Web应用防火墙ポリシ，のバ，ンド

Web应用程序防火墙ポリシーを設定したら,それらをグローバルまたはバインドポイントにバインドして有効にします。バインド後,Web应用防火墙ポリシーに一致する要求または応答は,そのポリシーに関連付けられたプロファイルによって変換されます。

ポリシをバンドするときは，そのポリシに優先度を割り当てます。優先順位によって，定義したポリシ，が評価される順序が決まります。プラ@ @オリティは任意の正の整数に設定できます。Citrix ADCOSでは、ポリシーの優先順位は逆の順序で機能します。値が大きいほど、優先順位は低くなります。

Web应用程序防火墙機能では,リクエストが一致する最初のポリシーだけが実装され,一致する可能性のある追加のポリシーは実装されないため,意図した結果を得るにはポリシーの優先順位が重要です。最初のポリシーに低い優先度(1000など)を設定した場合,優先度の高い他のポリシーが要求と一致しない場合にのみ,Web应用防火墙を実行するように設定します。最初のポリシーに高い優先度(1など)を与える場合は,Web应用防火墙を最初に実行するように設定し,一致する可能性のあるその他のポリシーをスキップします。ポリシをバインドするときに、各ポリシー間に50または100の間隔で優先順位を設定することで、優先順位を再割り当てすることなく、他のポリシーを任意の順序で追加できる十分な余裕を残すことができます。

Citrix ADCアプラアンスでのポリシのバンドの詳細にいては，”ポリシ，と式を参照してください。

コマンドラインインターフェイスを使用してWeb应用防火墙ポリシーをバインドするには

コマンドプロンプトで，次のコマンドを入力します。

• 绑定appfw global
• 绑定appfw profile -crossSiteScripting data

例

次の例では,pl-blogという名前のポリシーをバインドし,プライオリティ10を割り当てます。

绑定appfw全局pl-blog配置——NeedCopy >

ログ式の構成

Web应用程序防火墙をバインドするためのログ式サポートは,違反が発生したときにHTTPヘッダー情報をログに記録するために追加されます。

ログ式はアプリケーションプロファイルにバインドされ,バインディングには,違反が発生したときに評価され,ロギングフレームワークに送信される必要がある式が含まれています。

httpヘッダ情報を持Web应用防火墙違反ログレコドが記録されます。カスタムログ式を指定することができ,現在のフロー(要求/応答)に対して違反が生成されたときの分析と診断に役立ちます。

設定例

bind appfw profile  -logexpression   add policy expression headers "" headers (100):"FULL_HEADER" add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)" bind appfw profile test -logExpression log_body body_100 bind appfw profile test -logExpression log_headers headers bind appfw profile test -logExpression ""URL:"+HTTP.REQ. BODY(100)"URL + + CLIENT.IP“IP:”。SRC " < !——NeedCopy >

ログの例

Dec 8 16:55:33  10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type:application/x- web -form-urlencoded^M ^M cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocking 

Dec 8 16:55:33  10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata= asdadasdasdasdddddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked 

Dec 8 16:55:33  10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked 

其他违规日志Dec 8 16:55:33  10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow非法URL。cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocking 

12月8日16:55:33  10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked 

注

1. 監査ログのサポ，トのみ利用可能です。ログストリームのサポートとセキュリティ洞察の可視性は,将来のリリースバージョンで追加される予定です。

2. 監査ログが生成される場合，ログメッセ，ジごとに1024バ，トのデ，タしか生成できません。

3. ログストリーミングを使用する場合,制限は,サポートされるログストリーム/ ipfixプロトコルのサイズ制限の最大サイズに基づきます。ログストリムの最大サポトサズは1024バトを超えています。

GUIを使用してWeb App防火墙ポリシ，をバ，etc，ンドするには

1. 次のいずれかを行います:
   • ［セキュリティ> [Web应用防火墙]に移動し,詳細ペインで[Webアプリケーションファイアウォールポリシーマネージャー]をクリックします。
   • 安全>Web应用防火墙>政策>防火墙策略に移動し，詳細ペ策略管理器を選択します。
2. ［Web应用程序防火墙策略管理器]ダaapl . exe，ポリシaapl . exe，ポリシaapl . exe，をバaapl . exe。選択肢は次のとおりです。
   • ［グロバルをオバラド]。このバインドポイントにバインドされたポリシーは,Citrix ADCアプライアンスのすべてのインターフェイスからのすべてのトラフィックを処理し,他のポリシーの前に適用されます。
   • Lb仮想サ，バ，。負荷分散仮想サーバーにバインドされたポリシーは,その負荷分散仮想サーバーによって処理されるトラフィックにのみ適用され,默认全球ポリシーの前に適用されます。(磅虚拟服务器)を選択した後,このポリシーをバインドする特定の負荷分散仮想サーバーも選択する必要があります。
   • Cs仮想サ，バ。コンテンツスイッチ仮想サーバーにバインドされたポリシーは,そのコンテンツスイッチ仮想サーバーによって処理されるトラフィックにのみ適用され,デフォルトグローバルポリシーの前に適用されます。(CS虚拟服务器)を選択した後,このポリシーをバインドする特定のコンテンツスイッチ仮想サーバーも選択する必要があります。
   • デフォルトグロ，バル。このバインドポイントにバインドされたポリシーは,Citrix ADCアプライアンスのすべてのインターフェイスからのすべてのトラフィックを処理します。
   • ポリシ，ラベル。ポリシーラベルにバインドされたポリシーは,ポリシーラベルがルーティングするトラフィックを処理します。ポリシ，ラベルは，このトラフィックにポリシ，を適用する順序を制御します。
   • なし。ポリシをバンドポントにバンドしないでください。
3. ［続行］をクリックします。既存のWeb应用防火墙ポリシ，のリストが表示されます。
4. バ▪▪ンドするポリシ▪▪をクリックして選択します。
5. バ@ @ンドに追加の調整を行います。
   • ポリシ，の優先度を変更するには，フィ，ルドをクリックして有効にし，新しい優先度を入力します。[優先度を再生成]を選択して，優先度を均等に再番号付けすることもできます。
   • ポリシ，式を変更するには，そのフィ，ルドをダブルクリックして[Web应用防火墙策略]ダ@アログボックスを開き，ポリシ@式を編集できます。
   • 【转到表达式】を設定するには，【转到表达式】列見出しのフィ，ルドをダブルクリックしてドロップダウンリストを表示し，式を選択できます。
   • ”“呼び出しオプションを設定するには,“呼び出し”列見出しのフィールドをダブルクリックしてドロップダウンリストを表示し,式を選択できます。
6. 手順3 ~ 6を繰り返して,グローバルにバインドするWeb应用防火墙ポリシーを追加します。
7. (好的)をクリックします。ポリシが正常にバインドされたことを示すメッセージがステータスバーに表示されます。