Configuración manual mediante la interfaz de línea de comandos

Puede configurar muchas funciones de Web App Firewall desde la línea de comandos de Citrix ADC. Sin embargo, hay excepciones importantes. No puede habilitar firmas desde la línea de comandos. Hay más de 1.000 firmas predeterminadas en siete categorías; la tarea es simplemente demasiado compleja para la interfaz de línea de comandos. Puede configurar las acciones de comprobación y los parámetros para las comprobaciones de seguridad desde la línea de comandos, pero no puede introducir relajantes manuales. Aunque puede configurar la función de aprendizaje adaptativo y habilitar el aprendizaje desde la línea de comandos, no puede revisar las relajaciones aprendidas o las reglas aprendidas y aprobarlas u omitirlas. La interfaz de línea de comandos está diseñada para usuarios avanzados que están completamente familiarizados con el dispositivo Citrix ADC y la función Web App Firewall.

Para configurar manualmente Web App Firewall mediante la línea de comandos de Citrix ADC, utilice un cliente telnet o de shell seguro de su elección para iniciar sesión en la línea de comandos de Citrix ADC.

Para crear un perfil mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • add appfw profile <name> [-defaults ( basic | advanced )]
  • set appfw profile <name> -type ( HTML | XML | HTML XML )
  • save ns config

Ejemplo

En el ejemplo siguiente se agrega un perfil denominado pr-basic, con valores predeterminados básicos, y se asigna un tipo de perfil de HTML. Esta es la configuración inicial adecuada para un perfil para proteger un sitio web HTML.

add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config

Para configurar un perfil mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw profile <name> <arg1> [<arg2> ...] donde <arg1> representa un parámetro y <arg2> representa otro parámetro o el valor a asignar al parámetro representado por <arg1>. Para obtener descripciones de los parámetros que se van a utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas y sus subtemas. Para obtener descripciones de los otros parámetros, consulte “Parámetros para la creación de un perfil”.
  • save ns config

Ejemplo

En el ejemplo siguiente se muestra cómo configurar un perfil HTML creado con valores predeterminados básicos para empezar a proteger un sitio web simple basado en HTML. En este ejemplo se activa el registro y el mantenimiento de estadísticas para la mayoría de las comprobaciones de seguridad, pero solo se habilita el bloqueo para aquellas comprobaciones que tienen tasas de falsos positivos extremadamente bajas y que no requieren una configuración especial. También activa la transformación de HTML inseguro y SQL inseguro, lo que evita los ataques pero no bloquea las solicitudes a los sitios web. Con el registro y las estadísticas habilitadas, puede revisar posteriormente los registros para determinar si quiere habilitar el bloqueo para una comprobación de seguridad específica.

set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config

Para crear y configurar una directiva

En el símbolo del sistema, escriba los siguientes comandos:

  • add appfw policy <name> <rule> <profile>
  • save ns config

Ejemplo

En el ejemplo siguiente se agrega una directiva denominada pl-blog, con una regla que intercepta todo el tráfico hacia o desde el host blog.example.com, y se asocia esa directiva con el perfil pr-blog. Esta es una directiva adecuada para proteger un blog alojado en un nombre de host específico.

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog

Para enlazar una directiva de Web App Firewall

En el símbolo del sistema, escriba los siguientes comandos:

  • bind appfw global <policyName> <priority>
  • save ns config

Ejemplo

En el ejemplo siguiente se vincula la directiva denominada pl-blog y se le asigna una prioridad de 10.

bind appfw global pl-blog 10
save ns config

Para configurar el límite de sesión por PE

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw settings <session limit>

Ejemplo

En el ejemplo siguiente se configura el límite de sesión por PE.

> set appfw settings -sessionLimit 500000`

Done

Default value:100000   Max value:500000 per PE