l 'administrateur pour récupérer les journaux d 'un ou plusieurs dispositifs。

• 配置服务器审计本地

Exécutez la command suivante pour configure la journalisation sur le server d 'audit local dans l 'appliance Citrix ADC:> set audit nslogparams -serverip -serverport

• Configuration du server d 'audit à distance

倒配置文件，审计文件，安装文件，审计文件。审计服务选项示例语音:

./audserver -帮助使用:audserver -[cmds] [cmd参数]cmds cmd参数:-f  -d debug -help - detail help -start - cmd参数，[启动审计服务器]-stop -停止审计服务器-verify - cmd参数[验证配置文件]-addns - cmd参数[在conf文件中添加netscaler] -version -打印版本信息

Cela permet de consigner uniquement les messages d 'audit générés par le fichier ns.log de l 'appliance。Pour委托人tous les messages syslog, effectuez les opérations suivantes:

1. suprimez les spécifications du fichier journal du fichier /nsconfig/syslog.conf倾倒安装locale。

2. Remplacez les spécifications du fichier journal par le nom d 'hôte du journal ou l ' address IP de l 'hôte Syslog遥远的，相似的aux entrées suivantes:

   local0。＊@10.100.3.53

   local1。＊@10.100.3.53

3. 配置服务器Syslog倒接收les entrées de journal des fonctionnalités de journalisation précédentes。倒加信息，咨询la documentation du server Syslog。
4. Pour la plupart des sever basés sur UNIX utilant le logiciel Syslog standard, vous devez ajouter une entrée de configuration locale Pour les messages et les fichiers nsvpn.log au fichier de configuration Syslog .conf。安装价值管理通信configurées关于服装。
5. Par défaut, le server Syslog distance de tout ordinateur basé sur Unix n ' écoute pas les journaux distants。Par conséquent, exécutez la command suivante pour démarrer le server syslog distance:

Syslogd -m 0 -r 

标记: Consultez les options équivalentes de la variante Syslog déployée sur le server d 'audit。

配置LOM

Citrix推荐产品sécuriser l’interface LOM:

• N 'exposez pas le port LOM à互联网。
• Déployez le LOM derrière un par -feu SPI。
• Déployez le LOM sur un segment de réseau séparé loggiquement (VLAN séparé) ou physiquement (LAN séparé) d 'un traffic réseau non - tible。
• Définissez différents noms d 'utilisateur, mot de pass, certificat SSL et valeurs de clé SSL pour les ports de gestion LOM et Citrix ADC。
• 保证请求périphériques utilisés pour accéder à接口请求LOM sont排除dédiés à la gestion du réseau et placés sur un segment de réseau gsurevous quounve dans le même LAN类型ou VLAN请求端口请求配置请求。
• Pour identifier et isoler facilement les address IP LOM, réservez des address IP spéciales (sous-réseaux privés) Pour les interfaces de gestion et les servers de gestion LOM。N 'utilisez pas de sous-réseaux IP réservés avec les interfaces LAN des appliances gérées。地址地址IP动态attribuées DHCP地址recommandées，地址地址contrôle d 'accès地址地址basées地址地址MAC地址段局域网。
• Définissez le mot de passe pour un minimum de 8 caractères, avec une combinison de caractères alphanumériques et spéciaux。Changez fréquemment le mot de passe。

应用程序及服务

配置l 'appliance Citrix ADC倾倒供应商欧仪表'en-tête de mise à niveau

Un nouveau paramètre PassProtocolUpgrade est ajouté au profile HTTP pour empêcher les attack sur les serveurs principaux。En function de l ' état de ce paramètre, l 'en-tête de mise à niveau est transmis danans la demand envoyée au后端ou supprimé avant l ' envoi de la demand。

• Si le paramètre PassProtocolUpgrade est activé， l 'en-tête de mise à niveau est transmission au后端。Le servur accept la demand de mise à niveau et l 'informe dans sa réponse。
• Si ce paramètre est désactivé， l 'en-tête de mise à niveau est supprimé et la demande restante est envoyée au backend。

Le paramètre PassProtocolUpgrade est ajouté aux profils suivants。

• Nshttp_default_profile - activé par défaut
• Nshttp_default_strict_validation - désactivé par défaut
• Nshttp_default_internal_apps - désactivé par défaut
• Nshttp_default_http_quic_profile: activé par défaut

Citrix vous推荐de désactiver le paramètre PassProtocolUpgrade。

Définissez le paramètre PassProtocolUpgrade à l 'aide de l 'interface de ligne de command:

À l 'invite de commands, tapez ce qui suit:

set ns httpProfile [-passProtocolUpgrade (ENABLED | DISABLED)]

Définissez le paramètre PassProtocolUpgrade à l 'aide de l 'interface graphique:

1. Accedez一Système ->配置文件->配置文件HTTP。
2. Créez ou modifiez un profile HTTP。
3. Cochez la case传递信息à协议。

配置Citrix ADC倾倒供应商要求HTTP无效

Citrix推荐vivement que l 'appliance Citrix ADC soit configurée avec une vérification et une application strictes des demandes HTTP afin d 'empêcher les demandes HTTP invalid de transiter par des server virtuels。Cela peut être fait en liant un profile HTTP intégré，nshttp_default_strict_validation， à UN ou plusieurs serurs virtuels à巴黎国际酒店酒店:

show ns httpProfile(显示可用的http配置文件(默认+用户配置的配置文件))set lb vserver  -httpProfileName nshttp_default_strict_validation 

思杰(Citrix)建议aux clients qui utilisent cette option de tester les modians un environment intermédiaire avant de le mettre en production。

La保护控制攻击de désynchronisation HTTP est activée par défaut sur le profile de validation HTTP strict (nshttp_default_strict_validation)。Utilisez le profile严格pour toutes les entités face au客户。

提供与攻击有关的信息requêtes HTTP et leur atténuation，咨询文章支持Citrix ADC - HTTP请求走私参考指南。

配置保护控制攻击déni de service HTTP

Le microprogramme de l 'appliance Citrix ADC prend en charge des contre-措施limitées contre les攻击par déni de service HTTP, y包含les攻击类型«lecture lente»。Vous pouvez configururer ces fonctionnalités à实用的助手nsapimgrà partir de l 'invite shell de l 'appliance:

• Small_window_threshold (value par défaut = 1)
• Small_window_idle_timeout (par défaut = 7 s)
• Small_window_cleanthresh (value par défaut = 100)
• Small_window_protection (par défaut = activé)

Les paramètres par défaut sont adéquats pour empêcher Les攻击par déni de service HTTP, y组成Les攻击à lecture lente。Toutefois, un certain réglage des paramètres peut être nécessaire pour d 'autres attacks。

Pour vous protéger contre de telles攻击，ajustez la propriétésmall_window_thresholdVers le haut à l 'aide de la commandernsapimgrSuivante à partir de l 'invite de commands de l 'appliance:

$ nsapimgr -ys small_window_threshold=<期望值>

标记: La valeur souhaitéesmall_window_thresholdPeut être définie en function du modèle de traffic entrant dans le déploiement。La plage可接受est包括entre 0 et 2 ^ 32。

Vous pouvez vérifier la protection contre les attack par déni de service HTTP en surveillance les computers suivants à l 'aide de la commandnsconfig -d statsà partir de l 'invite du shell de l 'appliance:

• nstcp_cur_zero_win_pcbs: Ce computer suit le nombre de PCB don la valeur Window est failure。
• nstcp_err_conndrop_at_pass: Ce compteur est incrémenté lorsque l 'appliance détecte que, lors du passage de paquets d 'un côté à l 'autre, il a dépassé la valeur nscfg_small_window_idletimeout。
• nstcp_err_conndrop_at_retx: Ce compteur est incrémenté lorsque le temps qui ' écoule pendant la retransmission dépasse la valeur nscfg_small_window_idletimeout。
• nstcp_cur_pcbs_probed_withKA: Ce computer suit le nombre de PCB dans la file d 'attente de surtension qui sont sondés avec une sonde KA。

思杰(Citrix)建议aux clients qui utilisent cette option de tester les modians un environment intermédiaire avant de le mettre en production。

配置Citrix ADC pour vous protéger contre les攻击侵占'identité TCP

Les command suivantes peuvent être utilisées pour protéger Les serveurs principaux contre Les attack d d 'identité TCP:

set ns tcpProfile profile1 -rstWindowAttenuate ENABLED -spoofSynDrop ENABLED Done set lbvserver lvvserver1 -tcpProfileName profile1 Done 

思杰(Citrix)建议aux clients qui utilisent cette option de tester les modians un environment intermédiaire avant de le mettre en production。

配置Citrix ADC pour accepter des en-têtes HTTP spécifiques

最大可能的配置器l 'appliance Citrix ADC pour qu 'elle n ' accept que des en-têtes HTTP spécifiques。Cela peut être réalisé en ajoutant une action de réécriture pour empêcher le traffic réseau avec des en-têtes HTTP spécifiques et définis d’être transmis au server principal。

L 'action de réécriture global suivante envoie unique ement le流量réseau avec des en-têtes tels que主机，接受和测试au服务器:

添加重写action act1 replace_all q/HTTP.REQ.FULL_HEADER.after_str("\r\n")/ q{TARGET.REGEX_SELECT(re/(iu)^(Host|Accept|test):.*\r\n/) ALT ""} -pattern q{re/(U).+:。+r\n/}添加重写策略pol1 HTTP.REQ。IS_VALID act1绑定重写全局pol1 100 

配置la通知de发酵

Une notification de fermeture est un message sécurisé qui indique la fin de la transmission de données SSL。Conformément à la RFC 5246:客户端和服务端共同合作，共同努力，共同努力éviter攻击，共同努力。chque party peut initier l ' échange de messages de clôture。chque party peut initier une clôture en envoyant une alerte close_notify。留言données reçues après une alert de发霉颂ignorées, sauf si une autre alert fatale été传送，chque党doit使者une alert close_notify先头发霉颂côté écriture de la连接。Pour vous保险que les événements d 'audit sont capturés Pour les événements d 'arrêt TLS, connectez-vous à l 'interface de ligne de command en tant que superutilisateur ou administreur système et exécutez les command suivantes:

设置ssl参数-sendCloseNotify保存ns配置

接口graphque de gestion sécurisée, API NITRO等通信RPC

倒sécuriser l 'interface graphique de gestion, l 'API NITRO et la通信RPC sur les appliances Citrix ADC et Citrix Gateway, le paramètremaxclientForHttpdInternalServiceEst ajouté aux电器。赛特选项est désactivée par défaut。Vous devez active le paramètre pour sécuriser l 'interface graphique de gestion, l 'API NITRO et la通信RPC。

Il est également recommandé de définirmaxclientForHttpdInternalServicepour corresponre à la valeur MaxClients dans /etc/httpd.conf à l 'aide de la command Shell suivante。La valeur par défaut de MaxClients est 30。

nsapimgr_wr.sh -ys maxclientForHttpdInternalService= 

倒加d '信息sur la définition de lamaxclientForHttpdInternalServicevaleur et les versions de Citrix ADC qui prennent en charge ce paramètre, consultezhttps://support.citrix.com/article/CTX331588。

建议de sécurité DNSSEC

思杰(Citrix) DNSSEC客户推荐:

利用RSA 1024位ou加倒les clés privées KSK/ZSK

Le NIST推荐aux administrateurs DNS de conserver les zsk RSA/SHA-1 ou RSA/SHA-256 à 1024 bits jusqu 'au 1er october 2015。

激活警报SNMP超时clé DNSSEC

Par défaut, l ' alarm SNMP pour l 'expiration de la clé DNSSEC est activée sur une appliance Citrix ADC。La notification d 'expiration de La clé est envoyée via une interruption SNMP appelée DNSKeyExpiration。三变量MIBdnskeyName,等。dnskeyUnitsOfExpiry， sont envoyées avec l 'interruption SNMPdnskeyExpiry。倒加d '信息，咨询Citrix ADC SNMP OID参考。

Retournez les clés privées KSK/ZSK提前到期证书x.509

Sur une appliance Citrix ADC, vous pouvez utiliser les méthodes de pré-publication et de双签名pour effectuer un survol de la clé de signature de zone et de la clé de signature de clé。Pour + d ' information, consultez la rubrique域名系统>配置DNSSECdans Citrix Docs。

服务器ADNS DNSSEC sécurisé

Si l 'appliance est configurée en mode proxy DNSSEC, elle met en cache les réponses du server ADNS principal et transmet les réponses mises en cache aux clients DNS。

Lorsque l 'appliance Citrix ADC fait autorité pour une zone donnée, tous les enregistrires de resources de la zone sont configurés sur Citrix ADC。Pour signer la zone faisant autorité， vous devez créer les clés (la clé de signature de zone et la clé de signature de clé) Pour la zone, ajouter les clés à l’adc, puis signer la zone

倒配置Citrix ADC en tant que server faisant autorité， effectuez les opérations suivantes:

1. Ajoutez un service ADNS。

   举例:

   添加服务s1  adns 53 ' 

2. Créez des clés DNS。

   例如，pour agir en tant que servur officiel pour le domainecom：

   create dns key -zoneName com -keytype ksK -algorithm rsASHA512 -keysize 3000 -fileNamePrefix com. ksK .rsasha1.3000——NeedCopy >

   备注:Vous devez créer les clés DNS une seule fois et elles sont enregistrées dans /nsconfig/ DNS。

3. Ajoutez des clés DNS。

   比如,

   添加DNS密钥com.zsk。3000 / nsconfig / dns / com.zsk.rsasha1.3000。键/ nsconfig / dns / com.zsk.rsasha1.3000。私有添加DNS密钥com.ksk。3000 / nsconfig / dns / com.ksk.rsasha1.3000。键/ nsconfig / dns / com.ksk.rsasha1.3000。私人< !——NeedCopy >

4. Ajoutez des注册NS et SOA pour lacomZone, puis signez la Zone。

   add dns soaRec com -originServer n1.com -contact citrix add dns nsrec com n1.com add dns zone com -proxyMode no add dns addRec n1.com 1.1.1.1 sign dns zone com 

标记: En oute, vous devez également activer le paramètre Extension DNSEC dans les paramètres globaux DNS。

提供思杰ADC的配置信息autorité，咨询公司Système de names de domain > Configuration de Citrix ADC en tant que server ADNSdans Citrix Docs。

配置heritee

配置Citrix ADC pour désactiver la重定向SSLv2

Si vous activez la fonctionnalité de重定向SSL v2通过设备Citrix ADC, l ' appliance effecl ' établissement de连接SSL et重定向le客户端vers l ' url configurée。Si cette fonctionnalité est désactivée, l ' appliance拒绝d ' effectuer le procsus d ' établissement de liaison SSL avec des clients SSL v2。

Exécutez la command suivante pour désactiver la重定向SSLv2:

set ssl vserver  -sslv2redirect DISABLED -cipherredirect DISABLED 

配置Citrix ADC倒empêcher la renégociation SSL非sécurisée

Exécutez la command suivante pour désactiver la renégociation SSL:

设置ssl参数-denySSLReneg ALL 

La command suivante permet de renégocier uniquement les clients et les servers sécurisés:

设置ssl参数- denysslreg NONSECURE 

倒加d '信息，咨询评论配置和利用le paramètre -DenySSLReneg。

配置la vérification du certificat de conformité NDCPP

La vérification du certificat de conformité NDCPP s 'applique lorsque l 'appliance agit sur un client (connexion dorsale)。Lors de la vérification du certificat, ignorez le nom commun si le SAN est présent dans le certificat SSL。

À l 'invite de commandes, tapez les commandes suivantes pour configurer l ' attrtribut«NDCPPComplianceCertCheck»dans le paramètre SSL:

ssl参数设置(-quantumSize < quantumSize >] [-crlMemorySizeMB < positive_integer >] [-strictCAChecks(是的|不)][-sslTriggerTimeout < positive_integer >] [-sendCloseNotify(是的|不)][-encryptTriggerPktCount < positive_integer >] [-denySSLReneg < denySSLReneg >] [-insertionEncoding (Unicode | utf - 8)] [-ocspCacheSize < positive_integer >] [- pushFlag < positive_integer >] [- dropReqWithNoHostHeader(是的|不)][-pushEncTriggerTimeout < positive_integer >] [-ndcppComplianceCertCheck(是的|不)][-heterogeneousSSLHW (ENABLED | DISABLED)] 

为例:

set ssl parameter - quantimsize 8 -crlMemorySizeMB 256 - strictachchecks no -ssltriggerTimeout 100 -sendClosenotify no -encryptTriggerPktCount 45 - denysslreg NONSECURE -insertionEncoding unicode -ocspCacheSize 10 -pushFlag 3 -dropReqWithNoHostHeader YES -pushEncTriggerTimeout 100 ms -ndcppComplianceCertCheck YES 

建议密码学Citrix ADC

赛特节détaille ceres étapes clés à suivre pour garantir que le matériel cryptographique est correcement sécurisé sur l 'appliance Citrix ADC。Il fournit également de information sur la façon de configure les appliances pour qu 'elles utilisisce matériel afin de protéger à la fois l 'appliance elle-même, les serurs principaux et les utilisateurs finaux。

Gestion des certificates et des clés TLS

配置des suites de chiffdemand TLS pour les déploiements NDCPP

Les suites de chiffire TLS suivantes sont prises en charge pour Les déploiements NDCPP。

• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  根据MPX-14000 FIPS提交验货单，咨询https://docs.citrix.com/en-us/citrix-adc/downloads/cipher-support-on-a-citrix-mpx-sdx-14000-fips-appliance.pdf。

Pour vous assured que seules les suites de chiffment approuvées sont configurées sur l 'appliance, effectuez les étapes de configuration suivantes à partir de l 'interface de ligne de命令:

1. Délier我们的服务是虚拟的

   解除ssl与v1的绑定——NeedCopy >

2. TLS1-AES-256-CBC-SHA puis TLS1-AES-128-CBC-SHA avec la command:

   绑定ssl vs v1 - aes -256- cbc - sha 

安装de certificates et de paraires de clés en utilant une autorité de certification approuvée:

Pour obtenir un certificate auprès d 'une autorité de certification (CA) publique ou d ' enterprise, vous devez d 'abord générer une clé privée et une demand de signature de certificate (CSR)。Procédez comme西装:

1. Authentifiez-vous auprès de l 'interface de ligne de Citrix ADC en tant qu ' administreur système ou superutilisateur。

2. Créez une clé privée RSA。

   create fipsKey m1 -密钥类型RSA -模量2048 -指数F4 

3. Créez la demande de signature de certificate (CSR):

   create certreq csr_1 -fipsKeyName m1 -countryName IN -stateName BA -organizationName citrix 

4. Soumettez le CSR à l 'autorité de认证。

Pour la plupart des autorités de certification commerciales et d 'entreprise, le CSR est envoyé par e-mail。Toutefois, la méthode de soumission peut varier selon les environmental d 'autorité de certification d ' enterprise。L 'autorité de certification renvoie un certificate at validity par e-mail, mai is cela peut également vary selon les autorités de certification d ' enterprise。Après avoir reçu le certificate de l 'autorité de certification, copy -le en toute sécurité dans le répertoire /nsconfig/ssl。

connect -vous en tant que superutilisateur ou administrateur système et exécutez la command suivante à partir de l 'interface de ligne de command:>添加ssl certKey ck_1 -cert cert1_1 -fipsKey m1

Citrix ADC-FIPS的建议

配置德Citrix ADC SDX dans un déploiement basé sur FIPS

Si vous êtes unclient FIPS existant et que vous utilisez une appliance Citrix ADC SDX pour une véritable mutualisation, utilisez l 'appliance Citrix ADC MPX certifiée FIPS pour mettre fin au protocol TLS et transférer le流量vers l 'appliance Citrix ADC SDX。Il est également Thales可能的HSM外部应用。Modifiez les mots de passe de la carte crypto FIPS lors de l ' use d 'une version certifiée FIPS de Citrix ADC avec un module de sécurité matérielle (HSM)， Modifiez le responsable de la sécurité (SO) par défaut et définissez un nouveau mot de passe utilisateur comme suit。Si vous ne connaissez pas le mot de pass SO par défaut d 'une appliance Citrix ADC兼容FIPS，联系支持技术Citrix。备注:Seul un super utilisateur ou un sysadmin peut effectuer cette tâche。

set ssl fips -initHSM Level-2    [-hsmLabel ] save configuration initHSM 

尼沃初始化FIPS。机械传动装置2 (FIPS 140-2)。Il s 'agit d 'un argument obligation(义务)。可能的价值:尼沃2

hsmLabel

Étiquette pour identifier le module de sécurité matériel (HSM)。

最大长度:31

标记: Toutes les données de la carte FIPS sont effacées avec la command précédente。

Stockez le mot de pass HSM dans un emplacement sécurisé

Le mot de passe du HSM doit être stocké dans un emplacement sécurisé conformément aux procédures opérationnelles de votre enterprise。

标记: Le HSM est verrouillé après三个试探性的连接。Lorsqu 'il est verrouillé， il devient non opérationnel et vous ne pouvez pas modifier sa配置。

其他的特性

Cette节fournit des示例de修改de配置qui peuvent être appliquées à la fois au Citrix Web App Firewall et à Citrix Gateway pour améliorer la sécurité des appliances déployées et des information sur la création de plusieurs niveaux ou de sécurité。Cette section continental également des information sur les détails de configuration lors de l ' utilization de Citrix ADC ou de Citrix Gateway en tant que SP SAML ou SAML IdP ou les deux。

建议de sécurité Citrix Web应用防火墙

• Pour les contrôles de conformité RFC, il est recommandé de conserver«APPFW_RFC_BLOCK»comme valeur par défautrfcprofile倒le剖面WAF。

• WAF装料插入Samesited 'une价值d ' attribute de cookie et le cookie peut être limité au contexte du même site ou intersite en sélectionnant des价值«严格»ou«宽松»。

Déployer l 'appliance en mode à deux bras

Avec une安装方式à deux bras, l 'appliance se trouve physiquement entre les utilisateurs et les servers Web qu 'elle protège。“连接”胜过“衣服”。Cet安排réduit les opportunities de trouver un itinéraire autour de l 'appareil。

Utiliser une stratégie«拒绝par défaut»

Citrix推荐管理员配置Citrix Web应用防火墙stratégie de refus de tous au niveau global pour bloquer toutes les demands qune通讯员à une stratégie Citrix Web应用防火墙。关于配置命令的语音示例stratégie关于拒绝使用的命令:

add appfw profile default_deny_profile -defaults advanced add appfw policy default_deny_policy true default_deny_profile bind appfw global default_deny_policy  

标记: le paramètre优先级Doit s ' assureque la stratégie par défaut est évaluée en dernier (unique ement si la demande ne对应à aucune autre stratégie configurée)。

Le logiciel Citrix ADC包括des profils par défaut, tels que appfw_block, qui, lorsqu 'ils sont configurés, bloquent les demandes qui ne correspondent pas aux stratégies Citrix Web App Firewall。Exécutez la command suivante pour définir le profile par défaut:

set appfw settings appfw_block 

Citrix Web应用防火墙- Création de plusieurs niveaux de sécurité

客户服务指导à créer企业环境及应用服务sécurité企业环境及应用服务。

配置une value différente pour le paramètreSessionCookieNamedan chque niveau。

set appfw settings -sessionCookieName "citrix_ns_id_1" 

尼沃总理sécurité

倒créer le premier niveau de sécurité， effectuez les opérations suivantes:

• Activez le débordement de la mémoire卫生棉条，l 'injection SQL et les脚本intersite。
• L 'URL de démarrage est nécessaire lorsque L 'application est particulière sur laquelle les URL doivent être consultées et doivent se protéger contre la navigation forcée。
• Activez les contrôles de format de champ si votre application attend des entrées dans un champ de formulaire。

La vérification de script intersite peut générer des faux positifs, car de nombreuses enterprise disposent d 'une importante base installée de contenu Web amélioré par JavaScript qui enfreint La même règle d 'origine。Si vous activez la vérification de脚本站点间HTML sur un tel site, vous devez générer les exceptions appropriées afin que la vérification ne bloque pas les activités légitimes。

Déployez尼沃总理，我们的假正，déployez例外，我们的尼沃夫人。改革改革措施gérer le déploiement AppFW。

Deuxième niveau de sécurité

倒créer le deuxième niveau de sécurité， effectuez les opérations suivantes:

Activez les签名sur le profile en plus du débordement de la mémoire卫生棉条，de l 'injection SQL et des scripts intersite。加上1300个签名。Essayez d 'activer unique les signatures applied à la protection de votre application, plutôt que d 'activer toutes les règles de signature。

Déployez le deuxième妮沃，回忆起那些虚假的事实，déployez例外，我们都爱妮沃。Une mise en euuvre progressive permet de gérer le déploiement de Citrix Web App Firewall。

Troisième niveau de sécurité

倒créer le troisième niveau de sécurité， effectuez les opérations suivantes:

• En function des besoins de l 'application, activez les contrôles de sécurité avancés du profiltels que le balisage CSRF, la cohérence des cookies。Cohérence关于各方适用的公式冠军。
• Les contrôles de sécurité avancés nécessitent un tritement加上重要et peuvent影响Les performance。À monins que votre application n 'ait besoin d 'une sécurité avancée, vous pouvez commencer par UN configuration de base et resserer la sécurité selon les besoin de votre application。

Les contrôles de sécurité désactivés dans le profile de base de Citrix Web应用程序防火墙功能réponse HTTP。Par conséquent, ces contrôles de sécurité nécessitent davantage de resources。Lorsque Citrix Web应用程序防火墙有效保护côté réponse, il doit se纪念品信息envoyées à chque客户端个人。举例，si un formulaire est protégé Par Citrix Web App Firewall, les信息de champ de formulaire envoyées dans la réponse sont conservées en mémoire。Lorsque le客户soumet le formulaire dans la demand suivante, il est vérifié pour détecter les incohérences avant que les information ne soient envoyées au server Web。Ce concept est désigné sous le nom de sessionisation。Les contrôles de sécurité tels que l '信封URL dans l 'URL de démarrage, la cohérence des cookies, la cohérence des champs de formulaire et le marquage des formulaires CSRF impliquent tous la sessionization。La quantité de资源CPU et mémoire utilisées par ces contrôles de sécurité augmente de façon linéaire avec le nombre de requêtes envoyées通过Citrix Web应用防火墙。举例:

• 活跃le contrôle de cohérence des方程式冠军:Cette vérification est requise pour vérifier si les formulaires Web n 'ont pas été modifiés de manière inappropriée par le客户端。Une application qui diffuse et héberge des information critique dans des formulaires doit faire l 'objet d 'une vérification。

• Vérification du balisage des formulaires CSRF: Cette vérification concern les formulaires。La vérification de balisage de formulaire CSRF(伪造de requête inter-site) balise chque formulaire Web envoyé par un site Web protégé aux utilisateurs avec un FormID unique et imprévisible, puis检查les formulaires Web renvoyés par les utilisateurs pour s ' assureque le formulaire fourni est correct。Cette vérification protège contre les attaques par伪造de requêtes intersites。赛特vérification doit être activée si l 'application possède des formulaires Web。Cette vérification nécessite关系peu de capacité de traitement du procseur par rapport à确定性aures contrôles de sécurité qui analysent en profondeur les formulaires Web。Il est donc capable de gérer des攻击de volume élevé sans dégrader gravement les performance du site Web protégé ou du Citrix Web App Firewall lui-même。

Étapes du workflow Citrix Web应用防火墙

Le diagramme suivant illustration les étapes Citrix Web应用程序防火墙:

Voici les étapes de haut niveau impliquées dans le flux de travail Citrix Web App Firewall:

1. 配置文件sécurité。
2. Appliquez des signature pour toutes les threats connues - le modèle négatif。
3. 配置des stratégies de流量容量de détecter le流量de流量approprié pour leel ce profile de sécurité doit être activé。

Vous êtes prêt à ce que le traffic de production passe par le système。Le premier niveau d ' écoulement est terminé。配置ensuite l 'infrastructure d '学徒。De nombreuses fois, les clients veulent apprenre dans le traffic De production, ce qui permet d 'avoir les signature appliquées évite tout risque。Procédez comme西装:

1. 配置基础设施。
2. Déployez les règles apprises pour la保护。
3. Validez les données d ' apprentice tissage ainsi que les signatures appliquées avant d ' être mises en ligne。

建议de sécurité Citrix Gateway

Utiliser une stratégie«拒绝par défaut»

思杰推荐配置管理员思杰网关stratégie de«拒绝出口»au niveau mondial, en plus de l 'utilisation de stratégies d 'autorisation pour active sélectivement l 'accès aux resource sur une base de groupe。

Par défaut, le paramètre DefaultAuthorizationAction est défini sur DENY。Vérifiez ce paramètre et accordez un accès explicit à chque utilisateur。Vous pouvez utiliser la command show DefaultAuthorizationAction sur l 'interface de ligne de command pour vérifier le paramètre。倒définir le paramètre afin de refuser toutes les resources au niveau global, exécutez la command suivante à partir de l 'interface de ligne de command:

set vpn parameter -defaultAuthorizationAction DENY 

利用TLS1.1/1.2通信进入服务器

Citrix推荐使用TLS1.1/1.2提供Citrix网关等服务，提供服务器LDAP等接口Web。L ' utilization d 'anciennes versions de ce protocol, 1.0, SSLv3 et antérieures, n 'est pas recommandée。

Utilisez la功能«应用程序内部网»Utilisez les应用程序内部网倒définir quels réseaux sont interceptés par le插件Citrix网关et envoyés à la passerelle。Voici un sample d 'ensemble de commands pour définir l 'interception:

-netmask 255.255.0.0 -destPort 1-65535 -拦截vpn vserver v1 -intranetapp intra1 

建议sécurité en matière认证、授权和审核

simune appliance Citrix ADC ou Citrix Gateway est configurée en tant que SP SAML ou SAML IdP ou les deux，咨询文章https://support.citrix.com/article/CTX316577倒obtenir les détails de配置recommandés。

请按SAML的要求提供信息认证SAML。

资源信息supplémentaires

Citrix ADC et Citrix Gateway:

• Portail de sécurité Citrix:http://www.citrix.com/security
• 文档产品Citrix ADC

Pour obtenir une assistance supplémentaire concernant la configuration de votre Citrix ADC, vous pouvez特使une demand d 'assistance à l 'adresse suivante:https://www.citrix.com/support.html