Citrix Web应用防火墙

次のトピックでは,Citrix Web AppFirewall機能のインストールと構成の詳細について説明します。

Citrix Web应用防火墙では,さまざまなアプリケーションセキュリティ要件を満たすように簡単に構成できます。一連のセキュリティチェックで構成されるWeb应用防火墙プロファイルを使用して,詳細なパケットレベルの検査を行うことで,要求と応答の両方を保護できます。。。たとえば,XML検証チェックでは,WSDLファイルまたはスキーマファイルが必要な場合があります。。これらのファイルはローカルで追加することも,事前にインポートして将来使用するためにアプライアンスに保存することもできます。

各ポリシーはトラフィックのタイプを識別し,そのトラフィックは,ポリシーに関連付けられたプロファイルに指定されたセキュリティチェック違反がないか検査されます。ポリシーは,ポリシーのスコープを決定する異なるバインドポイントを持つことができます。たとえば,特定の仮想サーバにバインドされているポリシーが呼び出され,その仮想サーバを通過するトラフィックだけが評価されます。ポリシーは,指定された優先順位に従って評価され,要求または応答に一致する最初のポリシーが適用されます。

• Web应用防火墙

  Web应用程序防火墙(Web App Firewall)

  1. Web应用程序防火墙プロファイルを追加し,アプリケーションのセキュリティ要件に適したタイプ(html、xml、JSON)を選択します。
  2. (中文):。
  3. 。
  4. 。
  5. web应用防火墙(WebAppFirewall)
  6. ポリシーをターゲットのバインドポイントにバインドし,優先順位を指定します。

• Web应用程序防火墙

  配置文件:Web应用程序防火墙，。要求と応答の両方を検査して,チェックする必要のある潜在的なセキュリティ違反と,トランザクションの処理時に実行する必要のあるアクションを決定します。。アプリケーションのセキュリティ要件に応じて,基本プロファイルまたは詳細プロファイルのいずれかを作成できます。。より高いセキュリティが必要な場合は,高度なプロファイルをデプロイして,アプリケーションリソースへの制御されたアクセスを許可し,ゼロデイ攻撃をブロックできます。。。高度なセキュリティチェックでは,セッション饼干と非表示のフォームタグを使用して,クライアント接続の制御と監視を行うことができます。Web应用程序防火墙プロファイルは,トリガーされた違反を学習し,緩和ルールを提案できます。

  基本保護:基本プロファイルには,開始URLおよび拒否URL緩和ルールの事前構成済みセットが含まれます。これらの緩和ルールは,どの要求を許可し,どの要求を拒否する必要があるかを決定します。。。★★★★★★★★★★★★★ハッカーによって悪用される既知のWebサーバーの脆弱性は,デフォルトの[拒否URL]ルールのセットを有効にすることで検出およびブロックできます。バッファオーバーフロー,SQL,クロスサイトスクリプティングなど,一般的に起動される攻撃も簡単に検出できます。

  先进的保护中文:。リラクゼーションルールは,特定のデータのみへのアクセスを許可し,残りのデータをブロックするように構成されています。この肯定的なセキュリティモデルは,基本的なセキュリティチェックでは検出されない可能性のある未知の攻撃を軽減します。すべての基本的な保護に加えて,高度なプロファイルは,ブラウジングの制御,クッキーのチェック,さまざまなフォームフィールドの入力要件の指定,フォームの改ざんやクロスサイトリクエスト偽造攻撃からの保護によって,ユーザーセッションを追跡します。トラフィックを監視し,適切な緩和を展開するラーニングは,多くのセキュリティチェックでデフォルトで有効になっています。使いやすいが,高度な保護は,セキュリティを強化するだけでなく,より多くの処理を必要とし,パフォーマンスに影響を与えることができるキャッシュの使用を許可しないため,十分に考慮する必要があります。

  インポート:インポート機能は,Web应用防火墙プロファイルで外部ファイル,つまり外部または内部Webサーバーでホストされているファイル,またはローカルマシンからコピーする必要がある場合に役立ちます。ファイルをインポートしてアプライアンスに保存すると,特に外部Webサイトへのアクセスを制御する必要がある場合,コンパイルに時間がかかる場合,大きなファイルをHAデプロイメント間で同期する必要がある場合,または次の方法でファイルを再利用できる場合に便利です。。【中文】:

  • 外部WebサーバーでホストされているWSDLは外部Webサイトへのアクセスをブロックする前にローカルにインポートできます。
  • Cenzicなどの外部スキャンツールで生成された大きな署名ファイルは,Citrixアプライアンスのスキーマを使用してインポートおよびプリコンパイルできます。
  • カスタマイズされたHTMLまたはXMLエラーページは,外部Webサーバーからインポートすることも,ローカルファイルからコピーすることもできます。

  署名:シグニチャは,パターンマッチングを使用して悪意のある攻撃を検出し,トランザクションのリクエストとレスポンスの両方をチェックするように構成できるため,強力です。中文:。シグニチャの一致が検出されたときに実行するアクションには,複数の選択肢(ブロック,ログ,学習,変換など)を使用できます。Web应用防火墙には、1,300 を超えるシグニチャルールで構成される既定のシグニチャオブジェクトが組み込まれており、自動更新機能を使用して最新のルールを取得することもできます。他のスキャンツールで作成されたルールもインポートできます。シグニチャオブジェクトは、Web AppFirewallプロファイルで指定された他のセキュリティチェックと連携できる新しいルールを追加することでカスタマイズできます。シグニチャルールは複数のパターンを持つことができ、すべてのパターンが一致する場合にのみ違反にフラグを立てることができるため、誤検出を回避できます。ルールのリテラルfastmatch。

  ポリシー: Web应用程序ファイアウォールポリシーは,トラフィックをフィルタリングし,異なるタイプに分割するために使用されます。これにより,アプリケーションデータに対してさまざまなレベルのセキュリティ保護を実装する柔軟性が得られます。機密性の高いデータへのアクセスは高度なセキュリティチェック検査に向けることができ,機密性の低いデータは基本レベルのセキュリティ検査によって保護されます。ポリシーは,無害なトラフィックのセキュリティチェック検査をバイパスするように設定することもできます。セキュリティを高めるにはより多くの処理が必要となるため,ポリシーを慎重に設計するとともに,最適なパフォーマンスを実現できます。ポリシーの優先度によって評価される順序が決まり,バインドポイントによってアプリケーションのスコープが決まります。

汪汪汪汪

1. さまざまなタイプのデータを保護し,さまざまなリソースに対して適切なレベルのセキュリティを実装し,パフォーマンスを最大限に引き出すことで,幅広いアプリケーションを保護できます。
2. 。基本保護と高度な保護を有効または無効にすることで、セキュリティチェックを強化または緩和できます。
3. HTMLプロファイルをXMLまたはWeb2.0に変換するオプション(HTML + XML)プロファイルと逆に,さまざまなタイプのペイロードにセキュリティを追加する柔軟性を提供します。
4. 簡単にデプロイされたアクションにより,攻撃をブロックしたり,ログで監視したり,統計情報を収集したり,攻撃文字列を変換して無害にします。
5. 着信要求を検査して攻撃を検出し,サーバーから送信された応答を検査することによって機密データの漏えいを防止する機能。
6. トラフィックパターンから学習して,簡単に編集可能な緩和ルールに関する推奨事項を取得でき,例外を許可するように展開できます。
7. 汪汪，汪汪，汪汪，汪汪。カスタマイズ可能なシグニチャのパワーを適用して,特定のパターンに一致する攻撃をブロックし,基本または高度なセキュリティ保護に対してポジティブセキュリティモデルチェックを使用する柔軟性を提供します。
8. 中文:中文:中文:。