安全检查概述
Web应用程序防火墙高级保护(安全检查)是一组过滤器,旨在捕获对受保护的网站和Web服务的复杂或未知攻击。安全检查使用启发式、正安全性和其他技术来检测单独由签名无法检测到的攻击。您可以通过创建和配置Web应用防火墙配置文件来配置安全检查,该配置文件是用户定义的设置集合,用于告知Web应用防火墙要使用哪些安全检查以及如何处理未通过安全检查的请求或响应。配置文件与签名对象以及用于创建安全配置的策略相关联。
Web应用程序防火墙提供了20项安全检查,这些检查的目标攻击类型及其配置的复杂程度差异很大。安全检查分为以下几类:
- 常见的安全检查。适用于不涉及内容或同样适用于所有类型内容的Web安全任何方面的检查。
- HTML安全检查。检查HTML请求和响应。这些检查适用于基于HTML的网站和Web 2.0网站的HTML部分,这些部分包含HTML和XML混合内容。
- XML安全检查。检查XML请求和响应的检查。这些检查适用于基于XML的Web服务和Web 2.0站点的XML部分。
安全检查可防范各种类型的攻击,包括操作系统和Web服务器软件漏洞的攻击,SQL数据库漏洞,网站和Web服务的设计和编码错误以及无法保护托管或可以访问敏感信息的站点的安全。
所有安全检查都有一组配置选项,即检查操作,用于控制Web应用防火墙如何处理与检查匹配的连接。三个检查操作可用于所有安全检查。具体如下:
- 阻止。阻止与签名匹配的连接。默认情况下禁用。
- 日志。记录与签名匹配的连接,以供日后分析。默认已启用。
- 统计数据。维护每个签名的统计信息,以显示其匹配的连接数量,并提供有关被阻止的连接类型的某些其他信息。默认情况下禁用。
第四个检查操作”学习可用于半数以上的检查操作。它观察到受保护网站或Web服务的流量,并使用反复违反安全检查的连接来生成建议的例外情况(放松),或为支票制定新规则。除了检查操作之外,某些安全检查还包含参数,用于控制检查用于确定哪些连接冲突检查的规则,或者配置Web应用防火墙对冲突检查的连接的响应。这些参数对于每个检查都是不同的,并且在每个检查的文档中描述了这些参数。
要配置安全检查,可以使用Web应用防火墙向导(如Web应用程序防火墙向导中所述),也可以按照使用GUI手动配置中所述手动配置安全检查.某些任务(例如手动输入放宽或规则或查看学习的数据)只能通过GUI而不是命令行来完成.使用该向导通常是最佳的配置方法,但在某些情况下,如果您完全熟悉该向导并且只想调整配置以进行单个安全检查,手动配置可能会更容易。
无论使用哪种方法配置安全检查,每个安全检查都要求执行某些任务。许多检查要求您指定例外(放宽),以防止阻止合法流量,然后再启用阻止该安全检查。您可以手动执行此操作,方法是在筛选一定数量的流量后观察日志条目,然后创建必要的异常。但是,启用学习功能并让它观察流量并建议必要的例外情况通常要容易得多。
Web应用程序防火墙在处理事务时使用数据包引擎(PE)。每个数据包引擎的会话限制为100k,这足以满足大多数部署方案。但是,当Web应用防火墙处理大量流量并且会话超时配置为较高的值时,会话可能会累积。如果活动的Web应用防火墙会话数超过每个PE 100 k限制,则Web应用防火墙安全检查冲突可能不会发送到安全智能分析设备。将会话超时降低到较小的值,或使用无会话URL关闭或无会话字段一致性的安全检查使用无会话模式可能有助于防止会话累积。如果在事务可能需要较长会话的情况下,这不是一个可行的选项,建议升级到具有更多数据包引擎的更高端平台。
添加了对缓存的AppFirewall的支持,并且通过CLI每核心的最大会话设置设置为50 k会话。
本内容的正式版本为英文版。部分思杰文档内容采用了机器翻译,仅供您参考。Citrix 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Citrix 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Citrix 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Citrix 不承担任何责任。
Dieser dienst kann Übersetzungen enthalten, die von谷歌beritgestellt werden。谷歌lehnt jede ausdrÜckliche oder stillschweigende gewÄhrleistung in bezug auf die Übersetzungen ab, einschliesslich jeglicher gewÄhrleistung der genauigkeit, zuverlÄssigkeit und jeglicher stillschweigende gewÄhrleistung der marktgÄngigkeit, der eignung fÜr einen beestimmten zweck und der nichtverletzung von rechten dritter。
我们的服务是平等的。谷歌排除相对的,隐含的,确切的,确切的,fiabilitÉ和隐含的qualitÉ marchande, 'adÉquation À unusage particulier et d '缺席的contrefaÇon。
Este servicio puede contener traducciones con tecnologÍa de谷歌。谷歌renuncia a todas las garantÍas relacionadas con las traducciones, tanto implÍcitas como explÍcitas,包括iduidas las garantÍas de精确,fiabilidad y otras garantÍas implÍcitas de comerciabilidad, idoneidad para UN fin en特别y ausencia de infracciÓn de derechos。
本服务可能包含由谷歌提供技术支持的翻译。谷歌对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性,特定用途的适用性和非侵权性的任何暗示保证。
このサビスには,谷歌が提供する翻訳が含まれている可能性があります。谷歌は翻訳について,明示的か黙示的かを問わず,精度と信頼性に関するあらゆる保証,および商品性,特定目的への適合性,第三者の権利を侵害しないことに関するあらゆる黙示的保証を含め,一切保証しません。
Este serviÇo pode conter traduÇÕes fornecidas pelo谷歌。O谷歌se exme de todas as garantias relacionadas com as traduÇÕes, expressas ou implÍcitas, incluindo ququer garantia de precisÃo, conffiabilidade e ququer garantia implÍcita de comercializaÇÃo, adequaÇÃo a um propÓsito especÍfico e nÃo infraÇÃo。
