Citrix ADC

Configuración del perfil de Web App Firewall

A continuación se presentan los parámetros de perfil que debe configurar en el dispositivo.

En el símbolo del sistema, escriba:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

Ejemplo:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Donde:

invalidPercentHandling. Configure el método para manejar los nombres y valores codificados por porcentajes.

Los ajustes disponibles funcionan de la siguiente manera:

asp_mode: Elimina y analiza el porcentaje no válido para el análisis. Ejemplo፦curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se despoja de y se inspecciona el resto del contenido y se realiza una acción para la comprobación SQLInjection. secure_mode: Detectamos el valor codificado de porcentaje no válido y lo ignoramos. Ejemplo: -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se detecta, los contadores se incrementan y el contenido se pasa tal como está al servidor. apache_mode: Este modo funciona de forma similar al modo seguro.Valores posibles: Apache_mode, asp_mode, secure_mode Valor predeterminado: Secure_mode

optimizePartialReqs. Cuando está desactivado (sin objeto seguro), un dispositivo Citrix ADC envía la solicitud parcial al servidor back-end. Esta respuesta parcial se envía de vuelta al cliente. OptimizePartialReqs tiene sentido cuando se configura el objeto Safe. El dispositivo envía solicitudes de respuesta completa desde el servidor cuando está desactivado, solicita solo una respuesta parcial cuando está activado.

Los ajustes disponibles son los siguientes:

ON : Las solicitudes parciales del cliente dan como resultado solicitudes parciales al servidor back-end. OFF: Las solicitudes parciales del cliente se cambian a solicitudes completas al servidor back-end Valores posibles: ON, OFF Valor predeterminado: ON

URLDecodeRequestCookies. Cookies de solicitud de descifrado de URL antes de someterlas a comprobaciones de scripts SQL y entre sitios.

Valores posibles: ON, OFF Valor predeterminado: OFF

Límite de cuerpo de publicación de firma (Bytes). Limita la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas con la ubicación especificada como ‘HTTP_POST_BODY’.

Valor predeterminado: 8096 Valor mínimo: 0 Valor máximo: 4294967295

Límite de cuerpo de publicación (Bytes). Limita la carga útil de solicitud (en bytes) inspeccionada por Web Application Firewall.

Valor predeterminado: 20000000 Valor mínimo: 0 Valor máximo: 10 GB

PostbodyLimitAction. PostBodyLimit respeta la configuración de error cuando se especifica el tamaño máximo del cuerpo HTTP que se permitirá. Para cumplir la configuración de error, debe configurar una o más acciones de Límite de cuerpo de publicación. La configuración también es aplicable a las solicitudes en las que el encabezado de codificación de transferencia está fragmentado.

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Dónde, Bloquear: Esta acción bloquea la conexión que infringe la comprobación de seguridad y se basa en el tamaño máximo del cuerpo HTTP configurado (límite de cuerpo de publicación). La opción siempre debe estar habilitada.

Registro: Registrar infracciones de esta comprobación de seguridad.

Estadísticas: Generar estadísticas para esta comprobación de seguridad.

InspectQueryContentTypes Inspeccionar las consultas de solicitud y los formularios web para buscar scripts SQL inyectados y entre sitios para los siguientes tipos de contenido.

set appfw profile test_profile -inspectQueryContentTypes HTML XML JSON OTHER

Valores posibles: HTML, XML, JSON, OTRO

De forma predeterminada, este parámetro se establece como “InspectQueryContentTypes: HTML JSON OTRO” para perfiles appfw básicos y avanzados.

Expresión ErrorURL. La dirección URL que Citrix Web App Firewall utiliza como dirección URL de error. Longitud máxima: 2047.

Nota:

Para las infracciones de bloqueo en una dirección URL solicitada, si la dirección URL de error es similar a la URL de firma, el dispositivo restablece la conexión.

Configuración del perfil de Web App Firewall