Configuración manual mediante la interfaz gráfica de usuario

Si necesita configurar manualmente la función Web App Firewall, Citrix recomienda utilizar la interfaz gráfica de usuario. Para obtener una descripción de la GUI, consulte Interfaces de usuario de Web App Firewall.

Para crear y configurar un objeto de firmas

Antes de configurar las firmas, debe crear un nuevo objeto de firmas a partir de la plantilla de objeto de firmas predeterminada adecuada. Asigne un nuevo nombre a la copia y, a continuación, configure la copia. No puede configurar ni modificar directamente los objetos de firmas predeterminados. El procedimiento siguiente proporciona instrucciones básicas para configurar un objeto de firmas. Para obtener instrucciones más detalladas, consulte Configuración manual de la función de firmas.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Firmas.

  2. En el panel de detalles, seleccione el objeto de firmas que quiere utilizar como plantilla y, a continuación, haga clic en Agregar.

    Las opciones disponibles son:

    • Firmas predeterminadas. Contiene las reglas de firmas, las reglas de inyección SQL y las reglas de scripts entre sitios.
    • Inyección XPath. Contiene todos los elementos de las firmas predeterminadas y, además, contiene las reglas de inyección XPath.
  3. En el cuadro de diálogo Agregar objeto de firmas, escriba un nombre para el nuevo objeto de firmas, haga clic en Aceptar y, a continuación, haga clic en Cerrar. El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede consistir de una a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), at (@), igual (=) y subrayado (_).

  4. Seleccione el objeto de firmas que creó y, a continuación, haga clic en Abrir.

  5. En el cuadro de diálogo Modificar objeto de firmas, defina las opciones Mostrar criterios de filtro a la izquierda para mostrar los elementos de filtro que quiere configurar.

    Al modificar estas opciones, los resultados que especifique se muestran en la ventana Resultados filtrados de la derecha. Para obtener más información acerca de las categorías de firmas, consulte Firmas.

  6. En el área Resultados filtrados, configure los valores de una firma seleccionando y desactivando las casillas de verificación correspondientes.

  7. Cuando haya terminado, haga clic en Cerrar.

Para crear un perfil de Web App Firewall mediante la interfaz gráfica de usuario

La creación de un perfil de Web App Firewall requiere que especifique solo unos pocos detalles de configuración.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.

  2. En el panel de detalles, haga clic en Agregar.

  3. En el cuadro de diálogo Crear perfil de firewall de aplicaciones web, escriba un nombre para el perfil.

    El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede constar de una a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y guión bajo (_).

  4. Elija el tipo de perfil en la lista desplegable.

  5. Haga clic en Crear y, a continuación, haga clic en Cerrar.

Para configurar un perfil de Web App Firewall mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.
  2. En el panel de detalles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Configurar perfil de Web App Firewall, en la ficha Comprobaciones de seguridad, configure las comprobaciones de seguridad.
    • Para habilitar o inhabilitar una acción de una comprobación, en la lista, active o desactive la casilla de verificación de esa acción.

    • Para configurar otros parámetros para las comprobaciones que los tienen, en la lista, haga clic en el botón de contenido adicional azul situado en el extremo derecho de esa comprobación. En el cuadro de diálogo que aparece, configure los parámetros. Estos varían de un cheque a otro.

      También puede seleccionar una verificación y, en la parte inferior del cuadro de diálogo, hacer clic en Abrir para mostrar el cuadro de diálogo Configurar relajación o Configurar regla para esa comprobación. Estos cuadros de diálogo también varían de una comprobación a otra. La mayoría de ellos incluyen una ficha Comprobaciones y una ficha General. Si la comprobación admite relajantes o reglas definidas por el usuario, la ficha Comprobaciones incluye un botón Agregar, que abre otro cuadro de diálogo, en el que puede especificar una relajación o una regla para la comprobación. (Una relajación es una regla para eximir el tráfico especificado del cheque.) Si ya se han configurado las relajantes, puede seleccionar una y hacer clic en Abrir para modificarla.

    • Para revisar las excepciones o reglas aprendidas para una comprobación, selecciónela y, a continuación, haga clic en Violaciones aprendidas. En el cuadro de diálogo Administrar reglas aprendidas, seleccione cada excepción o regla aprendida a su vez.

      • Para modificar la excepción o regla y, a continuación, agregarla a la lista, haga clic en Modificar e implementar.
      • Para aceptar la excepción o regla sin modificaciones, haga clic en Implementar.
      • Para quitar la excepción o regla de la lista, haga clic en Omitir.
    • Para actualizar la lista de excepciones o reglas que se van a revisar, haga clic en Actualizar.

    • Para abrir el Visualizador de aprendizaje y utilizarlo para revisar las reglas aprendidas, haga clic en Visualizador.

    • Para revisar las entradas de registro para las conexiones que coincidían con una comprobación, selecciónela y, a continuación, haga clic en Registros. Puede utilizar esta información para determinar qué comprobaciones coinciden con los ataques, de modo que pueda habilitar el bloqueo para dichas comprobaciones. También puede utilizar esta información para determinar qué comprobaciones coinciden con el tráfico legítimo, de modo que pueda configurar una exención adecuada para permitir esas conexiones legítimas. Para obtener más información acerca de los registros, consulte Registros, estadísticas e informes.

    • Para inhabilitar completamente una comprobación, en la lista, desactive todas las casillas de verificación situadas a la derecha de esa comprobación.

  4. En la ficha Configuración, configure la configuración del perfil.
    • Para asociar el perfil con el conjunto de firmas que creó y configuró anteriormente, en Configuración común, elija ese conjunto de firmas en la lista desplegable Firmas.

      Nota:

      Puede que necesite usar la barra de desplazamiento situada a la derecha del cuadro de diálogo para desplazarse hacia abajo y mostrar la sección Configuración común.

    • Para configurar un objeto de error HTML o XML, seleccione el objeto en la lista desplegable correspondiente.

      Nota:

      Primero debe cargar el objeto de error que quiere utilizar en el panel Importar.

    • Para configurar el tipo de contenido XML predeterminado, escriba la cadena de tipo de contenido directamente en los cuadros de texto Solicitud predeterminada y Respuesta predeterminada, o haga clic en Administrar tipos de contenido permitidos para administrar la lista de tipos de contenido permitidos.

  5. Si quiere utilizar la función de aprendizaje, haga clic en Aprendizaje y configure los parámetros de aprendizaje para el perfil. Para obtener más información, consulte Función de configuración y aprendizaje.

  6. Haga clic en Aceptar para guardar los cambios y volver al panel Perfiles.

Configuración de una regla o relajación de Web App Firewall

Puede configurar dos tipos diferentes de información en este cuadro de diálogo, dependiendo de la comprobación de seguridad que esté configurando. En la mayoría de los casos, configura una excepción (o relajación) a la comprobación de seguridad. Si está configurando la comprobación Denegar URL o la comprobación Formatos de campo, debe configurar una adición (o regla). El proceso para cualquiera de estos es el mismo.

Para configurar una relajación o regla mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.

  2. En el panel Perfiles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.

  3. En el cuadro de diálogo Configurar perfil de firewall de aplicaciones web, haga clic en la ficha Comprobaciones de seguridad. La ficha Comprobaciones de seguridad contiene la lista completa de comprobaciones de seguridad de Web App Firewall, también denominadas protecciones avanzadas en algunos lugares.

  4. En la ficha Comprobaciones de seguridad, haga clic en la comprobación que quiere configurar y, a continuación, haga clic en Abrir. Se muestra el cuadro de diálogo Modificar comprobación de la comprobación seleccionada, con la ficha Comprobaciones seleccionada. La ficha Comprobaciones contiene una lista de las relajaciones o reglas existentes para esta comprobación. La lista puede estar vacía si no ha agregado manualmente ninguna relajación o aprobado ninguna relajación recomendada por el motor de aprendizaje. Debajo de la lista hay una fila de botones que le permiten agregar, modificar, eliminar, habilitar o inhabilitar las relajantes de la lista.

  5. Para agregar o modificar una relajación o una regla, siga uno de estos procedimientos:

    • Para agregar una nueva relajación, haga clic en Agregar.
    • Para modificar una relajación existente, seleccione la relajación que quiera modificar y, a continuación, haga clic en Abrir.

    Aparece el cuadro de diálogo Agregarrelajación de comprobación o Modificar relajación de comprobación para la comprobación seleccionada. Excepto por el título, estos cuadros de diálogo son idénticos.

  6. Rellene el cuadro de diálogo como se describe a continuación. Los cuadros de diálogo de cada verificación son diferentes; la lista siguiente cubre todos los elementos que pueden aparecer en cualquier cuadro de diálogo.

    • Casilla de verificación Activada: seleccione esta opción para colocar esta relajación o regla en uso activo; desactive para desactivarla.

    • Tipo de contenido de datos adjuntos: el atributo Content-Type de un archivo adjunto XML. En el área de texto, escriba una expresión regular que coincida con el atributo Content-Type de los datos adjuntos XML que se va a permitir.

    • URL de acción: en el área de texto, introduzca una expresión regular con formato PCRE-que defina la dirección URL a la que se entregan los datos introducidos en el formulario web.

    • Cookie: en el área de texto, introduzca una expresión regular en formato PCRE-que defina la cookie.

    • Nombre de campo: el elemento de nombre de campo de formulario web puede tener la etiqueta Nombre de campo, Campo de formulario u otro nombre similar. En el área de texto, escriba una expresión regular con formato PCRE-que defina el nombre del campo de formulario.

    • Dirección URL de origen de formulario: en el área de texto, escriba una expresión regular con formato PCRE-que defina la dirección URL que aloja el formulario web.

    • Dirección URL de acción de formulario: en el área de texto, escriba una expresión regular con formato PCRE-que defina la dirección URL a la que se entregan los datos introducidos en el formulario web.

    • Name—Un elemento XML o nombre de atributo. En el área de texto, escriba una expresión regular de formato PCRE-que defina el nombre del elemento o atributo.

    • URL: un elemento URL puede estar etiquetado como URL de acción, URL de rechazo, URL de acción de formulario, URL de origen de formulario, URL de inicio o simplemente URL. En el área de texto, escriba una expresión regular con formato PCRE-que defina la dirección URL.

    • Formato: la sección de formato contiene varios parámetros que incluyen cuadros de lista y cuadros de texto. Puede aparecer cualquiera de las siguientes opciones:

      • Tipo: seleccione un tipo de campo en la lista desplegable Tipo. Para agregar una nueva definición de tipo de campo, haga clic en Administrar:
      • Longitud mínima: Escriba un entero positivo que represente la longitud mínima en caracteres si quiere forzar a los usuarios a rellenar este campo. Valor predeterminado: 0 (permite que el campo se deje en blanco.)
      • Longitud máxima: para limitar la longitud de los datos en este campo, escriba un entero positivo que represente la longitud máxima en caracteres. Valor predeterminado: 65535
    • Ubicación: elija el elemento de la solicitud a la que se aplicará su relajación en la lista desplegable. Para las comprobaciones de seguridad HTML, las opciones son:

      • FormField: campos de formulario en formularios web.
      • Encabezado: encabezados de solicitud.
      • Cookie: establecer encabezados de cookies.

      Para las comprobaciones de seguridad XML, las opciones son:

      • ELEMENT: elemento XML.
      • ATTRIBUE: atributo XML.
    • Tamaño máximo de datos adjuntos: el tamaño máximo en bytes permitido para un archivo adjunto XML.

    • Comentarios: en el área de texto, escriba un comentario. Opcional.

    Nota: Para cualquier elemento que requiera una expresión regular, puede escribir la expresión regular, utilizar el menú Tokens de expresiones regulares para insertar elementos y símbolos de expresiones regulares directamente en el cuadro de texto, o hacer clic en Editor de expresiones regulares para abrir el cuadro de texto Agregar expresión regular y úselo para construir la expresión.

  7. Para quitar una relajación o regla, selecciónela y, a continuación, haga clic en Quitar.

  8. Para habilitar una relajación o regla, selecciónela y, a continuación, haga clic en Habilitar.

  9. Para inhabilitar una relajación o regla, selecciónela y, a continuación, haga clic en Inhabilitar.

  10. Para configurar los parámetros y las relaciones de todas las relajaciones existentes en una pantalla gráfica interactiva integrada, haga clic en Visualizadory utilice las herramientas de visualización.

    Nota:

    El botón Visualizadorno aparece en todos los cuadros de diálogo de relajación de verificación.

  11. Para revisar las reglas aprendidas para esta comprobación, haga clic en Aprendizaje y lleve a cabo los pasos de Para configurar y utilizar la función Aprendizaje

  12. Haga clic en Aceptar.

Para configurar la función de aprendizaje mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.
  2. En el panel Perfiles, seleccione el perfil y, a continuación, haga clic en Modificar.
  3. Haga clic en la ficha Aprendizaje. En la parte superior de la ficha Aprendizaje hay una lista de las comprobaciones de seguridad que están disponibles en el perfil actual y que admiten la función de aprendizaje.

  4. Para configurar los umbrales de aprendizaje, seleccione una comprobación de seguridad y, a continuación, escriba los valores apropiados en los siguientes cuadros de texto:

    • Umbral de número mínimo. Dependiendo de la configuración de aprendizaje de la comprobación de seguridad que esté configurando, el umbral de número mínimo puede referirse al número mínimo de sesiones totales de usuario que se deben observar, el número mínimo de solicitudes que se deben observar o el número mínimo de veces que se debe observar un campo de formulario específico. antes de que se genere una relajación aprendida. Predeterminado: 1

    • Porcentaje de veces umbral. Dependiendo de la configuración de aprendizaje de la comprobación de seguridad que esté configurando, el porcentaje de veces umbral puede hacer referencia al porcentaje del total de sesiones de usuario observadas que infringieron la comprobación de seguridad, el porcentaje de solicitudes o el porcentaje de veces que un campo de formulario coincide con un tipo de campo determinado, antes de un aprendida relajación se genera. Predeterminado: 0

  5. Para eliminar todos los datos aprendidos y restablecer la función de aprendizaje, de modo que deba volver a iniciar sus observaciones desde el principio, haga clic en Quitar todos los datos aprendidos.

    Nota:

    Este botón elimina solo las recomendaciones aprendidas que no se han revisado y que se han aprobado u omitido. No elimina las relajaciones aprendidas que se han aceptado e implementado.

  6. Para restringir el motor de aprendizaje al tráfico de un conjunto específico de IP, haga clic en Clientes de aprendizaje de confianza y agregue las direcciones IP que quiera utilizar a la lista.
    1. Para agregar una dirección IP o un intervalo de direcciones IP a la lista Clientes de aprendizaje de confianza, haga clic en Agregar.
    2. En el cuadro de diálogo Agregar clientes de aprendizaje de confianza, cuadro de lista IP de clientes de confianza, escriba la dirección IP o un intervalo de direcciones IP en formato CIDR.
    3. En el área de texto Comentarios, escriba un comentario que describa esta dirección IP o intervalo.
    4. Haga clic en Crear para agregar su nueva dirección IP o rango a la lista.
    5. Para modificar una dirección IP o intervalo existente, haga clic en la dirección IP o intervalo y, a continuación, haga clic en Abrir. Excepto por el nombre, el cuadro de diálogo que aparece es idéntico al cuadro de diálogo Agregar clientes de aprendizaje de confianza.
    6. Para inhabilitar o habilitar una dirección IP o un intervalo, pero dejarlo en la lista, haga clic en la dirección IP o intervalo y, a continuación, haga clic en Inhabilitar o Habilitar, según corresponda.
    7. Para quitar completamente una dirección IP o un intervalo, haga clic en la dirección IP o intervalo y, a continuación, haga clic en Quitar.
  7. Haga clic en Cerrar para volver al cuadro de diálogo Configurar perfil de firewall de aplicaciones.
  8. Haga clic en Cerrar para cerrar el cuadro de diálogo Configurar perfil de firewall de aplicaciones y volver a la pantalla Perfil de firewall de aplicaciones.

Para crear y configurar una directiva mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Directivas.

  2. En el panel de detalles, realice una de las acciones siguientes:

    • Para crear una nueva directiva de firewall, haga clic en Agregar. Se muestra la directiva Crear servidor de seguridad de aplicaciones web.
    • Para modificar una directiva de firewall existente, selecciónela y, a continuación, haga clic en Modificar.

    Se muestra la directiva Crear Web App Firewall de seguridad de aplicaciones web o Configurar directiva de firewall de aplicaciones web.

  3. Si está creando una nueva directiva de firewall, en el cuadro de diálogo Crear directiva de Web App Firewall, cuadro de texto Nombre de directiva, escriba un nombre para la nueva directiva.

    El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede constar de una a 128 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y guión bajo (_).

    Si está configurando una directiva de firewall existente, este campo es de solo lectura. No se puede modificar.

  4. Seleccione el perfil que quiere asociar a esta directiva en la lista desplegable Perfil. Puede crear un perfil nuevo para asociarlo a la directiva haciendo clic en Nuevo y modificar un perfil existente haciendo clic en Modificar.

  5. En el área de texto Expresión, cree una regla para la directiva.

    • Puede escribir una regla directamente en el área de texto.
    • Puede hacer clic en Prefijo para seleccionar el primer término de la regla y seguir las instrucciones. Consulte Para crear una regla de Web App Firewall (expresión) para obtener una descripción completa de este proceso.
    • Puede hacer clic en Agregar para abrir el cuadro de diálogo Agregar expresión y utilizarlo para construir la regla. Consulte Cuadro de diálogo Agregar expresión para obtener una descripción completa de este proceso.
  6. Haga clic en Crear o Aceptar y, a continuación, haga clic en Cerrar.

Para crear o configurar una regla de Web App Firewall (expresión)

La regla de directiva, también denominada expresión, define el tráfico web que filtra el Web App Firewall mediante el perfil asociado a la directiva. Al igual que otras reglas de directivas de Citrix ADC (o expresiones), las reglas de Web App Firewall utilizan la sintaxis de expresiones Citrix ADC. Esta sintaxis es potente, flexible y extensible. Es demasiado complejo para describir completamente en este conjunto de instrucciones. Puede utilizar el siguiente procedimiento para crear una regla de directiva de firewall simple o puede leerla como una descripción general del proceso de creación de directivas.

  1. Si aún no lo ha hecho, desplácese hasta la ubicación adecuada en el Asistente para Web App Firewall o en la GUI de Citrix ADC para crear la regla de directiva:

    • Si está configurando una directiva en el Asistente para Web App Firewall, en el panel de exploración, haga clic en Firewall de aplicaciones, en el panel de detalles, haga clic en Asistente para firewall de aplicacionesy, a continuación, vaya a la pantalla Especificar regla.
    • Si está configurando una directiva manualmente, en el panel de navegación, expanda el firewall de aplicaciones, Directivasy, a continuación, Firewall. En el panel de detalles, para crear una nueva directiva, haga clic en Agregar. Para modificar una directiva existente, selecciónela y, a continuación, haga clic en Abrir.
  2. En la pantalla Especificar regla, en el cuadro de diálogo Crear perfil de firewall de aplicación o en el cuadro de diálogo Configurar perfil de firewall de aplicación, haga clic en Prefijo y, a continuación, elija el prefijo de la expresión en la lista desplegable. Las opciones disponibles son:

    • HTTP. El protocolo HTTP. Elija esto si quiere examinar algún aspecto de la solicitud que pertenece al protocolo HTTP.
    • SYS. Los sitios web protegidos. Elija esta opción si quiere examinar algún aspecto de la solicitud que pertenece al destinatario de la solicitud.
    • CLIENT. El equipo que envió la solicitud. Elija esto si quiere examinar algún aspecto del remitente de la solicitud.
    • SERVER. El equipo al que se envió la solicitud. Elija esto si quiere examinar algún aspecto del destinatario de la solicitud.

    Después de elegir un prefijo, Web App Firewall muestra una ventana de solicitud de dos partes que muestra las posibles opciones siguientes en la parte superior y una breve explicación de lo que significa la opción seleccionada en la parte inferior.

  3. Elija su próximo mandato.

    Si eligió HTTP como prefijo, su única opción es REQ, que especifica el par Request/Response. (El Web App Firewall funciona en la solicitud y respuesta como una unidad en lugar de en cada una por separado.) Si elige otro prefijo, sus opciones son más variadas. Para obtener ayuda sobre una opción específica, haga clic en esa opción una vez para mostrar información sobre ella en la ventana de solicitud inferior.

    Cuando haya decidido qué término quiere, haga doble clic en él para insertarlo en la ventana Expresión.

  4. Escriba un período después del término que acaba de elegir. A continuación, se le pedirá que elija su próximo término, como se describe en el paso anterior. Cuando un término requiera que escriba un valor, rellene el valor apropiado. Por ejemplo, si elige HTTP.REQ.HEADER(“”), escriba el nombre del encabezado entre las comillas.

  5. Siga eligiendo términos de las solicitudes y rellenando los valores necesarios hasta que finalice la expresión.

    A continuación se presentan algunos ejemplos de expresiones para fines específicos.

    • Host web específico. Para hacer coincidir el tráfico de un host web concreto:
HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Para shopping.example.com, sustituya el nombre del host web que quiere que coincida.

  • Carpeta web o directorio específico. Para hacer coincidir el tráfico de una carpeta o directorio determinado en un host Web:
        HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")

Para www.example.com, sustituya el nombre del host web. En el caso de carpeta, sustituya la carpeta o la ruta de acceso al contenido que quiere que coincida. Por ejemplo, si su carrito de la compra está en una carpeta llamada /solutions/orders, sustituya esa cadena por carpeta.

  • Tipo específico de contenido: imágenes GIF. Para hacer coincidir imágenes con formato GIF:
        HTTP.REQ.URL.ENDSWITH(".gif")

Para que coincidan con otras imágenes de formato, sustituya otra cadena en lugar de .gif.

  • Tipo específico de contenido: scripts. Para hacer coincidir todos los scripts CGI ubicados en el directorio CGI-BIN:
        HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")

Para hacer coincidir todos los JavaScripts con extensiones.js:

        HTTP.REQ.URL.ENDSWITH(".js")

Para obtener más información acerca de la creación de expresiones de directiva, consulte Directivas y expresiones.

Nota:

Si utiliza la línea de comandos para configurar una directiva, recuerde evitar las comillas dobles dentro de las expresiones Citrix ADC. Por ejemplo, la siguiente expresión es correcta si se introduce en la GUI:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Sin embargo, si se introduce en la línea de comandos, debe escribir esto en su lugar:

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Para agregar una regla de firewall (expresión) mediante el cuadro de diálogo Agregar expresión

El cuadro de diálogo Agregar expresión (también denominado Editor de expresiones) ayuda a los usuarios que no están familiarizados con el lenguaje de expresiones Citrix ADC a crear una directiva que coincida con el tráfico que quieren filtrar.

  1. Si aún no lo ha hecho, desplácese hasta la ubicación adecuada en el Asistente para Web App Firewall o en la GUI de Citrix ADC:
    • Si está configurando una directiva en el Asistente para Web App Firewall, en el panel de exploración, haga clic en Web App Firewall y, a continuación, en el panel de detalles, haga clic en Asistente para Web App Firewall y, a continuación, vaya a la pantalla Especificar regla.
    • Si está configurando una directiva manualmente, en el panel de exploración, expanda Web App Firewall, Directivasy, a continuación, Firewall. En el panel de detalles, para crear una nueva directiva, haga clic en Agregar. Para modificar una directiva existente, selecciónela y, a continuación, haga clic en Abrir.
  2. En la pantalla Especificar regla, en el cuadro de diálogo Crear perfil de Web App Firewall o en el cuadro de diálogo Configurar perfil de firewall de aplicaciones web, haga clic en Agregar.
  3. En el cuadro de diálogo Agregar expresión, en el área Expresión de construcción, en el primer cuadro de lista, elija uno de los prefijos siguientes:
    • HTTP. El protocolo HTTP. Elija esto si quiere examinar algún aspecto de la solicitud que pertenece al protocolo HTTP. La opción predeterminada.
    • SYS. Los sitios web protegidos. Elija esta opción si quiere examinar algún aspecto de la solicitud que pertenece al destinatario de la solicitud.
    • CLIENT. El equipo que envió la solicitud. Elija esto si quiere examinar algún aspecto del remitente de la solicitud.
    • SERVER. El equipo al que se envió la solicitud. Elija esto si quiere examinar algún aspecto del destinatario de la solicitud.
  4. En el segundo cuadro de lista, elija su próximo término. Los términos disponibles varían según la elección realizada en el paso anterior, ya que el cuadro de diálogo ajusta automáticamente la lista para que contenga solo los términos válidos para el contexto. Por ejemplo, si seleccionó HTTP en el cuadro de lista anterior, la única opción es REQ, para las solicitudes. Dado que Web App Firewall trata las solicitudes y las respuestas asociadas como una sola unidad y filtra ambas, no es necesario que las respuestas específicas se presenten por separado. Después de elegir su segundo término, aparece un tercer cuadro de lista a la derecha del segundo. La ventana Ayuda muestra una descripción del segundo término y la ventana Vista previa de expresión muestra la expresión.
  5. En el tercer cuadro de lista, elija el siguiente término. Aparecerá un nuevo cuadro de lista a la derecha y la ventana de Ayuda cambia para mostrar una descripción del nuevo término. La ventana Vista previa de expresión se actualiza para mostrar la expresión tal y como la ha especificado en ese punto.
  6. Continúe eligiendo términos y, cuando se le solicite, rellenando argumentos, hasta que se complete la expresión. Si comete un error o quiere cambiar su expresión después de haber seleccionado un término, simplemente puede elegir otro término. Se modifica la expresión y se borran los argumentos o términos adicionales que haya agregado después del término modificado.
  7. Cuando haya terminado de construir la expresión, haga clic en Aceptar para cerrar el cuadro de diálogo Agregar expresión. La expresión se inserta en el área de texto Expresión.

Para enlazar una directiva de Web App Firewall mediante la interfaz gráfica de usuario

  1. Lleve a cabo una de las siguientes acciones:
    • Vaya a Seguridad > Web App Firewall y, en el panel de detalles, haga clic en Administrador de directivas de firewall de aplicaciones.
    • Vaya a Seguridad > Servidor de seguridad de aplicaciones > Directivas > Directivas de firewall y, en el panel de detalles, haga clic en Administrador de directivas.
  2. En el cuadro de diálogo Administrador de firewall de aplicaciones, elija el punto de enlace al que quiere enlazar la directiva en la lista desplegable. Las opciones son:
    • Anular Global. Las directivas enlazadas a este punto de enlace procesan todo el tráfico de todas las interfaces del dispositivo Citrix ADC y se aplican antes que cualquier otra directiva.
    • Servidor virtual LB. Las directivas enlazadas a un servidor virtual de equilibrio de carga se aplican solo al tráfico procesado por ese servidor virtual de equilibrio de carga y se aplican antes de cualquier directiva global predeterminada. Después de seleccionar LB Virtual Server, también debe seleccionar el servidor virtual de equilibrio de carga específico al que quiere enlazar esta directiva.
    • Servidor virtual CS. Las directivas enlazadas a un servidor virtual de conmutación de contenido se aplican solo al tráfico procesado por ese servidor virtual de conmutación de contenido y se aplican antes de cualquier directiva global predeterminada. Después de seleccionar CS Virtual Server, también debe seleccionar el servidor virtual de conmutación de contenido específico al que quiere enlazar esta directiva.
    • Global predeterminada. Las directivas vinculadas a este punto de enlace procesan todo el tráfico de todas las interfaces del dispositivo Citrix ADC.
    • Etiqueta de directiva. Las directivas enlazadas a una etiqueta de directiva procesan el tráfico que la etiqueta de directiva les enruta. La etiqueta de directiva controla el orden en que se aplican las directivas a este tráfico.
    • Ninguno. No vincule la directiva a ningún punto de enlace.
  3. Haga clic en Continuar. Aparecerá una lista de las directivas existentes de Web App Firewall.
  4. Seleccione la directiva que quiere vincular haciendo clic en ella.
  5. Realice ajustes adicionales en el enlace.
    • Para modificar la prioridad de directiva, haga clic en el campo para habilitarla y, a continuación, escriba una nueva prioridad. También puede seleccionar Regenerar prioridades para volver a numerar las prioridades de manera uniforme.
    • Para modificar la expresión de directiva, haga doble clic en ese campo para abrir el cuadro de diálogo Configurar directiva de Web App Firewall, donde puede modificar la expresión de directiva.
    • Para establecer la Expresión Ir a, haga doble clic en el campo del encabezado de columna Ir a Expresión para mostrar la lista desplegable, donde puede elegir una expresión.
    • Para establecer la opción Invocar, haga doble clic en el campo del encabezado de columna Invocar para mostrar la lista desplegable, donde puede elegir una expresión.
  6. Repita los pasos 3 a 6 para agregar cualquier directiva adicional de Web App Firewall que quiera enlazar globalmente.
  7. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha enlazado correctamente.