Web应用程序防火墙配置文件设置

以下是您必须在设备上配置的配置文件设置。

在命令提示符下，键入：

添加appfw profile [-invalidPercentHandling ] [-checkRequestHeaders (ON | OFF)] [-URLDecodeRequestCookies (ON | OFF)] [-optimizePartialReqs (ON | OFF)] [-errorURL ]

示例：

添加appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

其中，

invalidPercentHandling。配置用于处理百分比编码的名称和值的方法。

可用设置功能如下：

asp_mode——剥离和解析无效百分比用于解析。示例：-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)被去除,其余的内容被检查,并为SQLINSspection检查采取操作。secure_mode——我们检测到无效百分比编码值并忽略它。示例：-curl - v " http:// < vip > /形式/ login.html吗?字段=sel%zzect ->无效的百分比编码字符(%zz)被检测到，计数器递增，内容按原样传递给服务器。apache_mode——此模式的工作方式与安全模式类似。可能的值:apache_mode、asp_mode secure_mode默认值:secure_mode

optimizePartialReqs。当/探讨(无安全对象)时,Citrix ADC设备将部分请求发送到后端服务器。此部分响应发送回客户端。在配置安全对象时,优化部分请求是有意义的。设备在关闭时发送来自服务器的完全响应请求，在打开时仅请求部分响应。

可用设置如下：

开 -客户端的部分请求会导致对后端服务器的部分请求。——客户端的部分请求更改为对后端服务器的完整请求可能的值:,从默认值:

URLDecodeRequestCookies。URL解码请求饼,然后再对其进行SQL和跨站脚本检查。

可能的值:,默认值:

签名后正文限制（字节）。限制使用指定为“HTTP_POST_BODY”的位置检查的签名的请求负载(以字节为单位)。

默认值：8096 最小值：0 最大值：4294967295

发布正文限制（字节）。限制网络应用程序防火墙检查的请求负载(以字节为单位)。

默认值:20万最小值:0最大值:10 GB

有关安全设置及其GUI过程的详细信息,请参阅配置网络应用程序防火墙配置文件主题。

后身限制。当您指定允许的HTTP正文的最大大小时,PostBodyLimit将遵守错误设置。要遵守错误设置,您必须配置一个或多个“发布体限制”操作。此配置也适用于传输编码头分块的请求。

set appfw profile -PostBodyLimitAction块日志统计

威斯康星州,块——此操作阻止违反安全检查的连接,并且它基于所配置的HTTP主体的最大大小(后体限制)。你必须始终启用该选项。

日志-记录此安全检查的冲突情况。

统计数据-为此安全检查生成统计数据。

注意： 帖子正文限制操作的日志格式现在已更改为遵循 标准审计日志记录格式，例如：ns.log.4.gz: 6月25 1.1.1.1。 10.101.10.100 06/25/2020:10:10:28 GMT 0- ppe -0: default APPFW APPFW_POSTBODYLIMIT 1506 0: 4234-PPE0 - testprof >请求post body length(< post body length >)超过post body limit。

检查查询内容类型检查以下内容类型的已注入SQL和跨站点脚本的请求查询和Web表单。

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

可能的值:HTML、XML、JSON、其他

默认情况下,对于基本和高级应用程序配置文件,此参数被设置为“检查查询内容类型:HTML JSON其他”。

以XML格式检查查询内容类型的示例:

警告:当配置文件类型不是HTML或JSON时，除了“InspectQueryContentTypes”和“Infer Content-Type XML Payload Action”之外的HTML、JSON检查将不适用。<！——NeedCopy >

以HTML格式检查查询内容类型的示例:

> set appfw profile p1 -type HTML警告:当配置文件类型不是XML或JSON时，除了InspectQueryContentTypes和Infer Content-Type XML Payload Action之外的XML、JSON检查将不适用。——NeedCopy >

以JSON形式检查查询内容类型的示例:

> set appfw profile p1 -type JSON Warning: HTML, XML checking except " InspectQueryContentTypes " & " Infer Content-Type XML Payload Action将不适用于配置文件类型不是HTML或XML分别完成

错误URL表达式。Citrix Web App Firewall 用作错误 URL 的 URL。最大长度：2047。

注意:对于阻止请求URL中的违规,如果错误的URL与签名URL相似,则设备将重置连接。