Web应用防火墙策略
防火墙策略是与配置文件关联的规则。该规则是一个或一组表达式,用于定义Web应用防火墙将通过应用配置文件过滤的请求/响应对的类型。防火墙策略表达式使用 Citrix ADC 表达式语言编写,这是一种面向对象的编程语言,具有支持特定 Citrix ADC 功能的特殊功能。配置文件是 Web App Firewall 用于筛选与规则匹配的请求/响应对的一组操作。
防火墙策略使您能够为不同类型的Web内容分配不同的过滤规则。并非所有的网络内容都是一样的。一个不使用复杂脚本、不访问和处理私人数据的简单网站可能只需要使用基本默认设置创建的配置文件所提供的保护级别。包含JavaScript增强的网络表单或访问SQL数据库的网络内容可能需要更多量身定制的保护。您可以创建不同的配置文件来筛选该内容,并创建单独的防火墙策略来确定哪些请求正在尝试访问该内容。然后,将策略表达式与您创建的配置文件相关联,并全局绑定策略以使其生效。
Web应用程序防火墙仅处理HTTP连接,因此使用整个Citrix ADC表达式语言的子集。此处的信息仅限于在配置Web应用防火墙时可能有用的主题和示例。以下是指向防火墙策略的其他信息和过程的链接:
- 有关说明如何创建和配置策略的过程,请参阅创建和配置Web应用防火墙策略。
- 有关详细说明如何创建策略规则(表达式)的过程,请参阅创建或配置Web应用防火墙规则(表达式)。
- 有关说明如何使用添加表达式对话框创建策略规则的过程,请参阅使用添加表达式对话框添加防火墙规则(表达式)。
- 有关解释如何查看策略的当前绑定的过程,请参阅查看防火墙策略的绑定。
- 有关说明如何绑定Web应用防火墙策略的过程,请参阅绑定Web应用防火墙策略。
- 有关Citrix ADC表达式语言的详细信息,请参阅策略和表达式。
注意
Web应用防火墙根据配置的优先级和goto表达式评估策略。在策略评估结束时,将使用评估结果为真正的最后一个策略,并调用相应配置文件的安全配置来处理请求。
例如,考虑一个有 2 个策略的场景。
- Policy_1是一个表达式= NS_True的通用策略,并且具有相应的profile_1,这是一个基本配置文件。优先级设置为 100。
- Policy_2使用表达式=http.req.url。Contains (“XYZ”) 更具体,并且有一个对应的 profile_2,这是一个高级配置文件。GoTo 表达式设置为 NEXT,优先级设置为 95,与 Policy_1 相比,优先级更高。
在这种情况下,如果在已处理的请求的URL中检测到目标字符串“XYZ”,则会触发Policy_2匹配,因为它具有更高的优先级,即使Policy_1也是匹配项。但是,根据Policy_2的GoTo表达式配置,策略评估将继续进行,下一个policy_1也会被处理。在策略评估结束时,Policy_1的评估结果为真,并调用Profile_1中配置的基本安全检查。
N .如果修改了Policy_2并且GoTo表达式从前女友T更改为enD,则目标字符串为“XYZ”的已处理请求会因优先级考虑而触发Policy_2匹配,并且根据GoTo表达式配置,策略评估结束于这一点。Policy_2计算结果为true,并调用Profile_2中配置的高级安全检查。
下一个末端
一次性完成政策评估。一旦完成了请求的策略评估并调用了相应的配置文件操作,请求就不会进行另一轮策略评估。