配置或修改签名对象
您可以在创建签名对象后配置签名对象,或者修改现有签名对象,以启用或禁用签名类别或特定签名,并配置 Web App Firewall 在签名与连接匹配时的响应程序式。
配置或修改签名对象
导航到安全 > Citrix Web App Firewall > 签名。
在详细信息窗格中,选择要配置的签名对象,然后单击打开。
在“修改签名对象”对话框中,设置左侧的“显示筛选条件”选项以显示要配置的筛选条件。
修改这些选项时,您请求的结果将显示在右侧的“筛选结果”窗口中。
- 要仅显示选定的签名类别,请选中或清除相应的签名类别复选框。签名类别为:
名称 此签名可防止的攻击类型 CGI CGI 脚本。包括 Perl 和 UNIX 外壳脚本。 客户端 浏览器和其他客户端。 coldfusion 使用 Adobe Systems ColdFusion 应用程序服务器的网站。 frontpage 使用微软 FrontPage 服务器的网站。 IIS 使用微软互联网信息服务器 (IIS) 的网站。 杂项 杂项攻击. PHP 使用 PHP 的网站 web-activex 包含 ActiveX 控件的网站。 web-struts 包含 Apache struts 的网站,这些是基于 java-ee 的小程序。 - 若要仅显示已启用特定复选操作的签名,请选中其中每个操作的开复选框,清除其他操作的开复选框,然后清除所有 OFF 复选框。若要仅显示禁用特定复选操作的签名,请选中其各自的 OFF 复选框并清除所有开复选框。若要显示签名,无论签名是否启用或禁用了检查操作,请选中或清除该操作的开和 OFF 复选框。检查操作是:
标准 说明 已启用 签名已启用。Web App Firewall 仅检查处理流量时启用的签名。 阻止 与此签名匹配的连接将被阻止。 日志 将为与此签名匹配的任何连接生成日志条目。 统计信息 Web App Firewall 在为该检查生成的统计信息中包含与此签名匹配的任何连接。 - 若要仅显示包含特定字符串的签名,请在筛选条件下的文本框中键入该字符串,然后单击搜索。
- 若要将所有显示筛选条件重置为默认设置并显示所有签名,请单击“全部显示”。
有关特定签名的信息,请选择签名,然后单击“更多”字段中的蓝色双箭头。此时将显示签名规则漏洞详细信息消息框。它包含有关签名用途的信息,并提供有关此签名所处理漏洞或漏洞的外部基于 Web 的信息的链接。要访问外部链接,请单击该链接描述左侧的蓝色双箭头。
通过选中相应的复选框来配置签名的设置。
如果要向签名对象添加本地签名规则,或者修改现有的本地签名规则,请参阅签名编辑器。
如果您不需要 SQL 注入、跨站点脚本或 Xpath 注入模式,请单击确定,然后单击关闭。否则,在详细信息窗格的左下角,单击管理 SQL/ 跨站点脚本模式。
在 “管理 SQL/ 跨站点脚本模式” 对话框的 “筛选结果” 窗口中,导航到要配置的模式类别和模式。有关 SQL 注入模式的信息,请参阅HTML SQL 注入检查。有关跨站点脚本模式的信息,请参阅HTML 跨站点脚本检查。
要添加新模式:
- 选择要添加新模式的分支。
- 单击“过滤结果”窗口下方的“添加”按钮。
- 在“创建签名项目”对话框中,使用要添加的模式填充元素文本框。如果要向转换规则分支添加转换模式,请在“元素”下,填写“起始”文本框,填写要更改的模式,填写“起始”文本框,填写要更改之前模式的模式。
- 单击OK(确定)。
要修改现有模式,请执行以下操作:
- 在“筛选结果”窗口中,选择包含要修改的模式的分支。
- 在“过滤结果”窗口下方的详细信息窗口中,选择要修改的模式。
- 单击Modify(修改)。
- 在“修改签名项目”对话框的“元素”文本框中,修改模式。如果您正在修改变换模式,则可以在“元素”下的“从”和“收件人”文本框中修改任何一种或两种模式。
- 单击OK(确定)。
要删除模式,请选择要删除的模式,然后单击“过滤结果”窗口下方的详细信息窗格下方的“删除”按钮。出现提示时,通过单击“关闭”来确认您的选择。
要将模式类别添加到跨站点脚本分支,请执行以下操作:
- 选择要添加模式类别的分支。
单击“过滤结果”窗口下方的“添加”按钮。
注意:目前,您只能将一个类别(命名模式)添加到跨站点脚本分支中,因此单击 “添加” 后,必须接受默认选项,即模式。
- 单击OK(确定)。
要删除分支,请选择该分支,然后单击“筛选结果”窗口下方的“删除”按钮。出现提示时,通过单击确定确认您的选择。
注意:如果删除默认分支,则删除该分支中的所有模式。这样做可以禁用使用该信息的安全检查。
SQL注完成修改入,跨站点脚本和 XPath 注入模式后,单击确定,然后单击关闭返回到修改签名对象对话框。
在任何时候单击“确定”以保存您的更改,当您完成配置签名对象后,单击“关闭”。