本文是Citrix的工程师协助完成。主要是Citrix的VPX的配置。
导入License
进入NetScaler 中点击管理许可
导入后将有提示,请确认重启。
配置Azure HA
由于Netscaler VPX对于负载均衡集探测端口采用的是TCP 9000,所以在配置时,需要注意添加负载均衡集时对探测端口的配置。下面是映射tcp 15000的例子:
定义公网端口和内网端口的对应关系
定义健康监控端口为9000, 检测协议为TCP ,探测周期为 5秒. Azure也许会出现端口不匹配的警告,忽略继续配置即可.
配置NetScaler HA
添加备机
输入对端地址和密码
主备状态形成:
创建Service
输入名称,地址,并选择协议和端口
创建LB virtual server并绑定Service(或Service group)
点击标签绑定service(或者service group)
绑定结果
创建业务相关签名
在Security>AppFirewall>Signatures定义和保护业务相关的签名
命名,并且Enable相应的签名
为保护业务添加一个basic application firewall profile ,到Security> Application Firewall> Profiles 点击Add. 给profile命名,选择Web Application , Defaults 选择 Basic.
配置安全检查选项
在profile点击Edit,为起始 URL, SQL注入和跨站脚本检查打开阻截,日志,学习和统计动作 . 为拒绝URL,缓冲溢出,区域格式检查打开阻截,日志和统计动作。
配置profile. 把签名绑定到 profile 然后选择 Exclude Uploaded Files from Security Checks.
创建和绑定应用防火墙的策略
然后到Security>Application Firewall>Policies> Application Firewall Policies创建应用防火墙的策略并且绑定 profile。利用语法HTTP.REQ.HOSTNAME.EQ("hwnetscaler.chinacloudapp.cn") 来匹配防护站点流量 (用你的域名来代替)
在policy 处,点击 Policy Manager. 在Bind Point 处选择配置的 Load Balancing Virtual Server. 然后点击Continue
在 Select Policy 处,点击箭头就会看到策略选项,选择之前建立的策略,点击绑定 Bind.
绑定后如图
在Application Firewall Policies 面板刷新,策略处绿色的对勾表明策略被激活
现在您的应用已经被应用防火墙保护了。您可以监控日志来查看哪些威胁被检测报警,可以根据业务特性进行调优,如需要也能添加排除策略。
敏感信息防泄露
NetScaler 应用防火墙不但可以保护入向的流量,还可以对服务器回应用户的出向的流量做出检查。当包含不希望用户看到的敏感信息,例如信用卡信息,有害关键字等,我们可以选择直接移除或者打码。在Credit Card Setting中已经内置了几大流行的信用卡。
当需要定义更多的信用卡,或者敏感字段时,只需要在AppFW profile-> Relaxation Rules中的Credit Card和Safe object定义关键字即可,支持中英文等多种语言
增加防刷新安全限速策略
CC刷新攻击和网络爬虫是很常见的网络攻击,NetScaler AppFW有非常简易精确的限速策略,可以根据源地址,时间点,URL等条件来控制防御
在NetScaler>AppExpert>Rate Limiting>Limit Identifiers配置限速阈值,NetScaler以毫秒为单位,本例中,10秒中内同一用户命中2次以上即触发阈值
在NetScaler>AppExpert>Responder>Responder Policies建立策略,动作可以使用默认的丢弃或者重置,也可以自定义动作,例如重定向到某个网页等。本例的策略为刷新特定url的次数到达阈值后触发规定动作
进入vserver,绑定responder policy就可以应用了
点击加号,选择responder请求策略
选择限速策略
动态补丁
NetScaler集成了众多著名安全厂商的漏洞扫描工具,例如IBM AppScan ,Cenzic,Deep Security ,HPE WebInspect, Qualys,Whitehat。此类工具扫描的漏洞结果可以作为动态补丁实时导入
例如,通过IBM AppScan Standard扫描网站漏洞
导出扫描结果
在NetScaler中导入扫描结果
生成动态补丁
结论
Citrix NetScaler AppFirewall和Azure云计算平台进行了完全深度的整合,可对容纳于其中的业务进行全面立体的多维安全防御。通过内置的灵活策略,各种规模的企业和各种类型的业务均能够高速稳定的安全运行,实时抵御各种流行的网络攻击威胁,过滤双向流量防止数据泄露。通过和著名第三方安全平台的协作,NetScaler AppFirewall获得了实时增加动态补丁的能力。利用BYOL许可模式,Azure NetScaler用户也同样拥有按需购买按需升级的能力,不需更改配置便能获得性能的提升。