配置Web应用防火墙

可以使用以下任一方法配置Citrix Web App Firewall(简称Web App Firewall):

• Web应用防火墙向导。一个由一系列屏幕组成的对话框，用于逐步完成配置过程。
• Citrix Web Interface AppExpert模板。AppExpert模板(一组配置设置)，旨在为网站提供适当的保护。此AppExpert模板包含适当的Web应用防火墙配置设置,用于保护许多网站。
• Citrix ADC GUI。基于Web的配置界面。
• Citrix ADC命令行接口。命令行配置界面。

Citrix建议您使用Web App Firewall向导。大多数用户会发现它是配置Web应用防火墙的最简单方法，它旨在防止错误。如果您有主要用于保护网站的新Citrix ADC或VPX,则可能会发现Web界面AppExpert模板是更好的选择,因为它不仅为Web应用防火墙,而且为整个设备提供了良好的默认配置。GUI和命令行界面都面向有经验的用户，主要用于修改现有配置或使用高级选项。

Web应用防火墙向导

Web应用程序防火墙向导是一个对话框,其中包含多个屏幕,提示您配置简单配置的每个部分。然后，Web应用防火墙会根据您提供的信息创建适当的配置元素。这是最简单的配置Web应用防火墙的最佳方式。

要使用向导，请使用您选择的浏览器连接到gui。建立连接后,请验证Web应用防火墙已启用,然后运行Web应用防火墙向导,该向导将提示您输入配置信息。首次使用向导时，不必提供所有请求的信息。相反,您可以接受默认设置,执行一些相对简单的配置任务以启用重要功能,然后允许Web应用防火墙收集重要信息以帮助您完成配置。

例如，当向导提示您指定用于选择要处理的流量的规则时，您可以接受选择所有流量的默认值。当它向您显示签名列表时，您可以启用适当类别的签名，并为这些签名开启统计信息的集合。对于此初始配置，您可以跳过高级保护（安全检查）。向导会自动创建相应的策略、签名对象和配置文件（统称为安全配置），并将策略绑定到全局。然后,Web应用程序防火墙开始筛选与受保护网站的连接,记录与您启用的一个或多个签名匹配的任何连接,并收集有关每个签名匹配的连接的统计信息。Web应用程序防火墙处理某些流量后,您可以再次运行向导并检查日志和统计信息,以查看已启用的任何签名是否与合法流量匹配。确定哪些签名正在标识要阻止的流量后，您可以为这些签名启用阻止。如果您的网站或Web服务不复杂,不使用SQL,并且无法访问敏感的私人信息,这种基本的安全配置可能会提供足够的保护。

例如，如果您的网站是动态的，您可能需要额外的保护。使用脚本的内容可能需要防止跨站点脚本攻击。使用SQL的网络内容(如购物车,许多博客和大多数内容管理系统)可能需要防止SQL注入攻击。收集敏感私人信息（如社会保障号码或信用卡号码）的网站和网络服务可能需要防止该信息被无意泄露。某些类型的Web服务器或XML服务器软件可能需要防止针对该软件定制的攻击类型。另一个考虑因素是，您的网站或网站服务的特定元素可能需要与其他元素不同的保护。检查Web应用防火墙日志和统计信息可帮助您确定可能需要的其他保护措施。

确定网站和网页服务需要哪些高级保护后，您可以再次运行向导来配置这些保护。某些安全检查要求您输入异常（放宽），以防止检查阻止合法流量。您可以手动执行此操作，但通常更容易启用自适应学习功能，并允许它推荐必要的放宽。您可以根据需要多次使用向导来增强基本安全配置和/或创建其他安全配置。

向导会自动执行一些任务，如果您未使用向导，则必须手动执行这些任务。它会自动创建策略、签名对象和配置文件，并为它们分配您在系统提示您输入配置名称时提供的名称。向导还将您的高级保护设置添加到配置文件,将签名对象绑定到配置文件,将配置文件与策略关联,并通过将其绑定到全球来使策略生效。

无法在向导中执行一些任务。您不能使用向导将策略绑定到全局以外的绑定点。如果希望配置文件仅应用于配置的特定部分，则必须手动配置绑定。无法在向导中配置引擎设置或某些其他全局配置选项。虽然您可以在向导中配置任何高级保护设置,但如果要在单个安全检查中修改特定设置,则在GUI中的手动配置屏幕上更容易执行此操作。

有关使用网页应用程序防火墙向导的详细信息，请参阅Web应用防火墙向导。

Citrix Web Interface AppExpert模板

AppExpert模板是配置和管理复杂企业应用程序的不同和更简单的方法。GUI中的AppExpert显示由一个表组成。应用程序列在最左侧的列中，适用于该应用程序的 Citrix ADC 功能每个功能都显示在其自己的列的右侧。（在 AppExpert 界面中，与应用程序关联的功能称为应用程序单元)在AppExpert界面中,您可以为每个应用程序配置有趣的流量,并打开压缩,缓存,重写,筛选,响应程序和Web应用防火墙的规则,而不必单独配置每个功能。

Web界面AppExpert模板包含以下Web应用防火墙签名和安全检查的规则:

• 拒绝url检查。检测到已知存在安全风险的内容或您指定的任何其他url的连接。
• 缓冲区溢出检查。检测试图在受保护的Web服务器上导致缓冲区溢出。
• Cookie一致性检查。检测受保护网站设置的cookie的恶意修改。
• 表单字段一致性检查。检测受保护网站上Web表单结构的修改。
• CSRF表单标记检查。检测跨站点请求伪造攻击。
• 字段格式检查。检测受保护网站上以Web表单中上传的不当信息。
• HTML SQL注入检查。检测尝试注入未经授权的SQL代码。
• HTML跨站脚本检查。检测跨站点脚本攻击。

有关安装和使用AppExpert模板的信息，请参阅AppExpert应用程序和模板。

Citrix用户界面

GUI是一个基于Web的界面,用于访问Web应用防火墙功能的所有配置选项,包括无法从任何其他配置工具或界面获得的高级配置和管理选项。具体而言，许多高级签名选项只能在GUI中配置。您只能在GUI中查看由学习功能生成的建议。您只能在GUI中将策略绑定到全局以外的绑定点。

有关GUI的说明，请参阅Web应用防火墙配置接口。有关使用GUI配置Web应用程序防火墙的详细信息，请参阅使用GUI手动配置。

有关使用GUI配置Web应用程序防火墙的说明，请参阅使用GUI手动配置。有关citrix-ADC GUI的信息，请参阅Web应用防火墙配置接口。

Citrix ADC命令行界面

Citrix ADC命令行界面是基于FreeBSD bash外壳的修改后的UNIX外壳。要从命令行界面配置Web应用防火墙,请在提示符下键入命令,然后按回车键,就像使用任何其他Unix外壳一样。您可以使用NetScaler命令行配置Web应用防火墙的大多数参数和选项。例外情况是签名功能,其中许多选项只能通过使用GUI或Web应用防火墙向导进行配置,以及学习功能(其建议只能在GUI中查看)。

有关使用Citrix ADC命令行配置Web应用程序防火墙的说明，请参阅使用命令行界面手动配置。