Citrix ADC

Configuración del motor

La configuración del motor afecta a todas las solicitudes y respuestas que procesa Citrix Web App Firewall. Los siguientes son los ajustes:

  • Nombre de la cookie: Nombre de la cookie que almacena el ID de sesión de Citrix ADC.
  • Tiempo de espera de sesión: El período máximo de inactividad permitido. Si una sesión de usuario no muestra ninguna actividad durante este período de tiempo, la sesión finaliza y el usuario debe restablecerla visitando una página de inicio designada.
  • Prefijo de cifrado posterior de cookies: La cadena que precede a la parte cifrada de las cookies cifradas.
  • Duración máxima de la sesión: La cantidad máxima de tiempo, en segundos, que se permite que una sesión permanezca activa. Una vez alcanzado este período, la sesión finaliza y el usuario debe restablecerla visitando una página de inicio designada. Esta configuración no puede ser inferior al tiempo de espera de la sesión. Para inhabilitar esta configuración, de modo que no haya una duración máxima de la sesión, establezca el valor en cero (0).
  • Nombre de encabezado de registro: Nombre del encabezado HTTP que contiene la IP del cliente, para el registro.
  • Perfil indefinido: El perfil aplicado cuando la acción de directiva correspondiente se evalúa como indefinido.
  • Perfil predeterminado: Perfil aplicado a conexiones que no coinciden con una directiva.
  • Límite de tamaño de importación: El recuento máximo de bytes de todos los archivos importados al dispositivo, incluidas firmas, WSDL, esquemas, páginas de error HTML y XML. Durante una importación, si el tamaño del objeto importado hace que el recuento acumulativo de todos los archivos importados supere el límite configurado, se producirá un error en la operación de importación. Y el dispositivo muestra el siguiente mensaje de error: “ERROR: Error de importación: Excediendo el límite de tamaño total configurado en los objetos importados”.
  • Límite de velocidad de mensajes de aprendizaje: El número máximo de solicitudes y respuestas por segundo que el motor de aprendizaje va a procesar. Las solicitudes o respuestas adicionales que superen este límite no se envían al motor de aprendizaje.
  • Decodificación de entidades: Decodifica entidades HTML al ejecutar comprobaciones de Web App Firewall.
  • Solicitud de registro malformada: Permite el registro de solicitudes HTTP mal formadas.
  • Usar clave secreta configurable: Utilice una clave secreta configurable para las operaciones de Web App Firewall. Esta clave secreta se utiliza para firmar y verificar datos. Cuando “UseConfigurableSecretKey” está activado, debe utilizar la clave habilitada en el parámetro “set ns EncryptionParams”.
  • Restablecer datos aprendidos: Elimina todos los datos aprendidos del Web App Firewall. Reinicia el proceso de aprendizaje mediante la recopilación de datos nuevos.

Se encuentran dos opciones, Restablecer datos aprendidos y Actualización automática de firmas, en diferentes lugares, en función de si usa la interfaz de comandos o la GUI de Citrix ADC para configurar Citrix Web App Firewall. Al utilizar la interfaz de comandos, puede configurar Restablecer datos aprendidos mediante el comando reset appfw learning data. Esto no toma parámetros y no tiene otras funciones. Puede configurar la firma Auto-Update en el comando set appfw settings. El parámetro -SignatureAutoUpdate habilita o inhabilita la actualización automática de las firmas y -signatureURL configura la dirección URL que aloja el archivo de firmas actualizado.

Cuando se utiliza la GUI de Citrix ADC, se configura Restablecer datos aprendidos en Seguridad > Citrix Web App Firewall > Configuración del motor. La opción Restablecer datos aprendidos se encuentra en la parte inferior del cuadro de diálogo. Para configurar la actualización automática de firmas para cada conjunto de firmas en Seguridad > Citrix Web App Firewall > Firmas, seleccione el archivo de firmas, haga clic con el botón derecho del mouse y seleccione Configuración de actualización automática.

Normalmente, los valores predeterminados de la configuración de Web App Firewall son correctos. Sin embargo, si la configuración predeterminada causa un conflicto con otros servidores o causa una desconexión prematura de los usuarios, debe modificarlos.

El límite de sesión de Web App Firewall se puede configurar mediante el siguiente comando:

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

Para configurar los parámetros del motor mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

Ejemplo

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

Para configurar la configuración del motor mediante la GUI de Citrix ADC

  1. Vaya a Seguridad > Citrix Web App Firewall
  2. En el panel de detalles, haga clic en Cambiar configuración del motor en Configuración.
  3. En el cuadro de diálogo Configuración del motor de Web App Firewall, establezca los siguientes parámetros:
    • Nombre de la cookie
    • Tiempo de espera de la sesión
    • Prefijo de cifrado de publicación de cookies
    • Duración máxima de la sesión
    • Nombre de encabezado de registro
    • Perfil indefinido
    • Perfil predeterminado
    • Límite de tamaño de importación
    • Límite de velocidad de mensajes de aprendizaje
    • Decodificación de entidades
    • Registro de solicitud mal formada
    • Usar clave secreta
    • Límite de velocidad de mensajes de aprendizaje
    • Actualización automática de firmas
  4. Haga clic en Aceptar.

    Configuración del motor WAF

Configuración del motor