签名规则模式

您可以添加模式或修改现有模式，以指定一个字符串或表达式，用于在特征码匹配时描述攻击的特征。【中文翻译】您可以使用工具实时观察连接数据，或从有关攻击的第三方报告中获取字符串或表达式。

小心：

添加到签名规则的任何新模式都与现有模式保持与关系。如果您不希望潜在攻击必须匹配所有模式才能匹配特征码，请勿将模式添加到现有特征码规则中。

(1) SQL。“”“”“”“”“”【中文翻译】如果你不明白它们是如何工作的，你可以无意中创建一个模式，该模式匹配你不想要的东西（假阳性），或者不能匹配你想要的东西（假负性）。

非默认内容类型的自定义签名模式

Citrix ADC Web应用防火墙(WAF)现在支持用于检查规范化内容的新位置。。如果将这些内容类型列入白名单,且未应用配置的操作,则SQL和跨站点脚本保护检查不会过滤编码负载中的SQL或跨站点脚本攻击。要解决此问题,用户可以使用此新位置(HTTP_CAON_POST_BODE)创建自定义签名规则,该位置检查编码的有效负载是否存在非默认内容类型,如果存在任何SQL或跨站点脚本攻击,它会阻止后的流量。

注意/ / / / / /

如果您还不熟悉PCRE格式正则表达式,则可以使用以下资源了解基础知识,或者寻求解决某些特定问题的帮助:

• “掌握正则表达式”第三版。Copyright (c) 2006 by Jeffrey Friedl. O’Reilly Media, ISBN: 9780596528126.
• “正则表达式食谱”。版权所有(c) 2009由Jan Goyvaerts和Steven Levithan。O 'Reilly Media, ISBN: 9780596520687
• PCRE手册页/规范(文本/官方):http://www.pcre.org/pcre.txt
• preman /

http://www.gammon.com.au/pcre/index.html

• 【中文译文：http://en.wikipedia.org/wiki/PCRE
• 【中文翻译PCRE-Dev-PCRE

如果您需要在PCRE格式正则表达式中编码非ASCII字符,Citrix ADC平台支持编码十六进制utf - 8代码。有关更多信息，请参阅中文:中文。

配置签名规则模式

1. 导航到“Citrix Web应用防火墙。
2. 在详细信息窗格中，选择要配置的签名对象，然后单击打开。

3. 在“修改签名对象”对话框的“筛选结果”窗口下方的屏幕中间，单击“添加”以创建签名规则，或者选择现有签名规则，然后单击“打开”。

   注意： 您只能修改添加的签名规则。您无法修改默认签名规则。

   根据您的操作，将显示“添加本地签名规则”或“修改本地签名规则”对话框。两个对话框具有相同的内容。

4. 在对话框的“板片”窗口下，单击“添加”添加新板片，或者从“添加”按钮下方的列表中选择现有板片，然后单击“打开”。根据您的操作，将显示“创建新签名规则模式”或“编辑签名规则模式”对话框。两个对话框具有相同的内容。

5. 在板片类型下拉列表中，选择板片要匹配的连接类型。

   • 如果模式旨在匹配请求元素或功能(例如注入的SQL代码,对Web表单的攻击,跨站点脚本或不适当的URL),请选择“请求”。
   • 如果模式旨在匹配响应元素或功能（如信用卡号或安全对象），请选择“响应”。

6. 在位置区域中，定义要使用此模式检查的元素。★★★★★★★★★★★★★★★“位置”区域中显示的选项取决于所选的板片类型。如果选择“请求”作为模式类型,则会显示与HTTP请求相关的项目。“。此外，当您从“区域”下拉列表中选择一个值时，“位置”区域的其余部分会以交互方式更改。以下是本部分中可能出现的所有配置项目。

   • 区域。描述HTTP 连接特定部分的元素的下拉列表。选择如下：
     • HTTP_ANY。HTTP:笨笨笨笨。
     • HTTP_COOKIE。http://www.qqqq.com http://www.qqqq.com http://qqqq.com http://qqqq.com http://qqqq.com http://www.qqqq.com注意:不搜索HTTP响应“设置饼干:“标题。
     • HTTP_FORM_FIELD。齐泽润，齐泽润，齐泽润，齐泽润，齐泽润您可以使用<地址>标签进一步限制要搜索的表单字段名称列表。
     • HTTP_HEADER。http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com
     • HTTP_METHOD。HTTP。
     • HTTP_ORIGIN_URL。网址。
     • HTTP_POST_BODY。HTTP:中文:Web:中文:Web
     • HTTP_RAW_COOKIE。“cookie”，“cookie”。注意:不搜索HTTP响应“设置饼干:“标题。
     • HTTP_RAW_HEADER。整个HTTP标头,单个标头由换行字符(n)或回车/换行字符串(rn)分隔。
     • HTTP_RAW_RESP_HEADER。http://www.qqqq.com http://www.qqqq.com, http://www.qqqq.com, http://www.qqqq.com与HTTP_RAW_HITER一样,单个标题由换行字符(n)或回车/换行字符串(rn)分隔。
     • HTTP_RAW_SET_COOKIE。完成任何URL转换后,整个set - cookie标头注意:URL转换可以更改set - cookie标头的域和路径部分。
     • HTTP_RAW_URL。http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com
     • HTTP_RESP_HEADER。http://www.qqqq.com http://www.qqqq.com http://www.qqqq.com
     • HTTP_RESP_BODY。HTTP
     • HTTP_SET_COOKIE。HTTP响应标头中的所有“设置饼干”标头。
     • HTTP_STATUS_CODE。HTTP。
     • HTTP_STATUS_MESSAGE。HTTP。
     • HTTP_URL。在转换为 UTF-* 字符集、URL 解码、剥离空格以及将相对 URL 转换为绝对 URL 之后，HTTP 标头中 URL 的值部分（不包括任何查询或片段端口）。不包括 HTML 实体解码。
     • URL。http://www.chinac.cn/cn/或http://www.chinac.cn/cn/cn/选择以下设置之一。
     • 任何。链接本文:
     • 字面。中国日报网2015-10-29选择“文字”后，将显示一个文本框。在文本框中键入所需的文字字符串。
     • PCRE。中国科学院院士。选择此选项后，将显示正则表达式窗口。在窗口中键入正则表达式。您可以使用正则表达式在光标处插入常见的正则表达式元素,也可以单击正则表达式编辑器显示“Regex编辑器”对话框,该对话框为构建所需的正则表达式提供了更多帮助。
     • 表达式。Citrix ADC
     • 字段名称。检查在“ 区域”选择指定的元素中找到的任何表单字段名称。任何。链接本文:
     • 字面。中国日报网2015-10-29选择“文字”后，将显示一个文本框。在文本框中键入所需的文字字符串。
     • PCRE。中国科学院院士。选择此选项后，将显示正则表达式窗口。在窗口中键入正则表达式。您可以使用正则表达式令牌插入常见的正则表达式元素，也可以使用正则表达式编辑器来帮助构建所需的正则表达式。
     • 表达式。Citrix ADC

7. 在板片区域中，定义模式。中文名称:中文名称:板片区域包含以下元素： - 匹配。可用于签名的搜索方法的下拉列表。此列表根据模式类型是“请求”还是“响应”而有所不同。

   请求匹配类型PCRE。【中文翻译】

   注意【中文译文】:你可以用英文来表达你的意思。这些工具不适用于大多数其他类型的模式。

   • 注射。Web应用防火墙SQL。Web应用防火墙(Web application Firewall)

   • CrossSiteScripting。Web应用防火墙。“Web应用防火墙”、“Web应用防火墙”、“Web应用防火墙”、“Web应用防火墙”

   • 表达式。Citrix ADC 默认表达式语言中的表达式与在 Citrix ADC 设备上创建 Web App Firewall 策略的表达式语言相同。虽然 Citrix ADC 表达式语言最初是针对策略规则开发的，但它是一种高度灵活的通用语言，也可用于定义签名模式。

   。有关表达式编辑器的详细信息以及有关如何使用它的说明，请参阅使用添加表达式对话框添加防火墙规则（表达式）

   响应匹配类型：

   ——文字。一个字面值字符串- PCRE。pcre格式的正则表达式。

   注意

   【中文翻译】、【中文翻译】这些工具不适用于大多数其他类型的模式。

   • 信用卡。内置模式，以匹配六种支持的信用卡号码类型之一。

   注意：

   表达式匹配类型不适用于响应端签名。

   • 图案窗口（未标签）

   在此窗口中，键入要匹配的模式，然后填写任何其他数据。

   • 字面。在文本区域中键入要搜索的字符串。
   • CRE。在文本区域中键入正则表达式。使用 Regex 编辑器获得更多帮助，以便构建所需的正则表达式，或者使用 Regex 令牌在光标处插入常见的正则表达式元素。若要启用 UTF-8 字符，请单击 UTF-8。
   • 表达式。在文本区域中键入 Citrix ADC 高级表达式。使用前缀选择表达式中的第一个术语，或者使用操作符在光标处插入常用运算符。单击“添加”打开“添加表达式”对话框，获得构建所需正则表达式的更多帮助。单击“评估”以打开“高级表达式赋值器”，以帮助确定表达式具有的效果。
   • 抵消。开始匹配此模式之前要跳过的字符数。您可以使用此字段在第一个字符以外的某个点开始检查字符串。
   • 深度。从起点检查匹配的字符数。您可以使用此字段将大字符串的搜索限制为特定数量的字符。
   • 最小的长度。要搜索的字符串必须至少为指定的字节数。较短的字符串不匹配。
   • 最大长度。要搜索的字符串的长度不得超过指定的字节数。较长的字符串不匹配。
   • 搜索方法。标记为快速匹配的复选框。您可以仅为文字模式启用快速匹配，以提高性能。
8. 单击好吧（确定）。
9. 重复前四个步骤以添加或修改更多模式。
10. 完成添加或修改模式后，单击“确定”保存更改并返回“签名”窗格。

小心：

在“添加本地签名规则”或“修改本地签名规则**”对话框中单击“确** 定”之前，您的更改不会保存。除非要放弃所做的更改，否则请勿在未单击“确定”的情况下关闭其中任何一个对话框。