NetScaler VPX在Azure上的部署（二）

本文是Citrix的工程师协助完成。主要是Citrix的VPX的配置。

导入License

 

进入NetScaler
中点击管理许可

 

导入后将有提示，请确认重启。

 

配置Azure HA

由于Netscaler VPX对于负载均衡集探测端口采用的是TCP 9000，所以在配置时，需要注意添加负载均衡集时对探测端口的配置。下面是映射tcp 15000的例子：

定义公网端口和内网端口的对应关系

定义健康监控端口为9000, 检测协议为TCP ，探测周期为 5秒. Azure也许会出现端口不匹配的警告，忽略继续配置即可.

 

配置NetScaler HA

 

添加备机

输入对端地址和密码

主备状态形成：

 

创建Service

 

输入名称，地址，并选择协议和端口

 

创建LB virtual server并绑定Service（或Service group）

点击标签绑定service（或者service group）

绑定结果

配置应用防火墙

创建业务相关签名

 

在Security>AppFirewall>Signatures定义和保护业务相关的签名

 

命名，并且Enable相应的签名

为保护业务添加一个basic application firewall profile ，到Security> Application Firewall> Profiles 点击Add. 给profile命名，选择Web Application ， Defaults 选择 Basic.

 

配置安全检查选项

在profile点击Edit，为起始 URL, SQL注入和跨站脚本检查打开阻截,日志，学习和统计动作 . 为拒绝URL,缓冲溢出，区域格式检查打开阻截，日志和统计动作。

配置profile. 把签名绑定到 profile 然后选择 Exclude Uploaded Files from Security Checks.

创建和绑定应用防火墙的策略

然后到Security>Application Firewall>Policies> Application Firewall Policies创建应用防火墙的策略并且绑定
profile。利用语法HTTP.REQ.HOSTNAME.EQ("hwnetscaler.chinacloudapp.cn") 来匹配防护站点流量 (用你的域名来代替)

 

 

在policy 处,点击 Policy Manager. 在Bind Point 处选择配置的 Load Balancing Virtual Server. 然后点击Continue

 

 

在 Select Policy 处，点击箭头就会看到策略选项，选择之前建立的策略，点击绑定 Bind.

绑定后如图

 

在Application Firewall Policies 面板刷新，策略处绿色的对勾表明策略被激活

现在您的应用已经被应用防火墙保护了。您可以监控日志来查看哪些威胁被检测报警，可以根据业务特性进行调优，如需要也能添加排除策略。

敏感信息防泄露

NetScaler 应用防火墙不但可以保护入向的流量，还可以对服务器回应用户的出向的流量做出检查。当包含不希望用户看到的敏感信息，例如信用卡信息，有害关键字等，我们可以选择直接移除或者打码。在Credit Card Setting中已经内置了几大流行的信用卡。

当需要定义更多的信用卡，或者敏感字段时，只需要在AppFW profile-> Relaxation Rules中的Credit Card和Safe object定义关键字即可，支持中英文等多种语言

增加防刷新安全限速策略

 

CC刷新攻击和网络爬虫是很常见的网络攻击，NetScaler AppFW有非常简易精确的限速策略，可以根据源地址，时间点，URL等条件来控制防御

在NetScaler>AppExpert>Rate Limiting>Limit Identifiers配置限速阈值，NetScaler以毫秒为单位，本例中，10秒中内同一用户命中2次以上即触发阈值

在NetScaler>AppExpert>Responder>Responder Policies建立策略，动作可以使用默认的丢弃或者重置，也可以自定义动作，例如重定向到某个网页等。本例的策略为刷新特定url的次数到达阈值后触发规定动作

进入vserver，绑定responder policy就可以应用了

点击加号，选择responder请求策略

选择限速策略

动态补丁

NetScaler集成了众多著名安全厂商的漏洞扫描工具，例如IBM AppScan ，Cenzic，Deep Security ，HPE WebInspect， Qualys，Whitehat。此类工具扫描的漏洞结果可以作为动态补丁实时导入

例如，通过IBM AppScan Standard扫描网站漏洞

导出扫描结果

在NetScaler中导入扫描结果

生成动态补丁

 

结论

Citrix NetScaler AppFirewall和Azure云计算平台进行了完全深度的整合，可对容纳于其中的业务进行全面立体的多维安全防御。通过内置的灵活策略，各种规模的企业和各种类型的业务均能够高速稳定的安全运行，实时抵御各种流行的网络攻击威胁，过滤双向流量防止数据泄露。通过和著名第三方安全平台的协作，NetScaler AppFirewall获得了实时增加动态补丁的能力。利用BYOL许可模式，Azure NetScaler用户也同样拥有按需购买按需升级的能力，不需更改配置便能获得性能的提升。