Web App Firewall-logboeken | Web-app-firewall (2023)

2 mei 2023

Mede mogelijk gemaakt door:

S

R

C

De Web App Firewall genereert logberichten voor het bijhouden van de configuratie, het aanroepen van beleid en details over schendingen van de beveiligingscontrole.

Wanneer u de logboekactie voor beveiligingscontroles of handtekeningen inschakelt, bieden de resulterende logboekberichten informatie over de verzoeken en reacties die de Web App Firewall heeft waargenomen bij het beschermen van uw websites en toepassingen. De belangrijkste informatie is de actie die door de Web App Firewall wordt ondernomen wanneer een handtekening of een schending van de beveiligingscontrole is waargenomen. Voor sommige beveiligingscontroles kan het logbericht nuttige informatie bevatten, zoals de locatie van de gebruiker of een gedetecteerd patroon dat een overtreding heeft veroorzaakt. Een buitensporige toename van het aantal overtredingsberichten in de logboeken kan wijzen op een toename van kwaadaardige verzoeken. Het bericht waarschuwt u dat uw toepassing mogelijk wordt aangevallen om misbruik te maken van een specifieke kwetsbaarheid die wordt gedetecteerd en gedwarsboomd door Web App Firewall-beveiligingen.

Opmerking:

Als u NetScaler Web App Firewall-logboeken wilt scheiden van de systeemlogboeken, moet u een externe SYSLOG-server gebruiken.

Logboeken in NetScaler-indeling (native).

De Web App Firewall gebruikt standaard logboeken in NetScaler-indeling (ook wel logboeken in native indeling genoemd). Deze logboeken hebben dezelfde indeling als de logboeken die worden gegenereerd door andere functies van NetScaler. Elk logboek bevat de volgende velden:

  • Tijdstempel. Datum en tijd waarop de verbinding tot stand is gekomen.
  • Ernst. Ernstniveau van het logboek.
  • Modulair. NetScaler-module die de logboekvermelding heeft gegenereerd.
  • Soort evenement. Type gebeurtenis, zoals schending van de handtekening of schending van de beveiligingscontrole.
  • Gebeurtenis-ID. ID toegewezen aan de gebeurtenis.
  • Client-IP. IP-adres van de gebruiker van wie de verbinding is geregistreerd.
  • Transactie ID. ID toegewezen aan de transactie die het logboek heeft veroorzaakt.
  • Sessie-ID. ID toegewezen aan de gebruikerssessie die het logboek heeft veroorzaakt.
  • Bericht. Het logbericht. Bevat informatie die de handtekening of beveiligingscontrole identificeert die de logboekvermelding heeft geactiveerd.

U kunt naar elk van deze velden zoeken, of naar een combinatie van informatie uit verschillende velden. Uw selectie wordt alleen beperkt door de mogelijkheden van de tools die u gebruikt om de logboeken te bekijken. U kunt de logboekberichten van de Web App Firewall bekijken in de GUI door de NetScaler syslog-viewer te openen, of u kunt handmatig verbinding maken met de NetScaler-appliance en toegang krijgen tot logboeken via de opdrachtregelinterface, of u kunt naar de shell gaan en de logboeken rechtstreeks vanuit de/var/log/map.

Voorbeeld van een logboekbericht in native indeling

Jun 22 19:14:37  10.217.31.98 06/22/2015:19:14:37 GMT ns 0-PPE-1 :standaard APPFW APPFW_cross-site scripting 60 0 : 10.217.253.62 616-PPE1 j /3upt2K8ySWWId3Kavbxyni7Rw0000pr_ffc http://aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=12345&drinking_pref=on&text_area=%3Cscript%3E%0D%0A&loginButton=ClickToLogin&as_sfid=AAAAAAWEXcNQLlSokN mqaYF6dvfqlChNzSMsdyO9JXOJomm2vBwAMOqZIChv21EcgBc3rexIUcfm0vckKlsgoOeC_BArx1Ic4NLxxkWMtrJe4H7SOfkiv9NL7AG4juPIanTvVo%3D&as_fid=feeec8758b41740eedeeb6b35 b85dfd3d5def30c Cross-site scriptcontrole mislukt voor veld tekstgebied ="Slechte tag: script"

Common Event Format-logboeken (CEF).

De Web App Firewall ondersteunt ook CEF-logboeken. CEF is een open logboekbeheerstandaard die de interoperabiliteit van beveiligingsgerelateerde informatie van verschillende beveiligings- en netwerkapparaten en -toepassingen verbetert. CEF stelt klanten in staat om een ​​gemeenschappelijk formaat voor gebeurtenislogboeken te gebruiken, zodat gegevens eenvoudig kunnen worden verzameld en geaggregeerd voor analyse door een bedrijfsbeheersysteem. Het logbericht is onderverdeeld in verschillende velden, zodat u het bericht gemakkelijk kunt ontleden en scripts kunt schrijven om belangrijke informatie te identificeren.

Het CEF-logboekbericht analyseren

Naast informatie over datum, tijdstempel, client-IP, logindeling, apparaat, bedrijf, buildversie, module en beveiligingscontrole, bevatten Web App Firewall CEF-logboekberichten de volgende details:

  • src – bron IP-adres
  • spt - bronpoortnummer
  • verzoek - verzoek-URL
  • handelen - actie (bijvoorbeeld geblokkeerd, getransformeerd)
  • msg - bericht (bericht met betrekking tot de waargenomen overtreding van de beveiligingscontrole)
  • Offset - vertegenwoordigt de bytes vanaf het begin van het bestand.
  • cn1 – gebeurtenis-ID
  • cn2 – HTTP-transactie-ID
  • cs1 – profielnaam
  • cs2 – PBM-ID (bijvoorbeeld PPE1)
  • cs3 - Sessie-ID
  • cs4 – Ernst (bijvoorbeeld INFO, ALERT)
  • cs5 - evenementenjaar
  • cs6 - Categorie Handtekeningschending
  • methode – Methode (bijvoorbeeld GET/POST)

Kijk bijvoorbeeld eens naar het volgende logboekbericht in CEF-indeling, dat werd gegenereerd toen een start-URL-schending werd geactiveerd:

12 juni 23:37:17  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_STARTURL|6|src=10.217.253.62 spt=47606 methode=GETrequest=http://aaron .stratum8.net/FFC/login.html msg=Niet toestaan ​​van illegale URL. cn1=1340cn2=653 cs1=pr_ffc cs2=PPE1 cs3=EsdGd3VD0OaaURLcZnj05Y6DOmE0002 cs4=ALERT cs5=2015act=geblokkeerd

Bovenstaande boodschap is op te splitsen in verschillende onderdelen. Verwijs naar deCEP-logboekcomponententafel.

Voorbeeld van een schending van een verzoekcontrole in CEF-logboekindeling: verzoek is niet geblokkeerd

13 juni 00:21:28  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_FIELDCONSISTENCY|6|src=10.217.253.62 spt=761 method=GET request=http:// aaron.stratum8.net/FFC/login.php?login_name=abc&passwd=123456789234&drinking_pref=on&text_area=&loginButton=ClickToLogin&as_sfid=AAAAAAWIahZuYoIFbjBhYMP05mJLTwEfIY0a7AKGMg3jIBaKmwtK4t7M7lNx Ogj7Gmd3SZc8KUj6CR6a7W5kIWDRHN8PtK1Zc-txHkHNx1WknuG9DzTuM7t1THhluevXu9I4kp8%3D&as_fid=feeec8758b41740eedeeb6b35b85dfd3d5def30c msg=Veldconsistentiecontrole mislukt voor veldwachtwoord dcn1=1401cn2=707 cs1=pr_ffc cs2= PPE1 cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=niet geblokkeerd

Voorbeeld van een overtreding van de reactiecontrole in CEF-indeling: reactie is getransformeerd

13 juni 00:25:31  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.253.62 spt=34041 method=GET request=http:// aaron.stratum8.net/FFC/CreditCardMind.html msg=Maximum aantal potentiële creditcardnummers gezien cn1=1470 cn2=708 cs1=pr_ffc cs2=PPE1cs3=Ycby5IvjL6FoVa6Ah94QFTIUpC80001 cs4=ALERT cs5=2015 act=transformed
See Also
Prestatiestatistieken en gebeurtenislogboeken verzamelen

Voorbeeld van een overtreding van de responscontrole in CEF-indeling voor een Offset:

24 jan 10:00:00  10.175.4.47 CEF:0|Citrix|NetScaler|NS13.0|APPFW|APPFW_XML_ERR_NOT_WELLFORMED|4|src=5.31.100.129 spt=20644 method=GET request=https:// wifiuae.duwifi.ae/publishApplications/en/5dafe3e74fa8015599009bc1/images/fallback_photo.svg msg=XML-indelingscontrole mislukt: bericht is geen goed opgemaakte XML.Foutreeks is 'unclosed token'. Offset:-517597 cn1=547290214 cn2=974226675 cs1=WIFI_UAE_AppFw cs2=PPE0 cs4=ERROR cs5=2023 act=geblokkeerd

In dit voorbeeld is de XML_ERR_NOT_WELLFORMED-schending opgetreden vanwegeniet gesloten token. Deze overtreding is vanaf het begin van het bestand op locatie 517597.

Leg geolocatie vast in de Web App Firewall-schendingsberichten

De logboekgegevens identificeren de locatie waar verzoeken vandaan komen en helpen u bij het configureren van de Web App Firewall voor het optimale beveiligingsniveau. Om beveiligingsimplementaties zoals snelheidsbeperking, die afhankelijk zijn van de IP-adressen van de clients, te omzeilen, kunnen malware of malafide computers het bron-IP-adres in verzoeken blijven wijzigen. Het identificeren van de specifieke regio waar verzoeken vandaan komen, kan helpen bepalen of de verzoeken afkomstig zijn van een geldige gebruiker of een apparaat dat probeert cyberaanvallen uit te voeren. Als er bijvoorbeeld een te groot aantal verzoeken wordt ontvangen vanuit een bepaald gebied, is het gemakkelijk om te bepalen of ze worden verzonden door gebruikers of door een malafide machine. Geolocatie-analyse van het ontvangen verkeer kan nuttig zijn bij het afweren van aanvallen zoals denial of service (DoS)-aanvallen.

De Web App Firewall biedt u het gemak van het gebruik van de ingebouwde NetScaler-database voor het identificeren van de locaties die overeenkomen met de IP-adressen waarvan kwaadaardige verzoeken afkomstig zijn. U kunt dan een hoger beveiligingsniveau afdwingen voor verzoeken van die locaties. De standaard syntax (PI)-expressies van NetScaler bieden u de flexibiliteit om locatiegebaseerd beleid te configureren dat kan worden gebruikt met de ingebouwde locatiedatabase om firewallbescherming aan te passen, waardoor uw verdediging tegen gecoördineerde aanvallen van malafide clients in een specifieke regio wordt versterkt.

U kunt de ingebouwde database van NetScaler gebruiken, of u kunt een andere database gebruiken. Als de database geen locatie-informatie heeft voor het specifieke IP-adres van de client, toont het CEF-logboek de geolocatie als een onbekende geolocatie.

Opmerking:

Het loggen van geolocaties maakt gebruik van het Common Event Format (CEF). Standaard,CEF-logboekregistratieEnGeoLocationLoggingZijn uit. U moet beide parameters expliciet inschakelen.

Voorbeeld van een CEF-logbericht met geolocatie-informatie

8 juni 00:21:09  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_STARTURL|6|src=10.217.253.62 geolocation=NorthAmerica.US.Arizona.Tucson.*. *spt=18655 method=GET request=http://aaron.stratum8.net/FFC/login.htmlmsg=Disallow Illegal URL. cn1=77 cn2=1547 cs1=test_pr_adv cs2=PPE1cs3=KDynjg1pbFtfhC/nt0rBU1o/Tyg0001 cs4=ALERT cs5=2015 act=niet geblokkeerd

Voorbeeld van een logbericht met geolocation= Unknown

9 juni 23:50:53  10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW|APPFW_STARTURL|6|src=10.217.30.251 geolocation=Onbekend spt=5086method=GET request=http: //aaron.stratum8.net/FFC/login.html msg=Niet toestaan ​​van illegale URL.cn1=74 cn2=1576 cs1=test_pr_adv cs2=PPE2 cs3=PyR0eOEM4gf6GJiTyauiHByL88E0002cs4=ALERT cs5=2015 act=niet geblokkeerd
> auditberichtactie toevoegen custom1 ALERT 'HTTP.REQ.URL + " " + HTTP.REQ.USER.NAME + " " + CLIENT.IP.SRC + ":" + CLIENT.TCP.SRCPORT'Waarschuwing: HTTP.REQ.USER is afgeschaft. Gebruik in plaats daarvan AAA.USER. Gereed
> appfw-profiel toevoegen test_profile Gereed
> appfw-beleid toevoegen appfw_pol true test_profile -logAction custom1 Done

Configureer Syslog-beleid om Web App Firewall-logboeken te scheiden

De Web App Firewall biedt u een optie om de beveiligingslogboekberichten van de Web App Firewall te isoleren en om te leiden naar een ander logbestand. Dit kan wenselijk zijn als de Web App Firewall veel logboeken genereert, waardoor het moeilijk wordt om andere NetScaler-logboekberichten te bekijken. U kunt deze optie ook gebruiken als u alleen geïnteresseerd bent in het bekijken van de logboekberichten van de Web App Firewall en de andere logboekberichten niet wilt zien.

Om de Web App Firewall-logboeken om te leiden naar een ander logbestand, configureert u een syslog-actie om de Web App Firewall-logboeken naar een andere logfaciliteit te sturen. U kunt deze actie gebruiken bij het configureren van het syslog-beleid en het globaal binden voor gebruik door Web App Firewall.

Opmerking:

Om Web App Firewall-beleid globaal te binden, kunt u de globale bindingsparameter "APPFW_GLOBAL" configureren in de opdrachten "bind audit syslogGlobal" en "bind audit nslogGlobal". Het globale gebonden controlelogboekbeleid kan logboekberichten evalueren in de logboekcontext van Web App Firewall.

Voorbeeld:

  1. Schakel over naar de shell en gebruik een editor zoals vi om het bestand /etc/syslog.conf te bewerken. Voeg een nieuw item toe om local2.* te gebruiken om logboeken naar een apart bestand te sturen, zoals in het volgende voorbeeld:

    local2.\* /var/log/ns.log.appfw

  2. Start het syslog-proces opnieuw. U kunt de grep-opdracht gebruiken om de syslog-proces-ID (PID) te identificeren, zoals in het volgende voorbeeld wordt getoond:

    root@ns\# **ps -A | grep systeemlog**

    1063 ?? Ss 0:03.00 /usr/sbin/syslogd -b 127.0.0.1 -n -v -v -8 -C

    root@ns# **kill -HUP** 1063

  3. Configureer vanuit de opdrachtregelinterface geavanceerd of klassiek SYSLOG-beleid met actie en bind het als een globaal Web App Firewall-beleid. Citrix raadt u aan om het geavanceerde SYSLOG-beleid te configureren.

    Geavanceerde SYSLOG-beleidsconfiguratie

    audit syslogAction toevoegen sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2

    add audit syslogPolicy syspol1 true sysact1

    bind audit syslogGlobal -policyName syspol1 -prioriteit 100 -globalBindType APPFW_GLOBAL

    Klassieke SYSLOG-beleidsconfiguratie

    audit syslogAction toevoegen sysact1 1.1.1.1 -logLevel ALL -logFacility LOCAL2

    audit syslogPolicy syspol1 ns_true sysact1 toevoegen

    bind appfw global syspol1 100

  4. Alle schendingen van de beveiligingscontrole van de Web App Firewall worden nu omgeleid naar de/var/log/ns.log.appfwbestand. U kunt dit bestand volgen om de Web App Firewall-schendingen te bekijken die worden geactiveerd tijdens de verwerking van het lopende verkeer.

    root@ns# staart -f ns.log.appfw

Waarschuwing: als u het syslog-beleid hebt geconfigureerd om de logboeken om te leiden naar een andere logboekfaciliteit, verschijnen de logboekberichten van de Web App Firewall niet meer in de/var/log/ns.logbestand.

Opmerking:

Als u logs naar een ander logbestand op de lokale NetScaler-appliance wilt sturen, kunt u een syslog-server op die lokale NetScaler-appliance maken. Toevoegensyslogactienaar zijn eigen IP en configureer de ADC zoals u een externe server zou configureren. De ADC fungeert als de server om uw logboeken op te slaan. Er kunnen geen twee acties worden toegevoegd met hetzelfde IP-adres en dezelfde poort. In desyslogactie, standaard is de waarde van IP ingesteld op127.0.0.1en de waarde van poort is ingesteld op514.

Stuur de Application Firewall-berichten naar een afzonderlijke SYSLOG-server

Om de Application Firewall-berichten naar een aparte SYSLOG-server te sturen, moet u de volgende stappen uitvoeren:

  • Een veilig hulpprogramma voor bestandsoverdracht, zoals WinSCP

  • Een hulpprogramma om een ​​SSH-console naar het apparaat te openen, zoals PuTTY

De volgende stappen zijn nodig om de Application Firewall-berichten naar een aparte SYSLOG-server te sturen:

  1. Meld u aan bij de NetScaler-appliance via WinSCP.

  2. Werk het bestand /etc/syslog.conf bij en voeg de volgende regel toe aan het bestand:local5.* /var/log/appfw.log

Web App Firewall-logboeken | Web-app-firewall (1)

  1. Voer de volgende opdracht uit vanaf de opdrachtregelinterface om de syslog PID opnieuw te starten:doden –HUP

  2. Voer de volgende opdracht uit vanaf de opdrachtregelinterface om een ​​syslog-actie zoals sysact1 toe te voegen:audit syslogAction toevoegen sysact1 127.0.0.1 -logLevel ALL -logFacility LOCAL5

  3. Voer de volgende opdracht uit om het syspol1-beleid toe te voegen, dat de sysact1-server gebruikt:audit syslogPolicy syspol1 ns_true sysact1 toevoegenOf voeg geavanceerd syslog-beleid toe:add audit syslogPolicy syspol1 true sysact1

Web App Firewall-logboeken | Web-app-firewall (2)

  1. Voer de volgende opdracht uit om het Application Firewall-beleid te binden en ervoor te zorgen dat het wordt opgeslagen in het bestand ns.conf:bind appfw global syspol1 100Of voer de volgende opdracht uit om het Advanced Syslog-beleid te binden:

bind audit syslogGlobal -policyName syspol1 -prioriteit 100 -globalBindType APPFW_GLOBAL

Web App Firewall-logboeken | Web-app-firewall (3)

Alle schendingen van de beveiligingscontrole van Application Firewall worden omgeleid naar de/var/log/appfw.logen zal niet meer verschijnen in dens.log. U kunt nu de opdracht tail uitvoeren en de laatste vermeldingen in de/var/log/appfw.log.

Bekijk Web App Firewall-logboeken

U kunt de logboeken bekijken met behulp van de syslog-viewer of door u aan te melden bij de NetScaler-appliance, een UNIX-shell te openen en de UNIX-teksteditor van uw keuze te gebruiken.

Om toegang te krijgen tot de logberichten met behulp van de opdrachtregel

Schakel over naar de shell en volg de ns.logs in de/var/log/map om toegang te krijgen tot de logboekberichten die betrekking hebben op hetWeb App Firewall-beveiligingcontroleer schendingen:

  • Schelp
  • staart -f /var/log/ns.log

U kunt de vi-editor of elke Unix-teksteditor of tekstzoekmachine gebruiken om de logboeken voor specifieke vermeldingen te bekijken en te filteren. U kunt bijvoorbeeld degrepcommando om toegang te krijgen tot de logberichten met betrekking tot de creditcardovertredingen:

  • staart -f /var/log/ns.log | grep SAFECOMMERCE

Om toegang te krijgen tot de logberichten met behulp van de GUI

De GUI bevat een handige tool (Syslog Viewer) voor het analyseren van de logberichten. U hebt meerdere opties om toegang te krijgen tot de Syslog Viewer:

  • Om logberichten voor een specifieke beveiligingscontrole van een profiel te bekijken, navigeert u naarWeb-app-firewall>profielen, selecteer het doelprofiel en klik op Beveiligingscontroles. Markeer de rij voor de beoogde beveiligingscontrole en klik op Logboeken. Wanneer u de logboeken rechtstreeks vanuit de geselecteerde beveiligingscontrole van het profiel opent, worden de logboekberichten uitgefilterd en worden alleen de logboeken weergegeven die betrekking hebben op de overtredingen voor de geselecteerde beveiligingscontrole. Syslog-viewer kan Web App Firewall-logboeken weergeven in de native indeling en de CEF-indeling. Om de syslog-viewer echter de doelprofielspecifieke logberichten te laten filteren, moeten de logs de CEF-logboekindeling hebben wanneer ze vanuit het profiel worden geopend.
  • U kunt ook toegang krijgen tot de Syslog Viewer door te navigeren naarNetScaler>Systeem>Auditing. Klik in het gedeelte Controleberichten op de koppeling Syslog-berichten om de Syslog-viewer weer te geven, die alle logboekberichten weergeeft, inclusief alle logboeken met overtredingen van de Web App Firewall-beveiligingscontrole voor alle profielen. De logboekberichten zijn handig voor foutopsporing wanneer meerdere schendingen van de beveiligingscontrole kunnen worden geactiveerd tijdens de verwerking van aanvragen.
  • Navigeren naarWeb-app-firewall>beleid>Auditing. Klik in het gedeelte Controleberichten op de koppeling Syslog-berichten om de Syslog-viewer weer te geven, die alle logboekberichten weergeeft, inclusief alle logboeken met schendingen van de beveiligingscontrole voor alle profielen.

De op HTML gebaseerde Syslog Viewer biedt de volgende filteropties om alleen de logberichten te selecteren die voor u van belang zijn:

  • Bestand-De huidige/var/log/ns.logbestand is standaard geselecteerd en de bijbehorende berichten verschijnen in de Syslog Viewer. Een lijst met andere logbestanden in de map /var/log is beschikbaar in een gecomprimeerde .gz-indeling. Als u een gearchiveerd logbestand wilt downloaden en decomprimeren, selecteert u het logbestand in de vervolgkeuzelijst. De logberichten die betrekking hebben op het geselecteerde bestand worden vervolgens weergegeven in de syslog-viewer. Om de weergave te vernieuwen, klikt u op het pictogram Vernieuwen (een cirkel met twee pijlen).

  • Module keuzelijst—U kunt de NetScaler-module selecteren waarvan u de logboeken wilt bekijken. U kunt dit instellen op APPFW voor Web App Firewall-logboeken.

  • Keuzelijst Type gebeurtenis—Dit vak bevat een reeks selectievakjes voor het selecteren van het type gebeurtenis waarin u geïnteresseerd bent. Als u bijvoorbeeld de logboekberichten wilt bekijken die betrekking hebben op de handtekeningschendingen, kunt u hetAPPFW_SIGNATURE_MATCHselectievakje. Op dezelfde manier kunt u een selectievakje inschakelen om de specifieke beveiligingscontrole in te schakelen die voor u van belang is. U kunt meerdere opties selecteren.

  • Ernst—U kunt een specifiek ernstniveau selecteren om alleen de logboeken voor dat ernstniveau weer te geven. Laat alle selectievakjes leeg als u alle logboeken wilt zien.

    Om toegang te krijgen tot de Web App Firewall beveiligingscontrole schendingslogboekberichten voor een specifieke beveiligingscontrole, filtert u door te selecterenAPPFWin de vervolgkeuzelijst opties voor Module. Het gebeurtenistype geeft een uitgebreide reeks opties weer om uw selectie verder te verfijnen. Als u bijvoorbeeld deAPPFW_FIELDFORMATaanvinkt en op de knop Toepassen klikt, verschijnen alleen logberichten die betrekking hebben op de schendingen van de beveiligingscontrole van veldindelingen in de Syslog Viewer. Evenzo, als u deAPPFW_SQLEnAPPFW_STARTURLselectievakjes en klik op deToepassenknop, verschijnen alleen logberichten die betrekking hebben op deze twee schendingen van de beveiligingscontrole in de syslog-viewer.

Als u de cursor in de rij voor een specifiek logbericht plaatst, zijn er meerdere opties, zoalsModulair,Evenementtype,Evenement-ID, ofBerichtworden weergegeven onder het logbericht. U kunt elk van deze opties selecteren om de overeenkomstige informatie in de logboeken te markeren.

Hoogtepunten

  • Ondersteuning voor CEF-logboekindeling—De optie CEF-logboekindeling biedt een handige optie om de logboekberichten van de Web App Firewall te bewaken, te parseren en te analyseren om aanvallen te identificeren, geconfigureerde instellingen te verfijnen om valse positieven te verminderen en statistieken te verzamelen.
  • Optie om logbericht aan te passen—U kunt geavanceerde PI-expressies gebruiken om logberichten aan te passen en de gegevens op te nemen die u in de logs wilt zien.
  • Scheid specifieke logboeken van Web App Firewall—U heeft de mogelijkheid om applicatie-firewall-specifieke logbestanden te filteren en om te leiden naar een apart logbestand.
  • Loggen op afstand—U kunt de logberichten omleiden naar een externe syslog-server.
  • Geolocatie loggen—U kunt de Web App Firewall configureren om de geolocatie op te nemen van het gebied van waaruit het verzoek wordt ontvangen. Er is een ingebouwde geolocatiedatabase beschikbaar, maar u heeft de mogelijkheid om een ​​externe geolocatiedatabase te gebruiken. De NetScaler-appliance ondersteunt zowel IPv4- als IPv6-databases met statische geolocatie.
  • Informatierijk logbericht—Hieronder volgen enkele voorbeelden van het type informatie dat in de logboeken kan worden opgenomen, afhankelijk van de configuratie:
    • Er is een Web App Firewall-beleid geactiveerd.
    • Er is een overtreding van de beveiligingscontrole geactiveerd.
    • Een verzoek werd als onjuist beschouwd.
    • Een verzoek of het antwoord is geblokkeerd of niet geblokkeerd.
    • Verzoekgegevens (zoals SQL of cross-site scripting speciale tekens) of antwoordgegevens (zoals creditcardnummers of tekenreeksen van veilige objecten) zijn getransformeerd.
    • Het aantal creditcards in het antwoord overschreed de geconfigureerde limiet.
    • Het creditcardnummer en -type.
    • De logboektekenreeksen die zijn geconfigureerd in de handtekeningregels en de handtekening-ID.
    • Geolocatie-informatie over de bron van het verzoek.
    • Gemaskeerde (X'd out) gebruikersinvoer voor beschermde vertrouwelijke velden.

Masker gevoelige gegevens met behulp van regex-patroon

DeREGEX_REPLACEMet de geavanceerde beleidsfunctie (PI) in een logboekexpressie (gebonden aan een Web Application Firewall (WAF)-profiel) kunt u gevoelige gegevens in WAF-logboeken maskeren. U kunt de optie gebruiken om gegevens te maskeren met behulp van een regex-patroon en een teken- of tekenreekspatroon opgeven om de gegevens te maskeren. U kunt de PI-functie ook configureren om de eerste of alle exemplaren van het regex-patroon te vervangen.

Standaard biedt de GUI-interface het volgende masker:

  • SSN
  • Kredietkaart
  • Wachtwoord
  • Gebruikersnaam

Masker gevoelige gegevens in logboeken van Web Application Firewall

U kunt gevoelige gegevens in WAF-logboeken maskeren door deREGEX_REPLACEgeavanceerde beleidsexpressie in de logboekexpressie gebonden aan een WAF-profiel. Om gevoelige gegevens te maskeren, moet u de volgende stappen uitvoeren:

  1. Voeg een Web Application Firewall-profiel toe
  2. Bind een log-expressie aan het WAF-profiel

Voeg een Web Application Firewall-profiel toe

Typ achter de opdrachtprompt:

appfw-profiel toevoegen

Voorbeeld:

Voeg appfw-profiel toe testprofiel1

Bind een log-expressie met het Web Application Firewall-profiel

Typ achter de opdrachtprompt:

bind appfw profiel -logExpression –comment

Voorbeeld:

bind appfw profiel testProfile -logExpression "MaskSSN" "HTTP.REQ.BODY(10000).REGEX_REPLACE(re!\b\d{3}-\d{2}-\d{4}\b!, “xxx”, ALLES)" -commentaar "SSN gemaskeerd"

Masker gevoelige gegevens in Web Application Firewall-logboeken met behulp van NetScaler GUI

  1. Vouw uit in het navigatievensterBeveiliging>NetScaler Web App-firewall>profielen.
  2. Op deprofielenpagina, klikBewerking.

  3. Op deNetScaler Web App Firewall-profielpagina, navigeer naarGeavanceerde instellingengedeelte en klikUitgebreide logboekregistratie.

    Web App Firewall-logboeken | Web-app-firewall (4)

  4. In deUitgebreide logboekregistratiesectie, klikToevoegen.

    Web App Firewall-logboeken | Web-app-firewall (5)

  5. Op deCreëer NetScaler Web App Firewall Uitgebreide logboekbindingpagina, stelt u de volgende parameters in:

    1. Naam. Naam van de logboekexpressie.
    2. Ingeschakeld. Selecteer deze optie om gevoelige gegevens te maskeren.
    3. Log masker. Selecteer de te maskeren gegevens.
    4. Uitdrukking. Voer de geavanceerde beleidsexpressie in waarmee u gevoelige gegevens in WAF-logboeken kunt maskeren
    5. Opmerkingen. Korte beschrijving over het maskeren van gevoelige gegevens.

  6. KlikCreërenEnDichtbij.

    Web App Firewall-logboeken | Web-app-firewall (6)

FAQs

Web App Firewall-logboeken | Web-app-firewall? ›

A WAF protects web applications by targeting Hypertext Transfer Protocol (HTTP) traffic. This differs from a standard firewall, which provides a barrier between external and internal network traffic. A WAF sits between external users and web applications to analyze all HTTP communication.

View Details
What is Web Application Firewall vs firewall? ›

A WAF protects web applications by targeting Hypertext Transfer Protocol (HTTP) traffic. This differs from a standard firewall, which provides a barrier between external and internal network traffic. A WAF sits between external users and web applications to analyze all HTTP communication.

Learn More
What are the two types of web application firewalls? ›

The web application firewall (WAF) marketplace is diverse, with various deployment options based on an organization's application and security requirements. There are three primary types of WAFs: a cloud-based WAF, software-based WAF, and hardware-based WAF. Each type of WAF has its own advantages and disadvantages.

Read More
What is the difference between a WAF and an application proxy? ›

While proxies generally protect clients, WAFs protect servers, and are deployed to protect a specific web application. Therefore, a WAF can be considered a reverse proxy. WAFs may come in the form of an appliance, server plug‑in, or filter, and may be customized to an application.

Explore More
What is the firewall behind WAF? ›

A web application firewall (WAF) is a type of firewall that protects web applications and APIs by filtering, monitoring and blocking malicious web traffic and application-layer attacks — such as DDoS, SQL injection, cookie manipulation, cross-site scripting (XSS), cross-site forgery and file inclusion.

Learn More Now
Is firewall a web browser? ›

Firewalls are a decisive part of a secure network in today's Internet. A firewall is a network security system specially designed to restrict unauthorized access into a private network.

Read On
Does a web application need a firewall? ›

A WAF can provide critical protection for any online business that must securely handle private customer data. Businesses typically deploy a WAF to shield their web applications from sophisticated and targeted attacks, like cross-site scripting (XSS) and SQL injection, that might result in fraud or data theft.

Explore More
What are the three main firewalls? ›

There are three types of firewalls based on how you decide to deploy them: hardware, software, and cloud-based firewalls.

Read On
What are the three basic types of firewalls? ›

The three types of firewalls each fulfill a purpose.
  • Network-Based Firewall. A network-based firewall routes traffic between networks. ...
  • Application Firewall. An application firewall (also called an application layer firewall) works with the TCP/IP stack to filter and intercept all traffic packets to/from apps. ...
  • Proxy Server.
Jun 22, 2022

Explore More
What is the difference between web gateway and WAF? ›

Secure web gateways (SWGs) primarily work at the application level. They protect against advanced internet-based attacks and detecting malicious intent by inspecting actual traffic. WAFs also inspect traffic, but at the packet level, using deep packet inspection rules to identify safe applications.

Get More Info Here

What is the difference between proxy firewall and VPN? ›

A VPN and a proxy are online services that hide your IP address by rerouting your internet traffic through a remote server. But a proxy works only with a single app or service, while a VPN secures all your internet traffic and encrypts it for extra security and privacy.

Learn More
What is the difference between proxy and firewall? ›

A firewall is used to define the perimeter of the network and to identify and block potentially suspicious and malicious traffic. On the other hand, a proxy helps to protect privacy and can help to enforce corporate policies regarding internet browsing.

Read On
What is firewall vs IPS vs WAF? ›

WAF deployments protect web application traffic, while IPS deployments scan and protect at the network level by inspecting all packets. An IPS is typically deployed inline to incoming traffic, scans for threats in most network protocols, and works at OSI Layer 4-7.

Keep Reading
Is Azure firewall a WAF? ›

A cloud-native web application firewall (WAF) service that provides powerful protection for web apps. Watch the Azure and Tufin on-demand webinar: Learn how to achieve agility and security with simplified network security management across on-premises and cloud.

Discover More Details
Is a WAF a Layer 7 firewall? ›

A WAF is a protocol layer 7 defense (in the OSI model), and is not designed to defend against all types of attacks. This method of attack mitigation is usually part of a suite of tools which together create a holistic defense against a range of attack vectors.

View Details
How do I know if my firewall is blocking my browser? ›

How to check if Windows Firewall is blocking a program
  1. Press Windows Key + R to open Run.
  2. Type "control" and press OK to open Control Panel.
  3. Click on System and Security.
  4. Click on Windows Defender Firewall.
  5. From the left panel Allow an app or feature through Windows Defender Firewall.
Apr 3, 2023

View Details
What is the difference between a firewall and a gateway? ›

A Gateway is mainly used for compatibility between different protocols, while a Firewall is used primarily for security purposes by blocking and allowing traffic. Also, a gateway is a hardware, while the firewall is software or hardware.

Continue Reading
What does web App firewall do? ›

What is a Web Application Firewall (WAF)? A web application firewall (WAF) protects web applications from a variety of application layer attacks such as cross-site scripting (XSS), SQL injection, and cookie poisoning, among others.

Continue Reading
Can a web application work without internet? ›

Offline data storage

When building a web application that supports offline mode, data is stored in the browser. The following are the main data storage tools employed: IndexedDB: This is also termed as Indexed Database API. It is used when making data available to the client-side of the application in offline mode.

Keep Reading
How do I allow firewall to access the web? ›

Go to Start and open Control Panel. Select System and Security > Windows Defender Firewall. Choose Turn Windows Firewall on or off. Select Turn on Windows Firewall for domain, private, and public network settings.

View Details

What are the 8 types of firewall? ›

Here are a few important firewall types for you to review:
  • Software firewall. ...
  • Hardware firewall. ...
  • Packet filtering firewall. ...
  • Circuit-level gateway. ...
  • Proxy service application firewall. ...
  • Cloud firewall. ...
  • Stateful inspection firewall. ...
  • Next-Generation firewall (NGFW)
Mar 22, 2023

Discover More
Which firewall is best? ›

Top 10 Firewall Software
  • Sophos Firewall.
  • Check Point Next Generation Firewalls (NGFWs)
  • pfSense.
  • WatchGuard Network Security.
  • FortiGate.
  • Palo Alto.
  • Palo Alto VM-Series.
  • Arista NG Firewall.

See Details
What type of firewall is a VPN? ›

VPN firewall is a type of firewall device used to prevent harmful or unauthorized users from accessing or exploiting VPN connections. The primary goal of a firewall, whether it be hardware, software, or a unified firewall appliance, is to ensure that only authorized VPN traffic is able to pass through.

See More
What is the most basic firewall? ›

Packet-Filtering Firewall

Packet filtering firewalls are the most basic type of firewalls, and although they are considered outdated, they still play a crucial role in cybersecurity. A packet filtering firewall is the equivalent of a security guard with a wanted list who compares the list with all who pass by.

Know More
What is firewall and 3 tier architecture? ›

A three-tier architecture would include three firewalls: one on the outside and two different layers on the inside. The ISP should have a firewall that restricts all connections to their protected host except those that are absolutely required.

Find Out More
What is the difference between firewall and antivirus? ›

A firewall is primarily a network security solution designed to filter the traffic entering or leaving a protected network or endpoint, while an antivirus is primarily an endpoint security solution designed to inspect files and software running on a host or server.

Read The Full Story
What is the architecture of a firewall? ›

Firewall architecture is built upon four primary components — network policy, advanced authentication, packet filtering, and application gateways.

Get More Info
What are 3 things a firewall can do for a network? ›

A network-based firewall is able to monitor communications between a company's computers and outside sources, as well as restrict certain websites, IP addresses, or other services. Host-based firewalls work similarly but are stored locally on a single computer or device.

Find Out More
Is API gateway a WAF? ›

In simpler language: the API gateway provides basic access point control to the API endpoint ensuring that those accessing it are likely to be legitimate and/or accredited users. WAFs, by contrast, are security oriented, adding a vital additional layer of protection.

Explore More
What is Web Security gateway vs proxy? ›

A proxy server and a gateway both route traffic from a network to the internet, but a proxy server filters which connections are allowed, while a gateway doesn't do any filtering.

Learn More

Is DNS and VPN same? ›

When a Smart DNS is used, the DNS address provided by your ISP will be overridden with a new one. A VPN, however, will encrypt your data and online activity. While it may be slower than a DNS, the VPN will come packaged with a plethora of privacy protections.

Learn More Now
How do I turn off proxy on my phone? ›

To disable a proxy server on Android, open your Wi-Fi network properties like we've done in a previous section. In the Proxy dropdown menu, choose None , and press Save .

Discover More Details
Which is safer VPN or proxy? ›

In summary: A VPN provides greater privacy and security than a proxy because it routes your traffic through a secure VPN server and encrypts your traffic. A proxy will merely pass your traffic through an intermediary server but won't necessarily offer additional protection.

Keep Reading
What is the difference between TCP proxy and HTTP proxy? ›

Most often, a TCP proxy is statically configured and can only create connections to a single host:port combination. An HTTP proxy understands HTTP. It looks at the incoming HTTP request and uses an outbound, potentially changed HTTP request to fulfill the request.

Learn More
Is proxy different from IP address? ›

Your IP address is associated with who you are, where you live, and what you do online. A proxy will mask this information from other parties online. A proxy server acts as a middleman between you and the internet.

Get More Info Here
What is the difference between DNS and proxy? ›

A DNS client considers the DNS proxy as the DNS server, and sends a DNS request to the DNS proxy. The destination address of the request is the IP address of the DNS proxy. The DNS proxy searches the local static domain name resolution table and dynamic domain name resolution table after receiving the request.

Learn More Now
What is the difference between WAF and firewall and IPS? ›

WAF deployments protect web application traffic, while IPS deployments scan and protect at the network level by inspecting all packets. An IPS is typically deployed inline to incoming traffic, scans for threats in most network protocols, and works at OSI Layer 4-7.

Discover More Details
What is the difference between WAF and firewall in Azure? ›

WAF uses the private IP address of the Application Gateway. Azure Firewall doesn't support DNAT for private IP addresses. That's why you must use UDRs to send inbound traffic to Azure Firewall from the VPN or ExpressRoute gateways.

Get More Info Here
Do Palo Alto firewalls have a WAF? ›

Palo Alto Networks is one such vendor that offers a comprehensive and easy-to-use set of firewalls, including NGFWs and Web Application and API Security platform, which includes a built-in WAF.

Read More
What is the difference between WAF and application gateway? ›

Azure Front Door WAF and Azure App Gateway WAF are very similar in functionality, one of the main differences is where the WAF is applied. Azure Front Door applies the WAF filters at edge locations, way before it gets to the datacenter. App Gateway applies the filter when it enters your VNET via the App Gateway.

View Details

What is the difference between web Gateway and WAF? ›

Secure web gateways (SWGs) primarily work at the application level. They protect against advanced internet-based attacks and detecting malicious intent by inspecting actual traffic. WAFs also inspect traffic, but at the packet level, using deep packet inspection rules to identify safe applications.

Explore More
What is the difference between WAF application gateway and front door? ›

What is the difference between Azure Front Door and Azure Application Gateway? While both Front Door and Application Gateway are layer 7 (HTTP/HTTPS) load balancers, the primary difference is that Front Door is a nonregional service whereas Application Gateway is a regional service.

View Details
Should a WAF be in front or behind firewall? ›

Ideally, you'll deploy a WAF behind your load balancing tier. This optimizes for utilization, performance, and reliability while providing the protection necessary for all apps – but particularly for those exposed on the Internet.

Get More Info Here
Is Azure Application Gateway a WAF? ›

Azure Web Application Firewall (WAF) on Azure Application Gateway provides centralized protection of your web applications from common exploits and vulnerabilities. Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities.

Discover More
What is Layer 7 firewall rules? ›

Where most firewall rules only inspect headers at layer 3 (IP address), 4 (Transport), and 5 (Port), a layer 7 rule inspects the payload of packets to match against known traffic types.

Read More
What are Layer 7 firewall capabilities? ›

Layer 7 firewalls perform functions at the application level. This means that they will be able to perform functions on network protocols higher than layer 4 and 3 firewalls. These types of firewalls emerged to revolutionise network security as we have known it up to now.

View Details
Is WAF outdated? ›

The WAF in its traditional form (a physical or virtual appliance) is obsolete. But obviously, organizations still need the benefits that a WAF is designed to provide. These benefits can, and should, be provided in a different form than appliances.

View More
Is Palo Alto the best firewall? ›

Palo Alto is one of the few firewall programs that protect your network from DNS attacks. It simplifies your IT help desk's job by identifying and neutralizing DNS threats. From filtering domains to blocking malicious sites, Palo Alto eliminates all threats seamlessly.

Learn More Now
Is Palo Alto a stateless firewall? ›

PA-firewalls are more than just stateful firewalls. Traditional stateful inspection firewalls work at Layer 2 to 4. PA-firewals are NGFW firewalls that can inspect information at Layer 2 through Layer 7 of the OSI layer.

Get More Info Here

References

Top Articles
Latest Posts
Article information

Author: Terence Hammes MD

Last Updated: 10/17/2023

Views: 5763

Rating: 4.9 / 5 (69 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Terence Hammes MD

Birthday: 1992-04-11

Address: Suite 408 9446 Mercy Mews, West Roxie, CT 04904

Phone: +50312511349175

Job: Product Consulting Liaison

Hobby: Jogging, Motor sports, Nordic skating, Jigsaw puzzles, Bird watching, Nordic skating, Sculpting

Introduction: My name is Terence Hammes MD, I am a inexpensive, energetic, jolly, faithful, cheerful, proud, rich person who loves writing and wants to share my knowledge and understanding with you.