ADC

Configuración de la acción predeterminada para una directiva de respuesta

El dispositivo NetScaler genera un evento indefinido (evento UNDEF) cuando una solicitud no coincide con una directiva de respuesta. A continuación, el dispositivo realiza la acción predeterminada asignada a los eventos indefinidos. De forma predeterminada, la acción reenvía la solicitud a la siguiente función, como el equilibrio de carga, el filtrado de contenido, etc. Este comportamiento predeterminado garantiza que las solicitudes no requieran el envío de ninguna acción de respuesta específica a los servidores web. Además, los clientes reciben acceso al contenido que han solicitado.

Sin embargo, si uno o más sitios web que protege su dispositivo NetScaler reciben una cantidad significativa de solicitudes no válidas o malintencionadas, puede cambiar la acción predeterminada para restablecer la conexión del cliente o anular la solicitud. En este tipo de configuración, escribiría una o más directivas de respuesta que coincidieran con cualquier solicitud legítima y simplemente redirigiría esas solicitudes a sus destinos originales. A continuación, su dispositivo NetScaler bloquearía cualquier otra solicitud según lo especificado en la acción predeterminada que configuró.

Puede asignar cualquiera de las siguientes acciones a un evento indefinido:

  • NOOP. La acción NOOP interrumpe el procesamiento del respondedor pero no altera el flujo de paquetes. Para que el dispositivo siga procesando las solicitudes que no coincidan con ninguna directiva de respuesta y, finalmente, las reenvíe a la URL solicitada, a menos que otra función intervenga y bloquee o redirija la solicitud. Esta acción es apropiada para las solicitudes normales a los servidores web y es la configuración predeterminada.
  • REINICIAR. Si la acción indefinida se establece en RESET, el dispositivo restablece la conexión del cliente e informa al cliente de que debe restablecer su sesión con el servidor web. Esta acción es adecuada para solicitudes repetidas de páginas web que no existen o para conexiones que puedan ser intentos de hackear o explorar tus sitios web protegidos.
  • DEJAR CAER. Si la acción indefinida se establece en DROP, el dispositivo descarta la solicitud de forma silenciosa sin responder al cliente de ninguna manera. Esta acción es adecuada para las solicitudes que parecen formar parte de un ataque DDoS u otro ataque sostenido a sus servidores.

Nota: Los eventos UNDEF se activan solo para las solicitudes de los clientes. No se activa ningún evento de la UNDEF para obtener respuestas.

Para configurar la acción indefinida mediante la línea de comandos de NetScaler:

En la línea de comandos, escriba el siguiente comando para establecer la acción indefinida y comprobar la configuración:

  • set responder param -undefAction (RESET|DROP|NOOP) [-timeout <msecs>]
  • show responder param

Donde:

tiempo de espera: tiempo máximo en milisegundos que permite procesar todas las directivas y sus acciones seleccionadas sin interrupción. Si se alcanza el tiempo de espera, la evaluación provoca que se eleve un UNDEF y no se realiza ningún procesamiento adicional.

Valor mínimo: 1

Valor máximo: 5000

Ejemplo:

>set responder param -undefAction RESET -timeout 3900
 Done
> show responder param
Action Name: RESET
Timeout: 3900
 Done
>
<!--NeedCopy-->

Defina la acción indefinida mediante la interfaz gráfica de usuario

  1. Vaya a AppExpert > Respondery, a continuación, en Configuración, haga clic en el enlace Cambiar la configuración del respondedor .
  2. En la página Definir parámetros de respuesta, defina los siguientes parámetros:

    1. Acción global con resultados indefinidos. Se prefiere la acción con resultados indefinidos en una excepción de procesamiento no controlado en las directivas y acciones de respuesta. Seleccione NOOP, RESETo DROP.
    2. Tiempo de espera. Tiempo máximo en milisegundos para poder procesar todas las directivas y sus acciones seleccionadas sin interrupción. Si se alcanza el tiempo de espera, la evaluación provoca que se eleve un UNDEF y no se realiza ningún procesamiento adicional.
  3. Haga clic en Aceptar.

Procedimiento GUI para establecer una acción indefinida para la directiva de respuesta.

Configuración de la acción predeterminada para una directiva de respuesta