Citrix ADC

Asistente para Web App Firewall

A diferencia de la mayoría de los asistentes, el asistente Citrix Web App Firewall Wizard está diseñado no solo para simplificar el proceso de configuración inicial, sino también para modificar las configuraciones creadas previamente y para mantener la configuración de Web App Firewall. Un usuario típico ejecuta el asistente varias veces, omitiendo algunas de las pantallas cada vez.

El Asistente para Web App Firewall crea automáticamente perfiles, directivas y firmas.

Abrir el asistente

Para ejecutar el Asistente para Web App Firewall, abra la GUI y siga estos pasos:

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones.
  2. En el panel de detalles, en Introducción, haga clic en Asistente para firewall de aplicaciones. Se abrirá el asistente.

Para obtener más información acerca de la GUI, consulte “Interfaces de configuración de Web App Firewall.”

Pantallas del asistente

El Asistente para Web App Firewall muestra las siguientes pantallas en una página tabular:

1. Especificar nombre: en esta pantalla, al crear una nueva configuración de seguridad, especifique un nombre significativo y el tipo apropiado (HTML, XML o WEB 2.0) para su perfil. La directiva y las firmas predeterminadas se generan automáticamente mediante el mismo nombre.

Nombre de perfil

El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede constar de 1 a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y guión bajo (_). Elija un nombre que le resulte más fácil a los demás saber qué contenido protege su nueva configuración de seguridad.

Nota:

Dado que el asistente utiliza este nombre tanto para la directiva como para el perfil, está limitado a 31 caracteres. Las directivas creadas manualmente pueden tener nombres de hasta 127 caracteres de longitud.

Al modificar una configuración existente, seleccione Modificar configuración existente y, a continuación, en la lista desplegable Nombre, seleccione el nombre de la configuración existente que quiere modificar.

Nota:

Solo las directivas enlazadas a global o a un punto de enlace aparecen en esta lista; no se puede modificar una directiva independiente mediante el asistente Servidor de seguridad de aplicaciones. Debe vincularlo manualmente a Global o a un punto de enlace, o modificarlo manualmente. (Para modificar manualmente, en la GUI) Application Firewall>Directivas>Firewall panel Firewall, seleccione la directiva y haga clic en Abrir.

Tipo de perfil

También puede seleccionar un tipo de perfil en esta pantalla. El tipo de perfil determina los tipos de protección avanzada (comprobaciones de seguridad) que se pueden configurar. Debido a que ciertos tipos de contenido no son vulnerables a ciertos tipos de amenazas de seguridad, restringir la lista de comprobaciones disponibles ahorra tiempo durante la configuración. Los tipos de perfiles de Web App Firewall son:

  • Aplicación web (HTML). Cualquier sitio web basado en HTML que no utilice tecnologías XML o Web 2.0.
  • Aplicación XML (XML, SOAP). Cualquier servicio web basado en XML.
  • Aplicación web 2.0 (HTML, XML, REST). Cualquier sitio web 2.0 que combine contenido basado en HTML y XML, como un sitio basado en ATOMO, un blog, una fuente RSS o una wiki.

Nota: Si no está seguro del tipo de contenido que se utiliza en su sitio web, puede elegir Aplicación web 2.0 para asegurarse de proteger todos los tipos de contenido de aplicaciones web.

2. Especificar regla: en esta pantalla, se especifica la regla de directiva (expresión) que define el tráfico que examina la configuración actual. Si crea una configuración inicial para proteger sus sitios web y servicios web, puede aceptar el valor predeterminado, true, que selecciona todo el tráfico web.

Si quiere que esta configuración de seguridad examine, no todo el tráfico HTTP que se enruta a través del dispositivo, sino el tráfico específico, puede escribir una regla de directiva que especifique el tráfico que quiere que examine. Las reglas se escriben en el lenguaje de expresiones Citrix ADC, que es un lenguaje de programación totalmente funcional orientado a objetos.

Nota: Además de la sintaxis de expresiones predeterminada, para compatibilidad con versiones anteriores, el sistema operativo Citrix ADC admite la sintaxis de expresiones clásicas de Citrix ADC en dispositivos Citrix ADC Classic y nCore y dispositivos virtuales. Las expresiones clásicas no se admiten en los dispositivos Citrix ADC Cluster ni en los dispositivos virtuales. Los usuarios actuales que quieran migrar sus configuraciones existentes al clúster de Citrix ADC deben migrar las directivas que contengan expresiones clásicas a la sintaxis de expresiones predeterminadas.

  • Para obtener una descripción sencilla del uso de la sintaxis de expresiones Citrix ADC para crear reglas de Web App Firewall y una lista de reglas útiles, consulte Directivas de firewall.
  • Para obtener una explicación detallada de cómo crear reglas de directiva en la sintaxis de expresiones Citrix ADC, consulte Directivas y expresiones.

4. Seleccionar firmas: En esta pantalla, selecciona las categorías de firmas que quiere utilizar para proteger los sitios web y los servicios web.

Este paso no es obligatorio y puede omitirlo si lo quiere e ir a la pantalla Especificar protecciones profundas. Si se omite la pantalla Seleccionar firmas, solo se crean un perfil y directivas asociadas y no se crean las firmas.

Puede seleccionar Crear nueva firma o Seleccionar firma existente.

Si está creando una nueva configuración de seguridad, las categorías de firmas seleccionadas están habilitadas y, de forma predeterminada, se registran en un nuevo objeto de firmas. Al nuevo objeto de firmas se le asigna el mismo nombre que el especificado en la pantalla Especificar nombre que el nombre de la configuración de seguridad.

Si ha configurado anteriormente objetos de firmas y quiere utilizar uno de ellos como objeto de firmas asociado a la configuración de seguridad que está creando, haga clic en Seleccionar firma existente y seleccione un objeto de firmas de la lista Firmas.

Si está modificando una configuración de seguridad existente, puede hacer clic en Seleccionar firma existente y asignar un objeto de firmas diferente a la configuración de seguridad.

Si hace clic en Crear nueva firma, puede elegir el modo de edición como Simple o Avanzado.

  1. Especificar protecciones de firma (modo simple)

El modo simple permite una fácil configuración de la firma, con una lista preestablecida de definiciones de protección para aplicaciones comunes como IIS (Internet Information Server), PHP y ActiveX. Las categorías predeterminadas en el modo Simple son:

  • CGI. Protección contra ataques en sitios web que utilizan scripts CGI en cualquier idioma, incluidos scripts PERL, scripts de shell Unix y scripts de Python.

  • Fusión fría. Protección contra ataques a sitios web que utilizan la plataforma de desarrollo web ColdFusion® de Adobe Systems®.

  • FrontPage. Protección contra ataques en sitios web que utilizan la plataforma de desarrollo Web de Microsoft® FrontPage®.

  • PHP. Protección contra ataques en sitios web que utilizan el lenguaje de script de desarrollo web de código abierto PHP.

  • Del lado del cliente. Protección contra ataques a herramientas del lado del cliente utilizadas para acceder a sus sitios web protegidos, como Microsoft Internet Explorer, Mozilla Firefox, el explorador Opera y Adobe Acrobat Reader.

  • Microsoft IIS. Protección contra ataques en sitios web que ejecutan Microsoft Internet Information Server (IIS)

  • Varios. Protección contra ataques a otras herramientas del lado del servidor, como servidores web y servidores de bases de datos.

En esta pantalla, seleccione las acciones asociadas a las categorías de firmas seleccionadas en la pantalla Seleccionar firmas. Las acciones que puede configurar son:

  • Bloquear
  • Registro
  • Estadísticas

De forma predeterminada, las acciones Registro y Estadísticas están habilitadas, pero no la acción Bloquear. Para configurar acciones, haga clic en Configuración. Puede cambiar la configuración de acción de todas las categorías seleccionadas mediante el menú desplegable Acción.

  1. Especificar protecciones de firma (modo avanzado)

El modo avanzado permite un control más granular sobre las definiciones de firmas y proporciona significativamente más información. Utilice el modo avanzado si quiere un control completo sobre la definición de la firma.

El contenido de esta pantalla es el mismo que el del cuadro de diálogo Modificar objeto de firmas, como se describe en Configuración o modificación de un objeto Signatures. En esta pantalla, puede configurar acciones haciendo clic en el menú desplegable Acciones o en el menú Acciones, que aparece como un círculo con tres puntos.

7. Especificar protecciones profundas: En esta pantalla, puede elegir las protecciones avanzadas (también denominadas comprobaciones de seguridad o simplemente comprobaciones) que quiere utilizar para proteger sus sitios web y servicios web. Las comprobaciones disponibles dependen del tipo de perfil que haya elegido en la pantalla Especificar nombre. Todas las comprobaciones están disponibles para perfiles de aplicación web 2.0.

Para obtener más información, consulte Introducción a las comprobaciones de seguridad y Comprobaciones avanzadas de protecciones de formularios.

Configure las acciones para las protecciones avanzadas que ha habilitado.Las acciones que puede configurar son:

  • Bloque: Bloquea las conexiones que coinciden con la firma. Inhabilitado de forma predeterminada.
  • Registro: Registra las conexiones que coinciden con la firma para un análisis posterior. Habilitado de forma predeterminada.
  • Estadísticas: Mantiene estadísticas, para cada firma, que muestran cuántas conexiones coincide y proporcionan cierta otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
  • Aprende. Observe el tráfico a este sitio web o servicio web y utilice conexiones que violen repetidamente esta comprobación para generar excepciones recomendadas a la comprobación, o nuevas reglas para la comprobación. Disponible solo para algunos cheques. Para obtener más información acerca de la función de aprendizaje, consulte Configuración y uso de la función de aprendizaje, y para ver cómo funciona el aprendizaje y cómo configurar excepciones (relajaciones) o implementar reglas aprendidas para una comprobación, consulte Configuración manual mediante el uso de la GUI.

Para configurar acciones, active la protección haciendo clic en la casilla de verificación y, a continuación, haga clic en Configuración de acción para seleccionar las acciones necesarias. Seleccione otros parámetros, si es necesario, y haga clic en Aceptar para cerrar la ventana Configuración de acción.

Para ver todos los registros de una comprobación específica, selecciónela y, a continuación, haga clic en Registros para mostrar el Visor de Syslog, como se describe en Registros de Web App Firewall. Si una comprobación de seguridad bloquea el acceso legítimo al sitio web o servicio web protegido, puede crear e implementar una relajación para dicha comprobación de seguridad seleccionando un registro que muestre el bloqueo no deseado y, a continuación, haciendo clic en Implementar.

Después de completar la especificación de configuración de acción, haga clic en Finalizar para completar el asistente.

Los siguientes son cuatro procedimientos que muestran cómo realizar tipos específicos de configuración mediante el Asistente para Web App Firewall.

Crear una nueva configuración

Siga estos pasos para crear una nueva configuración de firewall y objetos de firma mediante el asistente Applicaiton Firewall.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones.

  2. En el panel de detalles, en Introducción, haga clic en Servidor de seguridad de **aplicaciones. Se abrirá el asistente.

    mago

  3. En la pantalla Especificar nombre, seleccione **Crear nueva configuración.

  4. En el campo Nombre, escriba un nombre y, a continuación, haga clic en Siguiente.

  5. En la pantalla Especificar regla, vuelva a hacer clic en Siguiente.

  6. En la pantalla Seleccionar firmas, seleccione Crear nueva firma y Simple como modo de edición y, a continuación, haga clic en Siguiente.

  7. En la pantalla Especificar protecciones de firma, configure los valores necesarios. Para obtener más información sobre las firmas que se deben tener en cuenta para el bloqueo y cómo determinar cuándo se puede habilitar de forma segura el bloqueo de una firma, consulte Firmas.

  8. En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.

  9. Cuando termine, haga clic en Finalizar para cerrar el asistente de Firewall de aplicaciones.

Modificar una configuración existente

Siga estos pasos para modificar una configuración existente y las categorías de firmas existentes.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones.
  2. En el panel de detalles, en Introducción, haga clic en Asistente para firewall de aplicaciones. Se abrirá el asistente.
  3. En la pantalla Especificar nombre, seleccione Modificar configuración existente y, en la lista desplegable Nombre, elija la configuración de seguridad que creó durante la nueva configuración y, a continuación, haga clic en Siguiente.
  4. En la pantalla Especificar regla, haga clic en Siguiente para mantener el valor predeterminado “true”. Si quiere modificar la regla, siga los pasos descritos en Configurar una expresión de directivas personalizada.
  5. En la pantalla Seleccionar firmas, haga clic en Seleccionar firma existente. En el menú desplegable Firma existente, seleccione la opción adecuada y, a continuación, haga clic en Siguiente. Aparecerá la pantalla de protección avanzada de firma. Nota: Si selecciona una firma existente, el modo de edición predeterminado para la firma protegida es avanzado.
  6. En la pantalla Especificar protecciones de firma, configure los valores necesarios y haga clic en Siguiente. Para obtener más información acerca de las firmas que se deben considerar para el bloqueo y cómo determinar cuándo se puede habilitar de forma segura el bloqueo para una firma, consulte Firmas.
  7. En la pantalla Especificar protecciones profundas, configure los parámetros y haga clic en Siguiente.
  8. Después de completar, haga clic en Finalizar para cerrar el Asistente para Web App Firewall.

Crear una nueva configuración sin firmas

Siga estos pasos para utilizar el Asistente de Firewall de aplicaciones para omitir la pantalla Seleccionar firmas y crear una nueva configuración con solo el perfil y las directivas asociadas, pero sin ninguna firma.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones.
  2. En el panel de detalles, en Introducción, haga clic en Asistente para firewall de aplicaciones. Se abrirá el asistente.
  3. En la pantalla Especificar nombre, seleccione Crear nueva configuración.
  4. En el campo Nombre, escriba un nombre y, a continuación, haga clic en Siguiente.
  5. En la pantalla Especificar regla, haga clic de nuevo en Next.
  6. En la pantalla Seleccionar firmas, haga clic en Omitir.
  7. En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.
  8. Cuando termine, haga clic en Finalizar para cerrar el Asistente para firewall de aplicaciones.

Configurar una expresión de directiva personalizada

Siga estos pasos para utilizar el Asistente para Firewall de aplicaciones con el fin de crear una configuración de seguridad especializada para proteger solo contenido específico. En este caso, se crea una nueva configuración de seguridad en lugar de modificar la configuración inicial. Este tipo de configuración de seguridad requiere una regla personalizada, de modo que la directiva aplica la configuración solo al tráfico Web seleccionado.

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones.
  2. En el panel de detalles, en Introducción, haga clic en Asistente para firewall de aplicaciones.
  3. En la pantalla Especificar nombre, escriba un nombre para la nueva configuración de seguridad en el cuadro de texto Nombre, seleccione el tipo de configuración de seguridad en la lista desplegable Tipo y, a continuación, haga clic en Siguiente.
  4. En la pantalla Especificar regla, escriba una regla que coincida únicamente con el contenido que quiere que proteja esta aplicación web. Utilice la lista desplegable Expresiones de uso frecuente y el Editor de expresiones para crear una expresión personalizada. Cuando termine, haga clic en Siguiente.
  5. En la pantalla Seleccionar firmas, seleccione el modo de edición y, a continuación, haga clic en Siguiente.
  6. En la pantalla Especificar protecciones de firma, configure los valores necesarios.
  7. En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.
  8. Cuando termine, haga clic en Finalizar para cerrar el Asistente para firewall de aplicaciones.

Asistente para Web App Firewall