签名编辑器
您可以使用签名编辑器向现有签名对象添加或修改用户定义的(本地)签名规则。本地签名规则与Citrix的默认签名规则具有相同的属性,并且其运行方式相同。您可以启用或禁用它,并为其配置签名操作,就像对默认签名所做的那样。
如果您需要保护自己的网站和服务免受现有签名不匹配的已知攻击,请添加本地规则。例如,您可能会发现新类型的攻击并通过检查Web服务器上的日志来确定其特征,或者您可能会获取有关新类型攻击的第三方信息。
签名规则的核心是规则模式,它们共同描述了规则旨在匹配的攻击的特征。每个模式可以由简单字符串,PCRE格式的正则表达式或内置SQL注入或跨站点脚本模式组成。
您可能希望通过添加新模式或修改现有模式以匹配攻击来修改签名规则。例如,您可能会了解攻击的更改,或者通过检查Web服务器上的日志或第三方信息来确定更好的模式。
使用签名编辑器添加或修改本地签名规则
导航到安全> Citrix Web应用防火墙>签名。
在详细信息窗格中,选择要编辑的签名对象,然后单击打开。
在“对修改签名对象”话框的“筛选结果“窗口下的屏幕中间,执行以下操作之一:
- 要添加新的本地签名规则,请单击“添加”。
- 若要修改现有的本地签名规则,请选择该规则,然后单击”打开”。
在“添加本地签名规则“或”修改本地签名规则“对话框中,通过选中相应的复选框来配置签名的操作。
- 已启用。启用新的签名规则。如果未选择此选项,则此新签名规则将添加到您的配置中,但处于非活动状态。
- 阻止。阻止冲突此签名规则的连接。
- 日志。将冲突此签名规则的行为记录到Citrix ADC日志中。
- 统计。在统计数据中包括冲突此签名规则的行为。
- 删除。从响应中删除与签名规则匹配的信息。(仅适用于响应规则。)
- x。掩盖与字母X相匹配的签名规则的信息(仅适用于响应规则。)
- 允许重复项。允许在此签名对象中重复此签名规则。
从“类别”下拉列表中为新签名规则选择一个类别。
您也可以通过单击列表右侧的图标并使用添加签名规则类别对话框向列表中添加新类别来创建类别。您正在修改的规则将自动添加到新类别中。有关说明,请参阅添加签名规则类别。
在LogString文本框中,键入要在日志中使用的签名规则的简要说明。
在注释文本框中,键入注释。(可选)
单击更多…,然后修改高级选项。
- 要在应用此签名规则之前删除HTML注释,请在“删除注释”下拉列表中选择“全部”或“排除脚本标签”。
- 要设置CSRF实际头检查,请在CSRF反向链接头检查单选按钮数组中,选择“如果存在”或“始终”单选按钮。
- 要手动修改分配给此本地签名规则的规则ID,请在“规则ID”文本框中修改编的号。ID必须是介于1000000和1999999之间的正整数,且尚未分配给本地签名规则。
- 要将版本号分配给新签名规则,请在“版本号”文本框中修改编的号。
- 要分配源ID,请修改源ID文本框中的字符串。
- 要指定源,请从“源”下拉列表中选择“本地”或“放风”,或单击列表右侧的“添加“图标并添加新源。
- 若要将伤害评分分配给冲突此本地签名规则的行为,请在伤害评分文本框中键入 1 到 10 之间的数字。
- 要为此本地签名规则分配严重性等级,请在“严重性”下拉列表中选择“高”,“中”或“低”,或单击列表右侧的“添加“图标并添加新的严重性等级。
- 要为此本地签名规则分配冲突类型,请在“类型”下拉列表中选择“易受攻击”或“警告”,或单击列表右侧的“添加“图标并添加新的冲突类型。
在板片列表中,添加或编辑模式。
- 要添加模式,请单击”添加”。在“创建新签名规则模式”对话框中,为您的签名规则添加一个或多个模式,然后单击“确定”。
- 若要编辑模式,请选择模式,然后单击”打开”。在“编辑签名规则模式“对话框中,修改该模式,然后单击“确定”。
有关添加或编辑模式的详细信息,请参阅签名规则模式。
单击好吧(确定)。