使用Citrix ADC GUI手动配置

如果需要手动配置Web应用防火墙功能,Citrix建议您使用Citrix ADC GUI过程。

创建和配置签名对象

在配置签名之前，必须从相应的默认签名对象模板创建签名对象。为副本分配一个新名称，然后配置副本。无法直接配置或修改默认签名对象。以下过程提供有关配置签名对象的基本说明。有关更多详细说明，请参阅手动配置签名功能。

1. 导航到安全> Citrix Web应用防火墙>签名。

2. 在详细信息窗格中，选择要用作模板的签名对象，然后单击添加。

   选项包括：

   • 默认签名。包含签名规则、SQL注入规则和跨站点脚本规则。
   • XPath注射。包含默认签名中的所有项目,此外还包含XPath注入规则。
3. 在““对添加签名对象话框中,键入新签名对象的名称,单击”确定”,然后单击”关闭”。名称可以以字母、数字或下划线符号开头，可以由一到 31 个字母、数字和连字符 (-)、句点 (#)、空格 ()、位于 (@)、等于 (=) 和下划线 (_) 符号组成。
4. 选择您创建的签名对象，然后单击打开。

5. 在“对修改签名对象”话框中,设置左侧的”显示筛选条件“选项以显示要配置的筛选条件。

   修改这些选项时,您指定的结果将显示在右侧的“筛选结果”窗口中。有关签名类别的详细信息，请参阅签名。

6. 在“筛选结果“区域中,通过选中并清除相应的复选框来配置签名的设置。
7. 完成后,单击”关闭”。

使用GUI创建Web应用防火墙配置文件

创建Web应用防火墙配置文件需要您仅指定少数配置详细信息。

1. 导航到安全> Citrix Web应用防火墙>配置文件。
2. 在详细信息窗格中，单击添加（添加）。

3. 在“创建Web应用防火墙配置文件”对话框中,键入配置文件的名称。

   名称可以以字母、数字或下划线符号开头，并且可以由一到 31 个字母、数字和连字符 (-)、句点 (.) 磅 (#)、空格 ()、位于 (@)、等于 (=)、冒号 (:) 和下划线 (_) 符号组成。

4. 从下拉列表中选择配置文件类型。
5. 单击创建（创建），然后单击关闭（关闭）。

使用GUI配置Web应用防火墙配置文件

1. 导航到安全> Citrix Web应用防火墙>配置文件。
2. 在详细信息窗格中，选择要配置的配置文件，然后单击编辑。
3. 在“配置Web应用防火墙配置文件“对话框的“安全检查“选项卡上,配置安全检查。
   • 要为检查启用或禁用操作，请在列表中选择或清除该操作的复选框。

   • 要为包含这些参数的校验配置其他参数,请在列表中单击该校验最右侧的蓝色V形。在出现的对话框中，配置参数。这些服务从检查到检查都有所不同。

     您还可以选择一个复选框,然后在对话框底部单击打开以显示该复选框的“配置放宽”对话框或“配置规”则对话框。这些对话框也因检查而异。其中大多数都包括“检查“选项卡和“常规”选项卡。如果该校验支持放宽或用户定义的规则,则“检查“选项卡包含“添加“按钮,该按钮将打开另一个对话框,您可以在该对话框中为校验指定放宽或规则。(放宽是免除指定流量检查的规则)。如果已配置放宽,则可以选择一个放宽,然后单击“打开“以修改它。

   • 若要查看已学习的异常或校验的规则，请选择该校验，然后单击 已知的冲突。在“管理学习规”则对话框中,依次选择每个已学习的异常或规则。

     • 要编辑异常或规则,然后将其添加到列表中,请单击”编辑和部署”。
     • 若要在不修改的情况下接受例外或规则,请单击”部署”。
     • 要从列表中删除异常或规则,请单击”跳过”。
   • 要刷新要查看的例外或规则列表，请单击刷新。
   • 要打开学习可视化工具并使用它来查看学习的规则，请单击可视化工具。
   • 若要查看与校验匹配的连接的日志条目，请选择校验，然后单击日志。您可以使用此信息确定哪些检查与攻击匹配，以便您可以为这些检查启用阻止。您还可以使用此信息确定哪些检查与合法流量匹配，以便您可以配置适当的豁免以允许这些合法连接。有关日志的更多信息，请参阅日志、统计信息和报告。
   • 要完全禁用检查，请在列表中清除该检查右侧的所有复选框。
4. 在“设置“选项卡上,配置配置文件设置。

   • 要将配置文件与您之前创建和配置的签名集相关联,请在“公共设置”下拉列表中选择该组签名。

     注意:您必须使用对话框右侧的滚动条向下滚动以显示“常用设置”部分。

   • 要配置HTML或XML错误对象,请从相应的下拉列表中选择对象。

     注意:您必须首先上载要在“导”入窗格中使用的错误对象。

   • 要配置默认XML内容类型,请直接在“默认请求”和“默认响应“文本框中键入内容类型字符串,或单击“管理允许的内容类型”以管理允许的内容类型列表。

5. 如果要使用学习功能,请单击“学习”,然后配置配置文件的学习设置。有关详细信息，请参阅配置和学习功能。

6. 单击“确定”以保存更改并返回“配置文件“窗格。

配置Web应用防火墙规则或放松

您可以在此对话框中配置两种不同类型的信息，具体取决于要配置的安全检查。在大多数情况下，您可以为安全检查配置异常（或放松）。如果要配置“拒绝URL”校验或“字段格式”校验,则需要配置添加(或规则)。其中任何一个的过程都是相同的。

使用Citrix ADC GUI配置松弛规则的步骤

1. 导航到安全>Citrix Web应用防火墙>配置文件。
2. 在“配置文件“窗格中,选择要配置的配置文件,然后单击”编辑”。
3. 在配置Web应用防火墙配置文件页面中，单击高级设置部分中的放宽规则。”放松规则“部分包含Web应用防火墙放松规则的完整列的表。
4. 单击要配置的安全规则，然后单击编辑。
5. ”URL放松规则“页面包含操作列表,您可以为此规则配置操作,以及现有放松或规则的列的表。如果您尚未手动添加任何放宽或批准学习引擎推荐的任何放宽，则列表可能为空。列表下方是一行按钮，允许您添加、修改、删除、启用或禁用列表上的放宽。

6. 要添加或修改放宽或规则，请执行以下操作之一：

   • 要添加新的放松，请单击添加。
   • 若要修改现有放宽，请选择要修改的放宽，然后单击打开。

   此时将显示”开始URL放松规则”页面。除了标题外，这些对话框是相同的。

7. 按如下所述填写对话框。每个选项的对话框都不同。下面的列表涵盖了可能出现在任何对话框中的所有元素。

   • ”已启用“复选框-选择此选项可将此放宽或规则置于活跃使用状态；清除此选项可将其停用。
   • 附件内容类型通过附件的内容类型属性。在文本区域中，输入与要允许的 XML 附件的“内容类型”属性匹配的正则表达式。
   • 操作URL——在文本区域中,输入一个PCRE格式的正则表达式,该正则表达式定义将输入到Web表单中的数据传递到的URL。
   • 饼干——在文本区域中,输入定义饼干的PCRE格式正则表达式。
   • 字段名称网表单字段名称元素可以标记为“字段名称”、“表单字段”或其他类似名称。在文本区域中,输入定义表单字段名称的PCRE格式正则表达式。
   • 从源URL——在文本区域中,输入定义承载网络表单的URL的PCR格式正则表达式。
   • 从操作URL——在文本区域中,输入一个PCR格式的正则表达式,该正则表达式定义输入到Web表单的数据将传送到的URL。
   • 名称——XML元素或属性名称。在文本区域中，输入定义元素或属性名称的 PCRE 格式正则表达式。
   • URLURL元素可以标记为操作URL,拒绝URL,表单操作URL,表单源URL,开始URL或简单的URL。在文本区域中,输入定义URL的PCRE格式正则表达式。

   • 格式——格式部分包含多个设置,其中包括列表框和文本框。可能会出现以下任何一项：

     • 类型——在“类型”下拉列表中选择字段类型。若要添加新的字段类型定义,请单击管理-
     • 最小长度——如果要强制用户填写此字段,则键入表示以字符为单位的最小长度的正整数。默认值:0(允许字段留空)。
     • 最大长度——要限制此字段中的数据长度,请键入表示最大长度(以字符为单位)的正整数。默认值：65535

   • 位置(位置)-从下拉列表中选择您的放松所应用的请求元素。对于HTML安全检查,选择如下:

     • 表单字段网表单中的表单字段。
     • 标题-请求标题。
     • COOKIE-Set-Cookie标头。

     对于XML安全检查,选择如下:

     • 元素通过元素。
     • 属性通过属性。
   • 最大附件大小通过附件允许的最大大小(以字节为单位)。
   • 注释-在文本区域中，键入注释。可选。

   注意：对于需要正则表达式的任何元素，您可以键入正则表达式，使用正则表达式标记菜单将正则表达式元素和符号直接插入到文本框中，或单击正则表达式编辑器打开添加正则表达式对话框，然后使用它构造表达式。

8. 要删除放松或规则，请将其选中，然后单击删除。
9. 若要启用放宽或规则，请选择它，然后单击启用。
10. 若要禁用放宽或规则，请选择它，然后单击禁用。

11. 要在集成交互式图形显示中配置所有现有放宽的设置和关系，请单击可视化工具，然后使用显示工具。

    注意：

    ”可视化工具“按钮不会出现在所有选中放松对话框中。

12. 要查看此检查的学习规则，请单击学习，然后执行要配置和使用学习功能中的步骤
13. 单击好吧（确定）。

使用Citrix ADC GUI配置学习规则的步骤

1. 导航到安全>Citrix Web应用防火墙>配置文件。
2. 在配置文件窗格中，选择配置文件，然后单击编辑。
3. 在Citrix Web应用防火墙概要文件页面中,单从击”高级设置学习的规则”。在“学习规则“部分,您可以看到当前配置文件中可用且支持学习功能的安全检查列表。
4. 要配置学习阈值,请选择安全检查,然后单击”设置”。

5. 在“动态分析和学习规则设置”页中,可以设置设置。有关详细信息，请参阅动态配置文件

   • 最小数量阈值。根据您正在配置的安全检查的学习设置，最小数量阈值可能是指必须遵守的最小总用户会话数、必须遵守的最小请求数或必须遵守特定表单字段的最小次数，在生成学习的放宽之前。默认值：1

   • 门槛值的次数百分比。根据您正在配置的安全检查学习设置，次数百分比阈值可能是指冲突安全检查的观察用户会话总数的百分比、请求的百分比或表单字段匹配特定字段类型的次数百分比，之前学会放宽产生。默认值：0

6. 要删除所有学到的数据并重置学习功能,以便它必须从头开始重新启动其观测值,请选择”删除所有学到的数据“操作。

   注意： 此按钮仅删除尚未审核、批准或跳过的学习建议。它不会删除已接受和部署的学习放宽。

7. 若要将学习引擎限制为来自特定IP集的流量,请单击”受信任的学习客户端”,然后将要使用的IP地址添加到列表中。
   1. 若要将IP地址或IP地址范围添加到“受信任的学习客户端”列表中,请单击”添加”。
   2. 在“AppFirewall配置文件到受信任的克林特绑定”页中,单击添加。
   3. 选”中已启用“复选框以启用该功能。
   4. 在“受信任的学习客户端* *”框中,键入IP地址或CIDR格式的IP地址范围。
   5. 在“注释“文本区域中,键入描述此IP地址或范围的注释。
   6. 单击创建和关闭。
8. 要修改现有IP地址或范围,请单击IP地址或范围,然后单击编辑。除名称外,显示的对话框与“添加受信任的学习客户端”对话框相同。
9. 要禁用或启用IP地址或范围,但将其保留在列表中,请单击IP地址或范围,然后根据需要单击禁用或启用。

10. 要完全删除IP地址或范围,请单击IP地址或范围,然后单击删除。

11. 单击”关闭“返回到”Citrix Web应用防火墙配置文件”页。

使用Citrix ADC GUI创建Citrix Web应用防火墙策略的步骤

1. 导航到安全>Citrix Web应用防火墙>策略。

2. 在“策略”页中,单击Citrix Web应用防火墙策略链接。
3. 在Citrix Web应用防火墙策略页中,单击添加。

4. 在“创建Citrix Web应用防火墙策略”页中,设置以下参数。

   1. 名称。名称可以以字母、数字或下划线符号开头，并且可以由一到 128 个字母、数字和连字符 (-)、句点 (.) 磅 (#)、空格 ()、位于 (@)、等于 (=)、冒号 (:) 和下划线 (_) 符号组成。
   2. 配置文件。从配置文件下拉列表中选择要与此策略关联的配置文件。您可以通过单击“新”建创建配置文件以与策略关联,也可以通过单击“修改“修改现有配置文件。
   3. 表达式。在“表达式”文本区域中，为策略创建规则。
   4. 日志操作。添加日志操作或修改现有日志操作。
   5. 评论。有关策略的简要说明。
5. 单击创建或确定，然后单击关闭。

创建或配置Web应用防火墙规则(表达式)

策略规则（也称为表达式)定义Web应用防火墙使用与策略关联的配置文件筛选的Web流量。与其他Citrix ADC策略规则(或表达式)一样,Web应用防火墙规则使用Citrix ADC表达式语法。此语法强大、灵活且可扩展。在这套指令中完全描述太复杂了。您可以使用以下过程创建简单的防火墙策略规则，也可以将其视为策略创建过程的概述。

1. 如果尚未执行此操作,请导航到Web应用防火墙向导或Citrix ADC GUI中的相应位置以创建策略规则:

   • 如果要在Web应用防火墙向导中配置策略,请在导航窗格中单击Citrix Web应用防火墙向导，然后在详细信息窗格中单击Citrix Web应用防火墙向导，然后导航到指定规则选项卡页。

   • 在“指定规则”页中,从下拉列表中选择表达式的前缀。选项包括：

   • HTTP。HTTP协议。如果要检查与HTTP协议相关的请求的某些方面,请选择此选项。
   • SYS。一个或多个受保护的网站。如果要检查与请求收件人有关的请求的某些方面，请选择此选项。
   • 客户端。发送请求的计算机。如果您想检查请求发件人的某些方面，请选择此选项。
   • 服务器。向其发送请求的计算机。如果要检查请求收件人的某些方面，请选择此选项。

   选择前缀后,Web应用程序防火墙会显示一个由两部分组成的提示窗口,其中显示顶部可能的下一个选项,并在底部简要说明所选选项的含义。

2. 选择您的下一个学期。

   如果您选择HTTP作为前缀,则唯一的选择是请求,它指定了请求/响应对。(Web应用防火墙作为一个单元对请求和响应进行操作,而不是单独对每个单元进行操作)。如果您选择了另一个前缀,则您的选择会更加多样。有关特定选项的帮助，请单击该选项一次，以在下部提示窗口中显示有关该选项的信息。

   确定所需的术语后,双击该术语将其插入到“表达式”窗口中。

3. 在您刚刚选择的术语之后键入一个时间段。然后，系统会提示您选择下一个术语，如上一步中所述。当术语要求您键入值时，请填写相应的值。例如,如果您选择HTTP.REQ.HEET(" "),请在引号之间键入标头名称。

4. 继续从提示中选择术语并填写所需的任何值，直到表达式完成。

   以下是一些用于特定目的的表达式示例。

   • 特定的网络主机。要匹配来自特定网络主机的流量:

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

对于shopping.example.com,请替换要匹配的网络主机的名称。

• 特定的Web文件夹或目录。要匹配来自网络主机上特定文件夹或目录的流量:

HTTP.REQ.URL.STARTSWITH(“https / / www.example.com/folder”)

对于www.example.com,请替换网络主机的名称。对于文件夹，替换要匹配的内容的文件夹或路径。例如，如果您的购物车位于名为/解决方案/订单的文件夹中，您将该字符串替换为文件夹。

• 特定内容类型:GIF图像。要匹配GIF格式图像,请执行以下操作:

HTTP.REQ.URL.ENDSWITH (gif)

要匹配其他格式的图像,请替换另一个字符串代替gif。

• 特定类型的内容：脚本。要匹配目录目录中的所有CGI脚本,请执行以下操作:

HTTP.REQ.URL.STARTSWITH(“https / / www.example.com/CGI-BIN”)

要将所有JavaScript与js扩展名匹配,请执行以下操作:

HTTP.REQ.URL.ENDSWITH (js)

有关创建策略表达式的详细信息，请参阅策略和表达式。

注意:如果使用命令行配置策略,请记住转义Citrix ADC表达式中的任何双引号。例如,如果在GUI中输入以下表达式是正确的:

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

但是，如果在命令行中输入，则必须键入以下内容：

HTTP.REQ.HEADER .EQ(“主机”)(“shopping.example.com”)

![策略表达式配置](/ en - us / citrix-adc /媒体/ waf-rule.png)

使用“添加表达式”对话框添加防火墙规则(表达式)

”添加表达式”对话框(也称为“表达式编辑器”)可帮助不熟悉Citrix ADC表达式语言的用户构建与要筛选的流量匹配的策略。

1. 如果尚未执行此操作,请导航到Web应用防火墙向导或Citrix ADC GUI中的相应位置:
   • 如果要在Web应用防火墙向导中配置策略，请在导航窗格中单击Web应用防火墙，然后在详细信息窗格中单击Web应用防火墙向导，然后导航到指定规则屏幕。
   • 如果要手动配置策略,请在导航窗格中展开”Web应用防火墙”、“策略”和“防火墙”。在详细信息窗格中，要创建策略，请单击添加。若要修改现有策略,请选择该策略,然后单击”打开”。
2. 在“指定规则“屏幕上的“创建Web应用防火墙配置文件“对话框或“配置Web应用防火墙配置文件“对话框中,单击”添加”。
3. 在“添加表达式“对话框的“构造表达式”区域的第一个列表框中,选择以下前缀之一:
   • HTTP。HTTP协议。如果要检查与HTTP协议相关的请求的某些方面,请选择此选项。默认选择。
   • SYS。一个或多个受保护的网站。如果要检查与请求收件人有关的请求的某些方面，请选择此选项。
   • 客户端。发送请求的计算机。如果您想检查请求发件人的某些方面，请选择此选项。
   • 服务器。向其发送请求的计算机。如果要检查请求收件人的某些方面，请选择此选项。
4. 在第二个列表框中，选择您的下一个术语。可用术语根据您在上一步中所做的选择而有所不同，因为对话框会自动调整列表以仅包含对上下文有效的术语。例如,如果您在上一列表框中选择了HTTP,则唯一的选择是点播,用于请求。由于Web应用防火墙将请求和关联响应视为单个单元并筛选这两个单元,因此您无需单独处理特定响应。选择第二个术语后，第二个术语的右侧会出现第三个列表框。”帮助”窗口显示第二个术语的描述，“预览表达式”窗口显示您的表达式。
5. 在第三个列表框中，选择下一个术语。右侧会出现一个新的列表框,“帮助“窗口将更改以显示新术语的描述。”预览表达式”窗口将进行更新，以显示已指定的表达式到该点时的表达式。
6. 继续选择术语，并在提示填写参数时，直到表达式完成。如果您在选择一个术语后犯了错误或想要更改表达式，您可以简单地选择另一个术语。表达式将被修改，并且清除您在修改的术语之后添加的所有参数或多个术语。
7. 完成表达式构建后,单击”确定“关闭”添加表达式”对话框。您的表达式将插入到“表达式”文本区域。

使用Citrix ADC GUI绑定Web应用防火墙策略

1. 执行以下操作之一：
   • 导航到”安全“>”Web应用防火墙”,然后在详细信息窗格中单击”应用程序防火墙策略管理器”。
   • 导航到”安全“>”Citrix Web应用防火墙“>”策略“>”防火墙”,然后在“Citrix Web应用防火墙策略”窗格中,单击”策略管理器”。
2. 在应用程序防火墙策略管理器对话框中，从下拉列表中选择要将策略绑定到的绑定点。这些选择是：
   • 覆盖全局。绑定到此绑定点的策略处理来自Citrix ADC设备上所有接口的所有流量,并在任何其他策略之前应用。
   • 磅虚拟服务器。绑定到负载平衡虚拟服务器的策略仅应用于由负载平衡虚拟服务器处理的流量，并在任何默认全局策略之前应用。选择磅虚拟服务器后,还必须选择要绑定此策略的特定负载平衡虚拟服务器。
   • CS虚拟服务器。绑定到内容交换虚拟服务器的策略仅应用于由该内容交换虚拟服务器处理的流量,并在任何“默认全局“策略之前应用。选择CS虚拟服务器后,还必须选择要绑定此策略的特定内容切换虚拟服务器。
   • 默认全局。绑定到此绑定点的策略处理来自Citrix ADC设备上所有接口的所有流量。
   • 策略标签。绑定到策略标签的策略处理策略标签路由到它们的流量。策略标签控制策略应用于此流量的顺序。
   • 无。请勿将策略绑定到任何绑定点。
3. 单击继续。此时将显示现有Web应用防火墙策略的列的表。
4. 单击要绑定的策略，选择该策略。
5. 对绑定进行任何其他调整。
   • 要修改策略优先级，请单击字段以启用它，然后键入新的优先级。您还可以选择重新生成优先级以均匀地重新编号优先级。
   • 要修改策略表达式,请双击该字段以打开”配置Web应用防火墙策略“对话框,您可以在其中编辑策略表达式。
   • 要设置转到表达式，请双击转到表达式列标题中的字段以显示下拉列表，您可以在其中选择一个表达式。
   • 要设置“调用“选项,请双击“调用“列标题中的字段以显示下拉列表,从中可以选择表达式。
6. 重复步骤3到6以添加要全局绑定的任何其他Web应用防火墙策略。
7. 单击好吧（确定）。状态栏中将显示一条消息，指出该策略已成功绑定。