Web应用程序防火墙配置文件设置
以下是您必须在设备上配置的配置文件设置。
在命令提示符下,键入:
添加appfw profile
示例:
添加appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]
其中,
invalidPercentHandling。配置用于处理百分比编码的名称和值的方法。
可用设置功能如下:
asp_mode——剥离和解析无效百分比用于解析。示例:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)
被去除,其余的内容被检查,并为SQLINSspection检查采取操作。secure_mode——我们检测到无效百分比编码值并忽略它。示例:-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)
被检测到,计数器递增,内容按原样传递给服务器。apache_mode——此模式的工作方式与安全模式类似。可能的值:apache_mode、asp_mode secure_mode默认值:secure_mode
optimizePartialReqs。当/探讨(无安全对象)时,Citrix ADC设备将部分请求发送到后端服务器。此部分响应发送回客户端。在配置安全对象时,优化部分请求是有意义的。设备在关闭时发送来自服务器的完全响应请求,在打开时仅请求部分响应。
可用设置如下:
开 -客户端的部分请求会导致对后端服务器的部分请求。——客户端的部分请求更改为对后端服务器的完整请求可能的值:,从默认值:
URLDecodeRequestCookies。URL解码请求饼,然后再对其进行SQL和跨站脚本检查。
可能的值:,默认值:
签名后正文限制(字节)。限制使用指定为“HTTP_POST_BODY”的位置检查的签名的请求负载(以字节为单位)。
默认值:8096 最小值:0 最大值:4294967295
发布正文限制(字节)。限制网络应用程序防火墙检查的请求负载(以字节为单位)。
默认值:20万最小值:0最大值:10 GB
有关安全设置及其GUI过程的详细信息,请参阅配置网络应用程序防火墙配置文件主题。
后身限制。当您指定允许的HTTP正文的最大大小时,PostBodyLimit将遵守错误设置。要遵守错误设置,您必须配置一个或多个“发布体限制”操作。此配置也适用于传输编码头分块的请求。
set appfw profile
威斯康星州,块——此操作阻止违反安全检查的连接,并且它基于所配置的HTTP主体的最大大小(后体限制)。你必须始终启用该选项。
日志-记录此安全检查的冲突情况。
统计数据-为此安全检查生成统计数据。
注意: 帖子正文限制操作的日志格式现在已更改为遵循 标准审计日志记录格式,例如:
ns.log.4.gz: 6月25 1.1.1.1。
10.101.10.100 06/25/2020:10:10:28 GMT 0- ppe -0: default APPFW APPFW_POSTBODYLIMIT 1506 0: 4234-PPE0 - testprof > 请求post body length(< post body length >)超过post body limit。
检查查询内容类型检查以下内容类型的已注入SQL和跨站点脚本的请求查询和Web表单。
set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER
可能的值:HTML、XML、JSON、其他
默认情况下,对于基本和高级应用程序配置文件,此参数被设置为“检查查询内容类型:HTML JSON其他”。
以XML格式检查查询内容类型的示例:
警告:当配置文件类型不是HTML或JSON时,除了“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”之外的HTML、JSON检查将不适用。<!——NeedCopy >
以HTML格式检查查询内容类型的示例:
> set appfw profile p1 -type HTML警告:当配置文件类型不是XML或JSON时,除了InspectQueryContentTypes和Infer Content-Type XML Payload Action之外的XML、JSON检查将不适用。——NeedCopy >
以JSON形式检查查询内容类型的示例:
> set appfw profile p1 -type JSON Warning: HTML, XML checking except " InspectQueryContentTypes " & " Infer Content-Type XML Payload Action将不适用于配置文件类型不是HTML或XML分别完成
错误URL表达式。Citrix Web App Firewall 用作错误 URL 的 URL。最大长度:2047。
注意:对于阻止请求URL中的违规,如果错误的URL与签名URL相似,则设备将重置连接。