Web应用防火墙向导

与大多数向导不同，Citrix Web应用防火墙向导不仅旨在简化初始配置过程，还旨在修改之前创建的配置并维护 Web应用防火墙设置。典型用户多次运行向导，每次都跳过一些屏幕。

Web应用防火墙向导会自动创建配置文件、策略和签名。

打开向导

若要运行 Web应用防火墙向导，请打开 桂并按照下列步骤操作：

1. 导航到安全>应用程序防火墙。
2. 在详细信息窗格的“入门”下，单击“应用程序防火墙向导”。将打开该向导。

有关 桂的更多信息，请参阅 “Web应用防火墙配置接口”。“

向导屏幕

Web应用防火墙向导在表格页面上显示以下屏幕：

1.指定名称：在此屏幕上，创建新的安全配置时，为您的配置文件指定有意义的名称和适当的类型（HTML、XML）或 WEB 2.0）默认策略和签名将通过使用相同的名称自动生成。

配置文件名称

名称可以以字母、数字或下划线符号开头，并且可以包括 1.到 31个字母、数字和连字符 (-)、句点 (.) (#)、空格 ()、在 (@)、等于 (=)、冒号 (:) 和下划线 (_) 符号。选择一个名称，使其他人能够轻松告诉您的新安全配置保护的内容。

注意： 由于向导将此名称用于策略和配置文件，因此该名称限制为 31个字符。手动创建的策略最多可具有 127个字符的名称。

修改现有配置时，选择“修改现有配置”，然后在“名称”下拉列表中，选择要修改的现有配置的名称。

注意： 此列表中仅显示绑定到全局或绑定点的策略；您不能使用应用程序防火墙向导修改未绑定的策略。您必须手动将其绑定到全局或绑定点，或手动修改它。（对于手动修改，请在 桂中）应用程序防火墙>策略 >防火墙窗格，选择策略，然后单击打开。

配置文件类型

您还可以在此屏幕上选择配置文件类型。配置文件类型决定了可以配置的高级保护（安全检查）的类型。由于某些类型的内容不容易受到某些类型的安全威胁的影响，因此限制可用检查列表可以节省配置期间的时间。Web应用防火墙配置文件的类型如下：

• 网络应用程序（HTML）任何不使用 XML或 Web 2.0技术的基于 HTML的网站。
• XML应用程序（XML、SOAP）任何基于 XML的 网状物服务。
• Web 2.0应用程序（HTML、XML、REST）任何将 HTML和 XML内容组合在一起的 Web 2.0站点，例如基于原子的网站、博客、RSS提要或维基。

注意：如果您不确定网站上使用的内容类型，则可以选择 Web 2.0应用程序以确保您保护所有类型的 网状物应用程序内容。

2.指定规则：在此屏幕上，您可以指定定义当前配置检查的流量的策略规则（表达式）。如果您创建初始配置以保护您的网站和 网状物服务，则可以接受默认值符合事实的，用于选择所有 网状物流量。

如果您希望检查此安全配置，而不是通过设备路由的所有 超文本传输协议流量，而是要检查特定流量，则可以编写一个策略规则，指定要检查的流量。规则以 Citrix ADC表达式语言编写，该语言是一种功能齐全的面向对象的编程语言。

注意：除了默认表达式语法之外，为了向后兼容性，Citrix ADC操作系统支持 Citrix ADC经典和 士官设备和虚拟设备上的 Citrix ADC经典表达式语法。Citrix ADC群集设备和虚拟设备不支持经典表达式。要将现有配置迁移到 Citrix ADC群集的当前用户必须将包含经典表达式的任何策略迁移到默认表达式语法。

• 有关使用 Citrix ADC表达式语法创建 Web应用防火墙规则的简单说明以及有用的规则列表，请参阅防火墙策略。
• 有关如何使用 Citrix ADC表达式语法创建策略规则的详细说明，请参阅策略和表达式。

4.选择签名：在此屏幕上，您可以选择要用于保护网站和 网状物服务的签名类别。

这不是强制性步骤，如果您想跳过该步骤并转到“指定深度保护”屏幕，则可以跳过该步骤。如果跳过“选择签名”屏幕，则仅创建配置文件和关联策略，并且不创建签名。

您可以选择“创建新签名”或“选择现有签名”。

如果要创建新的安全配置，则会启用您选择的签名类别，默认情况下，这些签名类别将记录在新的签名对象中。新签名对象分配的名称与您在“指定名称”屏幕上输入的名称相同。

如果您之前配置了签名对象，并希望将其中一个用作与您正在创建的安全配置关联的签名对象，请单击“选择现有签名”，然后从“签名”列表中选择一个签名对象。

如果要修改现有安全配置，则可以单击“选择现有签名”，然后为安全配置分配不同的签名对象。

如果单击“创建新签名”，则可以选择“简单”或“高级”的编辑模式。

1. 指定签名保护（简单模式）

简单的模式允许轻松配置签名，并为常见的应用程序（例如 IIS（互联网）信息服务器）、PHP和 ActiveX）提供一个预设的保护定义列表。“简单”模式下的默认类别为：

• CGI防止对使用任何语言的 CGI脚本的网站进行攻击，包括 PERL脚本、unixshell脚本和 python脚本。

• 冷融合。保护使用 Adobe Systems®ColdFusion®Web开发平台的网站免受攻击。

• 首页保护使用 Microsoft®FrontPage®网站开发平台的网站免受攻击。

• PHP保护使用 PHP开源 网状物开发脚本语言的网站免受攻击。

• 客户端防范用于访问受保护网站的客户端工具的攻击，例如微软 Internet Explorer、Mozilla Firefox、Opera浏览器和 AdobeAcrobatReader

• 微软IIS防止对运行 微软互联网信息服务器 （IIS）的网站的攻击

• 杂项。防止对其他服务器端工具（如 网状物服务器和数据库服务器）的攻击。

在此屏幕上，您可以选择与您在“选择签名”屏幕上选择的签名类别相关联的操作。您可以配置的操作是：

• 阻止
• 日志
• 统计信息

默认情况下，“日志和统计”操作处于启用状态，但不启用“阻止”操作。要配置操作，请单击“设置”。您可以使用操作下拉列表更改所有选定类别的操作设置。

1. 指定签名保护（高级模式）

高级模式允许对签名定义进行更细致的控制，并提供更多的信息。如果希望完全控制签名定义，请使用高级模式。

此屏幕的内容与 “修改签名对象” 对话框的内容相同，如配置或修改签名对象中所述。在此屏幕中，您可以通过单击操作下拉列表或操作菜单来配置操作，该菜单显示为带有三个点的圆圈。

7.指定深度保护：在此屏幕上，您可以选择要用来保护网站和 网状物服务的高级保护（也称为安全检查或简单的检查）。哪些检查可用取决于您在“指定名称”屏幕上选择的配置文件类型。所有检查都可用于 Web 2.0应用程序配置文件。

有关更多信息，请参阅安全检查概述和高级表单保护检查。

您可以为已启用的高级保护配置操作。您可以配置的操作包括：

• 块：阻止与签名匹配的连接。默认情况下禁用。
• 日志：记录与签名匹配的连接，以便以后进行分析。默认已启用。
• 统计数据：维护每个签名的统计数据，显示它匹配的连接数量，并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。
• 学习。观察到本网站或 网状物服务的流量，并使用反复冲突此检查的连接来生成检查的推荐例外情况或检查的新规则。仅适用于部分检查。有关学习功能的详细信息，请参阅配置和使用学习功能，以及学习的工作原理以及如何配置例外（放宽）或为检查部署学习规则，请参阅使用 桂手动配置。

若要配置操作，请通过单击复选框选中保护，然后单击操作设置以选择所需的操作。如果需要，选择其他参数，然后单击确定以关闭“操作设置”窗口。

要查看特定检查的所有日志，请选择该检查，然后单击日志以显示 系统日志查看器，如Web应用防火墙日志中所述。如果安全检查阻止了对受保护网站或 网状物服务的合法访问，则可以通过选择显示不需要的阻止的日志，然后单击部署来创建和实施该安全检查的放宽。

完成指定操作设置后，单击完成以完成向导。

以下是介绍如何使用 Web应用防火墙向导执行特定类型的配置的四个过程。

创建新配置

使用 阿普尔顿防火墙向导，请按照以下步骤创建新的防火墙配置和签名对象。

1. 导航到安全>应用程序防火墙。

2. 在详细信息窗格的“入门”下，单击“**应用程序防火墙”。将打开该向导。

3. 在 “指定名称” 屏幕上，选择 “ **创建新配置”。

4. 在名称字段中，键入名称，然后单击下一步。

5. 在 “指定规则” 屏幕中，再次单击下一步。

6. 在“选择签名”屏幕中，选择“创建新签名和简单”作为编辑模式，然后单击“下一步”。

7. 在“指定签名保护”屏幕中，配置所需的设置。有关要考虑阻止哪些签名以及如何确定何时可以安全地为签名启用阻止的更多信息，请参阅签名。

8. 在“**指定深度保护**”屏幕中，在“操作设置”中配置所需的操作和参数。

9. 完成后，单击“完成”以关闭“应用程序防火墙”向导。

修改现有配置

请按照以下步骤修改现有配置和现有签名类别。

1. 导航到安全>应用程序防火墙。
2. 在详细信息窗格的“入门”下，单击“应用程序防火墙向导”。将打开该向导。
3. 在“指定名称”屏幕上，选择“修改现有配置”，然后在“名称”下拉列表中选择您在新配置期间创建的安全配置，然后单击“下一步”。
4. 在“指定规则”屏幕中，单击“下一步”以保持默认值“对”如果要修改规则，请按照配置自定义策略表达式中描述的步骤进行操作。
5. 在“选择签名”屏幕中，单击“选择现有签名”。从 “现有签名” 下拉列表中，选择相应的选项，然后单击 “下一步”。此时将显示高级签名保护屏幕。注意：如果选择现有签名，则会高级使用受保护签名的默认编辑模式。
6. 在“指定签名保护”屏幕中，配置所需的设置，然后单击“下一步”。 有关要考虑阻止哪些签名以及如何确定何时可以安全地为签名启用阻止的更多信息，请参阅签名。
7. 在“指定深度保护”屏幕中，配置设置，然后单击“下一步”。
8. 完成后，单击“完成”以关闭Web应用防火墙向导。

创建没有签名的新配置

请按照以下步骤使用应用程序防火墙向导跳过“选择签名”屏幕，并仅使用配置文件和相关策略创建新配置，但不使用任何签名。

1. 导航到安全>应用程序防火墙。
2. 在详细信息窗格的“入门”下，单击“应用程序防火墙向导”。将打开该向导。
3. 在 “指定名称” 屏幕上，选择 “创建新配置”。
4. 在名称字段中，键入名称，然后单击下一步。
5. 在 “指定规则” 屏幕中，再次单击 “下一步”。
6. 在“选择签名”屏幕中，单击 “跳过”。
7. 在“**指定深度保护**”屏幕中，在“操作设置”中配置所需的操作和参数。
8. 完成后，单击完成以关闭应用程序防火墙向导。

配置自定义策略表达式

请按照以下步骤使用应用程序防火墙向导创建仅保护特定内容的专用安全配置。在这种情况下，您将创建新的安全配置，而不是修改初始配置。此类安全配置需要自定义规则，以便策略仅将配置应用于选定的 网状物流量。

1. 导航到安全>应用程序防火墙。
2. 在详细信息窗格的“入门”下，单击“应用程序防火墙向导”。
3. 在“指定名称”屏幕上，在“名称”文本框中键入新安全配置的名称，从“类型”下拉列表中选择安全配置的类型，然后单击“下一步”。
4. 在“指定规则”屏幕上，输入仅匹配您希望此 网状物应用程序保护的内容的规则。使用“常用表达式”下拉列表和“表达式编辑器”创建自定义表达式。完成后，单击“下一步”。
5. 在“选择签名”屏幕中，选择编辑模式，然后单击“下一步”。
6. 在“指定签名保护”屏幕中，配置所需的设置。
7. 在“**指定深度保护**”屏幕中，在“操作设置”中配置所需的操作和参数。
8. 完成后，单击完成以关闭应用程序防火墙向导。