Vinculación de directivas de Web App Firewall

Después de configurar las directivas de Web App Firewall, las vincula a Global o a un punto de enlace para ponerlas en vigor. Después del enlace, cualquier solicitud o respuesta que coincida con una directiva de Web App Firewall se transforma mediante el perfil asociado a dicha directiva.

Cuando vincula una directiva, le asigna una prioridad. La prioridad determina el orden en que se evalúan las directivas definidas. Puede establecer la prioridad en cualquier entero positivo. En el sistema operativo Citrix ADC, las prioridades de directivas funcionan en orden inverso: cuanto mayor sea el número, menor será la prioridad.

Debido a que la función Web App Firewall implementa solo la primera directiva que coincide con una solicitud, no las directivas adicionales que también podrían coincidir, la prioridad de directiva es importante para lograr los resultados deseados. Si asigna a su primera directiva una prioridad baja (como 1000), configure el Web App Firewall para que lo realice solo si otras directivas con una prioridad mayor no coinciden con una solicitud. Si asigna a su primera directiva una prioridad alta (por ejemplo, 1), configure Web App Firewall para que la ejecute primero y omita cualquier otra directiva que también pueda coincidir. Puede dejar mucho espacio para agregar otras directivas en cualquier orden, sin tener que reasignar prioridades, estableciendo prioridades con intervalos de 50 o 100 entre cada directiva cuando vincule las directivas.

Para obtener más información acerca de las directivas de enlace en el dispositivo Citrix ADC, consulte Directivas y expresiones.

Para enlazar una directiva de Web App Firewall mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • bind appfw global <policyName>
  • bind appfw profile <profile_name> -crossSiteScripting data

Ejemplo

En el ejemplo siguiente se vincula la directiva denominada pl-blog y se le asigna una prioridad de 10.

bind appfw global pl-blog 10
save ns config

Configurar expresiones de registro

La compatibilidad con expresiones de registro para enlazar Web App Firewall se agrega a la información de encabezado HTTP de registro cuando se produce una infracción.

La expresión de registro se vincula en el perfil de aplicación y el enlace contiene la expresión que debe evaluarse y enviarse a los marcos de registro cuando se produce una infracción.

Se registra el registro de infracciones de Web App Firewall con información de encabezado http. Puede especificar una expresión de registro personalizada y ayuda en el análisis y el diagnóstico cuando se generan violaciones para el flujo actual (solicitud/respuesta).

Ejemplo de configuración

bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers  headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"

Registros de ejemplo

Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M  cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked

Nota

  1. Solo está disponible el soporte de registro de auditoría. Se agregaría compatibilidad con logstream y visibilidad en información de seguridad en versiones futuras.

  2. Si se generan auditlogs, solo se pueden generar 1024 bytes de datos por mensaje de registro.

  3. Si se utiliza la transmisión de registros, los límites se basan en el tamaño máximo admitido de las limitaciones de tamaño del protocolo de flujo de registro/protocolo ipfix. El tamaño máximo de soporte para la secuencia de registro es mayor que 1024 bytes.

Para enlazar una directiva de Web App Firewall mediante la interfaz gráfica de usuario

  1. Lleve a cabo una de las siguientes acciones:
    • Vaya a Seguridad > Web App Firewall y, en el panel de detalles, haga clic en Administrador de directivas de Web App Firewall.
    • Vaya a Seguridad > Web App Firewall > Directivas > Directivas de firewall y, en el panel de detalles, haga clic en Administrador de directivas.
  2. En el cuadro de diálogo Administrador de directivas de Web App Firewall, seleccione el punto de enlace al que quiere enlazar la directiva en la lista desplegable. Las opciones son:
    • Anular Global. Las directivas enlazadas a este punto de enlace procesan todo el tráfico de todas las interfaces del dispositivo Citrix ADC y se aplican antes que cualquier otra directiva.
    • Servidor virtual LB. Las directivas enlazadas a un servidor virtual de equilibrio de carga se aplican solo al tráfico procesado por ese servidor virtual de equilibrio de carga y se aplican antes de cualquier directiva global predeterminada. Después de seleccionar LB Virtual Server, también debe seleccionar el servidor virtual de equilibrio de carga específico al que quiere enlazar esta directiva.
    • Servidor virtual CS. Las directivas enlazadas a un servidor virtual de conmutación de contenido se aplican solo al tráfico procesado por ese servidor virtual de conmutación de contenido y se aplican antes de cualquier directiva global predeterminada. Después de seleccionar CS Virtual Server, también debe seleccionar el servidor virtual de conmutación de contenido específico al que quiere enlazar esta directiva.
    • Global predeterminada. Las directivas vinculadas a este punto de enlace procesan todo el tráfico de todas las interfaces del dispositivo Citrix ADC.
    • Etiqueta de directiva. Las directivas enlazadas a una etiqueta de directiva procesan el tráfico que la etiqueta de directiva les enruta. La etiqueta de directiva controla el orden en que se aplican las directivas a este tráfico.
    • Ninguno. No vincule la directiva a ningún punto de enlace.
  3. Haga clic en Continuar. Aparecerá una lista de las directivas existentes de Web App Firewall.
  4. Seleccione la directiva que quiere vincular haciendo clic en ella.
  5. Realice ajustes adicionales en el enlace.
    • Para modificar la prioridad de directiva, haga clic en el campo para habilitarla y, a continuación, escriba una nueva prioridad. También puede seleccionar Regenerar prioridades para volver a numerar las prioridades de manera uniforme.
    • Para modificar la expresión de directiva, haga doble clic en ese campo para abrir el cuadro de diálogo Configurar directiva de Web App Firewall, donde puede modificar la expresión de directiva.
    • Para establecer la Expresión Ir a, haga doble clic en el campo del encabezado de columna Ir a Expresión para mostrar la lista desplegable, donde puede elegir una expresión.
    • Para establecer la opción Invocar, haga doble clic en el campo del encabezado de columna Invocar para mostrar la lista desplegable, donde puede elegir una expresión
  6. Repita los pasos 3 a 6 para agregar cualquier directiva adicional de Web App Firewall que quiera enlazar globalmente.
  7. Haga clic en Aceptar. Aparece un mensaje en la barra de estado que indica que la directiva se ha enlazado correctamente.