文件上传保护
在多表单提交过程中,许多攻击者试图将恶意代码、病毒或恶意软件作为文件附件上传。保护我们的网络并克服此类威胁非常重要。为防止此类恶意文件上传,Citrix ADC管理员现在可以在WAF配置文件中配置一组允许的文件上传格式。通过这样做,您可以将文件上传限制为特定格式,并保护设备免受恶意文件上传的侵害。但是,只有在禁用WAF配置文件中的“excludeFileUploadFormChecks”选项时,此保护才有效。
文件上传的工作原理
配置允许的文件上传格式时,组件交互如下所示:
- 客户端请求具有文件上传类型的表单提交,例如pdf。
- 作为安全检查的一部分,waf检查请求负载并验证文件类型(基于魔术签名编号)。
- 如果文件类型是允许的文件格式,则会应用基于文件类型绑定的相应操作。
- 为了验证文件类型,设备会检查有效负载并检查已知偏移量处的已知幻数。每种文件类型都有一系列用于验证文件类型的幻数。
- 只有在验证通过后,waf才会将文件标识为允许的格式,然后应用相关的操作。
使用Citrix ADC CLI配置文件类型上传
要配置允许的文件格式,设备使用绑定到文件上传参数的waf配置文件。
- 配置Web应用程序防火墙配
要配置网站应用程序防火墙配置文件,请键入以下命令:
set appfw profile [-fileUploadTypesAction ] = (none | block | log | stats)
示例
设置appfw profile profile1 -fileUploadTypesAction块
- 使用文件上传参数绑定网络应用程序防火墙配置该命令将指定的豁免(放宽)或规则绑定到指定的应用程序防火墙配置文件。
要使用文件上传参数绑定配置文件,请键入以下命令:
bind appfw profile - fileUploadType -fileType (pdf | msdoc | text | image | any)
\ [-isNameRegex正则表达式(REGEX | NOTREGEX) \] > * *注意:* * > >表单字段名称是正则表达式类型。默认值为' notregex '。###示例' > bind appfw profile test -fileuploadType thefile "http://10.10.10.10/fileupload_sample/upload.php" -filetype image -isNameRegex '——>
使用Citrix ADC GUI配置文件上传安全保护
按照以下步骤设置文件上传设置。
- 在导航窗格中,导航到安全>配置文件。
- 在配置文件页面中,单击添加。
- 在Citrix Web应用程序防火墙配置文件页面中,单击高级设置下的安全检查。
在“安全检查“部分中,转到”文件上传类型设置。
- 选中该复选框,然后单击操作设置。
- 在“文件上传类型设置”页面中,设置文件上传操作。
- 单击”确定”。
在Citrix Web应用程序防火墙配置文件页面中,单击确定和完成。
使用Citrix ADC GUI配置文件上传放宽规则
您可以放松文件上传安全保护以避免误报。例如,设备可能会阻止文件上传,但您可以添加放宽规则以允许从特定网站上传文件。这样,设备就会绕过对指定表单域的安全检查,并允许用户从操作url中提到的网站上传文件。
按照以下步骤创建放宽规则。
- 在导航窗格中,导航到安全>Citrix Web应用防火墙<配置文件。
- 在配置文件页面中,单击添加。
- 在Citrix Web应用程序防火墙配置文件页面中,单击高级设置下的放宽规则。
在放宽规则部分中,选择文件上传类型,然后单击编辑。
- 在“文件上传类型重新调整规则“页中,单击”添加”。
在“文件上传类型放宽规则页面中,设置以下参数:
- 已启用。选中此复选框可启用放宽规则。
- 表单字段名称。输入不需要安全检查的字段名称。
- 操作url。必须免除安全检查的表单提交url。
- 文件类型。用户必须允许上传的文件类型。
- 评论。关于文件上传的简要说明。
单击创建。
在Citrix Web应用程序防火墙配置文件页面中,单击确定和完成。
本内容的正式版本为英文版。部分思杰文档内容采用了机器翻译,仅供您参考。Citrix 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Citrix 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Citrix 不承担任何责任。
Dieser dienst kann Übersetzungen enthalten, die von谷歌beritgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigende gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen beestimmten zweck und der nichtverletzung von rechten dritter。
我们的服务是平等的。谷歌排除相对的,隐含的,确切的,确切的,fiabilitÉ和隐含的qualitÉ marchande, 'adÉquation À unusage particulier et d '缺席的contrefaÇon。
Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas,包括iduidas las garantÍas de精确,fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en特别y ausencia de infracciÓn de derechos。
本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
このサビスには,谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exme de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo ququer garantia de precisÃo, conffiabilidade e ququer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。