本文是Citrix的工程师协助完成。主要是Citrix的VPX的配置。

导入License

 

进入NetScaler
中点击管理许可

 

导入后将有提示,请确认重启。

 

配置Azure HA

由于Netscaler VPX对于负载均衡集探测端口采用的是TCP 9000,所以在配置时,需要注意添加负载均衡集时对探测端口的配置。下面是映射tcp 15000的例子:

定义公网端口和内网端口的对应关系

定义健康监控端口为9000, 检测协议为TCP ,探测周期为 5秒. Azure也许会出现端口不匹配的警告,忽略继续配置即可.

 

配置NetScaler HA

 

添加备机

输入对端地址和密码

主备状态形成:

 

创建Service

 

输入名称,地址,并选择协议和端口

 

创建LB virtual server并绑定Service(或Service group)

点击标签绑定service(或者service group)

绑定结果

配置应用防火墙

创建业务相关签名

 

在Security>AppFirewall>Signatures定义和保护业务相关的签名

 

命名,并且Enable相应的签名

为保护业务添加一个basic application firewall profile ,到Security> Application Firewall> Profiles 点击Add. 给profile命名,选择Web Application , Defaults 选择 Basic.

 

配置安全检查选项

在profile点击Edit,为起始 URL, SQL注入和跨站脚本检查打开阻截,日志,学习和统计动作 . 为拒绝URL,缓冲溢出,区域格式检查打开阻截,日志和统计动作。

配置profile. 把签名绑定到 profile 然后选择 Exclude Uploaded Files from Security Checks.

创建和绑定应用防火墙的策略

然后到Security>Application Firewall>Policies> Application Firewall Policies创建应用防火墙的策略并且绑定
profile。利用语法HTTP.REQ.HOSTNAME.EQ("hwnetscaler.chinacloudapp.cn") 来匹配防护站点流量 (用你的域名来代替)

 

 

在policy 处,点击 Policy Manager. 在Bind Point 处选择配置的 Load Balancing Virtual Server. 然后点击Continue

 

 

在 Select Policy 处,点击箭头就会看到策略选项,选择之前建立的策略,点击绑定 Bind.

绑定后如图

 

在Application Firewall Policies 面板刷新,策略处绿色的对勾表明策略被激活

现在您的应用已经被应用防火墙保护了。您可以监控日志来查看哪些威胁被检测报警,可以根据业务特性进行调优,如需要也能添加排除策略。

敏感信息防泄露

NetScaler 应用防火墙不但可以保护入向的流量,还可以对服务器回应用户的出向的流量做出检查。当包含不希望用户看到的敏感信息,例如信用卡信息,有害关键字等,我们可以选择直接移除或者打码。在Credit Card Setting中已经内置了几大流行的信用卡。

当需要定义更多的信用卡,或者敏感字段时,只需要在AppFW profile-> Relaxation Rules中的Credit Card和Safe object定义关键字即可,支持中英文等多种语言

增加防刷新安全限速策略

 

CC刷新攻击和网络爬虫是很常见的网络攻击,NetScaler AppFW有非常简易精确的限速策略,可以根据源地址,时间点,URL等条件来控制防御

在NetScaler>AppExpert>Rate Limiting>Limit Identifiers配置限速阈值,NetScaler以毫秒为单位,本例中,10秒中内同一用户命中2次以上即触发阈值

在NetScaler>AppExpert>Responder>Responder Policies建立策略,动作可以使用默认的丢弃或者重置,也可以自定义动作,例如重定向到某个网页等。本例的策略为刷新特定url的次数到达阈值后触发规定动作

进入vserver,绑定responder policy就可以应用了

点击加号,选择responder请求策略

选择限速策略

动态补丁

NetScaler集成了众多著名安全厂商的漏洞扫描工具,例如IBM AppScan ,Cenzic,Deep Security ,HPE WebInspect, Qualys,Whitehat。此类工具扫描的漏洞结果可以作为动态补丁实时导入

例如,通过IBM AppScan Standard扫描网站漏洞

导出扫描结果

在NetScaler中导入扫描结果

生成动态补丁

 

结论

Citrix NetScaler AppFirewall和Azure云计算平台进行了完全深度的整合,可对容纳于其中的业务进行全面立体的多维安全防御。通过内置的灵活策略,各种规模的企业和各种类型的业务均能够高速稳定的安全运行,实时抵御各种流行的网络攻击威胁,过滤双向流量防止数据泄露。通过和著名第三方安全平台的协作,NetScaler AppFirewall获得了实时增加动态补丁的能力。利用BYOL许可模式,Azure NetScaler用户也同样拥有按需购买按需升级的能力,不需更改配置便能获得性能的提升。

NetScaler VPX在Azure上的部署(二)的更多相关文章

  1. NetScaler VPX在Azure上的部署(一)

    本文将介绍NetScaler的VPX部署在Azure China上.包括如何通过vhd文件上传.创建虚拟机,以及如何部署VPX. 一.首先将VHD文件解压,放到目录D:\Azure中.VHD文件的获得 ...

  2. azure上连续部署web

    连续部署web   连续部署web,可以在第一次部署完web应用后,方便修改和自动提交代码部署新版本的web应用.其中自动提交使用github中的webhook,使代码在master上提交修改后可以自 ...

  3. 利用VS Code在Azure上构建部署静态页面

    0x00 前言 前一段时间,我找到了Jendrik Illner的个人网站.除了那里的精彩文章,网站的主题也吸引了我的注意力,而且我发现该网站的主题采用了Hugo的Academic主题. 然后,我认为 ...

  4. Azure上部署Barracuda WAF集群 --- 1

    公有云上的第一层防护,一般要采用Proxy模式的安全设备. 梭子鱼的WAF是最早支持Azure China公有云的安全设备. 本文记录了在Azure上安装部署Barracuda的过程.下面就是安装部署 ...

  5. 在公有云AZURE上部署私有云AZUREPACK以及WEBSITE CLOUD(二)

    前言 (二)建立虚拟网络环境,以及域控和DNS服务器   1搭建虚拟网络环境 在Azure上创建虚拟网络.本例选择的是东南亚数据中心.后面在创建虚机的时候,也选择这个数据中心. VNet Name: ...

  6. Azure容器监控部署(上)

    前两篇简单的介绍了一下prometheus的,本节原本是写node_exporter和cAdvisor的搭建,但网上教程很多,所以直接写整套环境的部署过程 一.架构 我们原来的系统架构是在AZURE上 ...

  7. 在公有云AZURE上部署私有云AZUREPACK以及WEBSITE CLOUD(一)

    (一)前言 本文主要介绍了实践部署AzurePack的Website Cloud的过程.在部署之前, 首先要对AzurePack有个基本的了解.   Azure Pack是微软的私有云方案,具有弹性. ...

  8. 在 Windows Azure 上部署并定制化 FreeBSD 虚拟机镜像

     发布于 2014-12-11 作者 陈阳 FreeBSD 基础镜像现已登陆中国的 VM Depot! 对于青睐 BSD 而非 Linux 的开源爱好者来说,这无疑是个好消息.同时,随着该基础镜像 ...

  9. 在 Windows Azure 上部署预配置 Oracle VM

    Microsoft 和 Oracle 近期宣布建立战略合作伙伴关系,基于此,我们将通过 Windows Azure 镜像库推出多种常用的 Oracle 软件配置.即日起,客户可以在 Windows S ...

随机推荐

  1. 【python】-- Socket

    socket socket本质上就是在2台网络互通的电脑之间,架设一个通道,两台电脑通过这个通道来实现数据的互相传递. 我们知道网络 通信 都 是基于 ip+port 方能定位到目标的具体机器上的具体 ...

  2. 【python】-- web开发之HTML

    HTML HTML是英文Hyper Text Mark-up Language(超文本标记语言)的缩写,是一种制作万维网页面标准语言(标记).通俗的讲就是相当于定义统一的一套规则,大家都来遵守他,这样 ...

  3. SDOI2017第一轮

    本蒟蒻表示终于$AC$了$SDOI2017\text{第一轮}$! 兴奋! 附上各个题的题解: $DAT1$: $T1$: BZOJ4816: [Sdoi2017]数字表格 $T2$: BZOJ481 ...

  4. 5.Django数据库配置

    Django默认支持sqlite.mysql.oracle.postgresql数据库,像db2和sqlserver需要安装第三方的支持 配置Django数据库:\hello_django\hello ...

  5. SVG嵌入HTML

    将SVG图像嵌入到HTML文件有多种方法: 使用<iframe>元素来嵌入SVG图像 使用<img>元素来嵌入SVG图像 将SVG图像作为背景图像嵌入 直接使用<svg& ...

  6. 基于Linux Shell的开机启动服务

    CentOS重启后,很多服务需要手动启动,很是麻烦,今天把需要开机启动或关闭的服务整理了一下,放入Linux Shell中,再将该Shell加入/etc/rc.local中,即可实现存储的自动挂载.S ...

  7. Kattis - flippingcards 【并查集】

    题意 给出 N 对 数字 然后 每次从一对中 取出一个数字 判断 能否有一种取出的方案 取出的每个数字 都是不同的 思路 将每一对数字 连上一条边 然后 最后 判断每一个连通块里面 边的个数 是否 大 ...

  8. Linux服务器上的tomcat中部署web项目

    首先了解一下下面几个概念,讲得不太准确:1.JVMJVM是class以及jar(实际上就是很多个class压缩在一起)的运行环境,特征就是java和javaw命令,通过这两个命令,你可以执行class ...

  9. 每天一个Linux命令(20)find命令_exec参数

    find命令的exec参数,用于find查找命令完成以后的后续操作.     (1)用法: 用法:  [find命令]  [-exec  其他命令 {} \;]     (2)功能: 功能:-exec ...

  10. ajax的原理及使用

    ajax并非是一门新的技术,而是现有技术的一种新的组合用法,即是结合异步javascript和XML,它是一种创建快速动态网页的技术.其中,异步javascript是相对于同步而言的,同步模式通常称为 ...