Configuración de perfiles de Web App Firewall

Para configurar un perfil de Web App Firewall definidas por el usuario, configure primero las comprobaciones de seguridad, que se denominan protecciones profundas o protecciones avanzadas en el Asistente para Web App Firewall. Ciertas comprobaciones requieren configuración si va a utilizarlas en absoluto. Otros tienen configuraciones predeterminadas que son seguras pero de alcance limitado; es posible que sus sitios web necesiten o se beneficien de una configuración diferente que aproveche las funciones adicionales de ciertas comprobaciones de seguridad.

Después de configurar las comprobaciones de seguridad, también puede configurar otras opciones de configuración que controlan el comportamiento, no de una sola comprobación de seguridad, sino de la función Web App Firewall. La configuración predeterminada es suficiente para proteger la mayoría de los sitios web, pero debe revisarlos para asegurarse de que son adecuados para sus sitios web protegidos.

Para obtener más información acerca de las comprobaciones de seguridad de Web App Firewall, consulte Protecciones avanzadas.

Para configurar un perfil de Web App Firewall mediante la línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw profile <name> <arg1> [<arg2> ...]

    donde:

    • <arg1> = un parámetro y cualquier opción asociada.
    • <arg2> = un segundo parámetro y cualquier opción asociada.
    • … = parámetros y opciones adicionales.

    Para obtener descripciones de los parámetros que se van a utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas.

  • save ns config

Ejemplo

En el ejemplo siguiente se muestra cómo habilitar el bloqueo para las comprobaciones de HTML SQL Injection y HTML Cross-Site Scripting en un perfil denominado pr-basic. Este comando permite el bloqueo de esas acciones sin realizar otros cambios en el perfil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

Para configurar un perfil de Web App Firewall mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Servidor de seguridad de aplicaciones > Perfiles.
  2. En el panel de detalles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Configurar perfil de Web App Firewall, en la ficha Comprobaciones de seguridad, configure las comprobaciones de seguridad.

    • Para habilitar o inhabilitar una acción de una comprobación, en la lista, active o desactive la casilla de verificación de esa acción.

    • Para configurar otros parámetros para las comprobaciones que los tienen, en la lista, haga clic en el botón de contenido adicional azul situado en el extremo derecho de esa comprobación. En el cuadro de diálogo que aparece, configure los parámetros. Estos varían de un cheque a otro.

      También puede seleccionar una verificación y, en la parte inferior del cuadro de diálogo, hacer clic en Abrir para mostrar el cuadro de diálogo Configurar relajacióno Configurar regla para esa comprobación. Estos cuadros de diálogo también varían de una comprobación a otra. La mayoría de ellos incluyen una ficha Comprobaciones y una ficha General. Si la comprobación admite relajantes o reglas definidas por el usuario, la ficha Comprobaciones incluye un botón Agregar, que abre otro cuadro de diálogo, en el que puede especificar una relajación o una regla para la comprobación. (Una relajación es una regla para eximir el tráfico especificado del cheque.) Si ya se han configurado las relajantes, puede seleccionar una y hacer clic en Abrir para modificarla.

    • Para revisar las excepciones o reglas aprendidas para una comprobación, selecciónela y, a continuación, haga clic en Violaciones aprendidas. En el cuadro de diálogo Administrar reglas aprendidas, seleccione cada excepción o regla aprendida a su vez.

      • Para modificar la excepción o regla y, a continuación, agregarla a la lista, haga clic en Modificar e implementar.
      • Para aceptar la excepción o regla sin modificaciones, haga clic en Implementar.
      • Para quitar la excepción o regla de la lista, haga clic en Omitir.
    • Para actualizar la lista de excepciones o reglas que se van a revisar, haga clic en Actualizar.

    • abra el Visualizador de aprendizaje y utilícelo para revisar las reglas aprendidas, haga clic en Visualizador.

    • revise las entradas de registro para las conexiones que coincidan con una comprobación, selecciónela y, a continuación, haga clic en Registros. Puede utilizar esta información para determinar qué comprobaciones son ataques coincidentes, de modo que pueda habilitar el bloqueo para dichas comprobaciones. También puede utilizar esta información para determinar qué comprobaciones coinciden con el tráfico legítimo, de modo que pueda configurar una exención adecuada para permitir esas conexiones legítimas. Para obtener más información acerca de los registros, consulte Registros, estadísticas e informes.

    • Para inhabilitar completamente una comprobación, en la lista, desactive todas las casillas de verificación situadas a la derecha de esa comprobación.

  4. En la ficha Configuración, configure la configuración del perfil.
    • Para asociar el perfil con el conjunto de firmas que creó y configuró anteriormente, en Configuración común, elija ese conjunto de firmas en la lista desplegable Firmas.

      Nota:

      Puede que necesite usar la barra de desplazamiento situada a la derecha del cuadro de diálogo para desplazarse hacia abajo y mostrar la sección Configuración común.

    • Para configurar un objeto de error HTML o XML, seleccione el objeto en la lista desplegable correspondiente.

      Nota:

      Primero debe cargar el objeto de error que quiere utilizar en el panel Importaciones. Para obtener más información acerca de la importación de objetos de error, consulte Importaciones.

    • Para configurar el tipo de contenido XML predeterminado, escriba la cadena de tipo de contenido directamente en los cuadros de texto Solicitud predeterminada y Respuesta predeterminada, o haga clic en Administrar tipos de contenido permitidos para administrar la lista de tipos de contenido permitidos. »Más….
  5. Si quiere utilizar la función de aprendizaje, haga clic en Aprendizaje y configure la configuración de aprendizaje para el perfil, como se describe en Configuración y uso de la función de aprendizaje.
  6. Haga clic en Aceptar para guardar los cambios y volver al panel Perfiles.