Citrix ADC

Configuración manual mediante la interfaz de línea de comandos

Nota:

Si necesita configurar manualmente la función Web App Firewall, Citrix recomienda utilizar el procedimiento de GUI de Citrix ADC.

Puede configurar las funciones de Web App Firewall desde la interfaz de comandos de Citrix ADC. Sin embargo, hay excepciones importantes. No puede habilitar firmas desde la interfaz de comandos. Hay alrededor de 1.000 firmas predeterminadas en siete categorías y la tarea es demasiado compleja para la interfaz de comandos. Puede habilitar o inhabilitar funciones y configurar parámetros desde la línea de comandos, pero no puede configurar relajaciones manuales. Aunque puede configurar la función de aprendizaje adaptativo y habilitar el aprendizaje desde la línea de comandos, no puede revisar las relajaciones aprendidas o las reglas aprendidas y aprobarlas u omitirlas. La interfaz de línea de comandos está diseñada para usuarios avanzados que están familiarizados con el uso del dispositivo Citrix ADC y Web App Firewall.

Para configurar manualmente Web App Firewall mediante la línea de comandos de Citrix ADC, utilice un cliente telnet o de shell seguro de su elección para iniciar sesión en la línea de comandos de Citrix ADC.

Para crear un perfil mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • add appfw profile <name> [-defaults ( basic | advanced )]
  • set appfw profile <name> -type ( HTML | XML | HTML XML )
  • save ns config

Ejemplo

En el ejemplo siguiente se agrega un perfil denominado pr-basic, con valores predeterminados básicos, y se asigna un tipo de perfil de HTML. Esta es la configuración inicial adecuada para que un perfil proteja un sitio web HTML.

add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config

Para configurar un perfil mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw profile <name> <arg1> [<arg2> ...] donde <arg1> representa un parámetro y <arg2> representa otro parámetro o el valor a asignar al parámetro representado por <arg1>. Para obtener descripciones de los parámetros que se van a utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas y sus subtemas. Para obtener descripciones de los otros parámetros, consulte “Parámetros para la creación de un perfil”.
  • save ns config

Ejemplo

El siguiente ejemplo muestra cómo configurar un perfil HTML creado con valores predeterminados básicos para comenzar a proteger un sitio web basado en HTML simple. Este ejemplo activa el registro y el mantenimiento de las estadísticas para la mayoría de las comprobaciones de seguridad, pero permite el bloqueo solo para aquellas comprobaciones que tienen tasas bajas de falsos positivos y que no requieren configuración especial. También activa la transformación de HTML inseguro y SQL inseguro, lo que evita ataques pero no bloquea las solicitudes a sus sitios web. Con el registro y las estadísticas habilitadas, puede revisar posteriormente los registros para determinar si quiere habilitar el bloqueo para una comprobación de seguridad específica.

set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config

Para crear y configurar una directiva

En el símbolo del sistema, escriba los siguientes comandos:

  • add appfw policy <name> <rule> <profile>
  • save ns config

Ejemplo

En el ejemplo siguiente se agrega una directiva denominada pl-blog, con una regla que intercepta todo el tráfico hacia o desde el host blog.example.com, y se asocia esa directiva con el perfil pr-blog.

add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog

Para enlazar una directiva de Web App Firewall

En el símbolo del sistema, escriba los siguientes comandos:

  • bind appfw global <policyName> <priority>
  • save ns config

Ejemplo

En el ejemplo siguiente se vincula la directiva denominada pl-blog y se le asigna una prioridad de 10.

bind appfw global pl-blog 10
save ns config

Para configurar el límite de sesión por PE

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw settings <session limit>

Ejemplo

En el ejemplo siguiente se configura el límite de sesión por PE.

> set appfw settings -sessionLimit 500000`

Done

Default value:100000   Max value:500000 per PE

Configuración manual mediante la interfaz de línea de comandos