ADC

Configuración de perfiles de Web App Firewall

Para configurar un perfil de Web App Firewall definido por el usuario, primero configure las comprobaciones de seguridad, que se denominan protecciones profundas o protecciones avanzadas en el asistente de Web App Firewall. Determinadas comprobaciones requieren configuración si se van a utilizar. Otros tienen configuraciones predeterminadas que son seguras pero con un alcance limitado; es posible que sus sitios web necesiten o se beneficien de una configuración diferente que aproveche más funciones de ciertas comprobaciones de seguridad.

Después de configurar las comprobaciones de seguridad, también puede configurar otras opciones que controlen el comportamiento, no de una sola comprobación de seguridad, sino de la función Web App Firewall. La configuración predeterminada es suficiente para proteger la mayoría de los sitios web, pero debe revisarlos para asegurarse de que son adecuados para sus sitios web protegidos.

Nota:

La longitud del nombre de perfil y toda la longitud del nombre de objeto de importación se pueden configurar hasta 127 caracteres.

Para obtener más información sobre las comprobaciones de seguridad de Web App Firewall, consulte Protecciones avanzadas.

Para configurar un perfil de Web App Firewall mediante la línea de comandos

En el símbolo del sistema, escriba los comandos siguientes:

  • set appfw profile <name> <arg1> [<arg2> ...]

    Donde:

    • <arg1> = un parámetro y cualquier opción asociada.
    • <arg2> = un segundo parámetro y cualquier opción asociada.
    • … = parámetros y opciones adicionales.

    Para obtener descripciones de los parámetros que se deben utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas.

  • save ns config

Ejemplo

El siguiente ejemplo muestra cómo habilitar el bloqueo de las comprobaciones de inyección HTML SQL y scripts HTML entre sitios en un perfil denominado pr-basic. Este comando permite bloquear esas acciones sin realizar otros cambios en el perfil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

Vincular la regla de relajación a un perfil de Web App Firewall

Cuando Web App Firewall detecta una infracción, el usuario tiene la capacidad de omitir la acción aplicada mediante reglas de relajación. La regla de relajación es una excepción que se aplica a la infracción de seguridad detectada. Por ejemplo, las reglas de relajación de URL de inicio protegen contra la navegación forzada. Las vulnerabilidades conocidas del servidor web que explotan los piratas informáticos se pueden detectar y bloquear activando un conjunto de reglas predeterminadas de denegar URL. Los ataques lanzados comúnmente, como desbordamiento de búfer, SQL o scripts entre sitios también se pueden detectar fácilmente.

Para vincular reglas de exención o relajación de seguridad mediante la CLI

En la línea de comandos, escriba:

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

Para vincular reglas de exención o relajación de seguridad mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Citrix Web App Firewall, haga clic en Reglas de relajación en la sección Configuración avanzada.
  4. En la sección Reglas de relajación, haga clic en StartURL y haga clic en Modificar.
  5. En la página Iniciar reglas de relajación de URL, haga clic en Agregar.
  6. En la página Iniciar regla de relajación de URL, establezca los siguientes parámetros:

    1. Habilitada. Seleccione la casilla de verificación para activar la regla de relajación
    2. URL de inicio. Introduzca el valor de la expresión regular
    3. Comentarios. Proporciona una breve descripción sobre la regla de relajación.
  7. Haga clic en Crear y Cerrar.

Para configurar un perfil de Web App Firewall mediante la GUI

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Configurar perfil de Web App Firewall, en la ficha Comprobaciones de seguridad, configure las comprobaciones de seguridad.

    • Para habilitar o inhabilitar una acción para una verificación, en la lista, active o desactive la casilla de verificación de esa acción.

    • Para configurar otros parámetros para las comprobaciones que los tienen, en la lista, haga clic en el comillas angulares azules situado en el extremo derecho de esa comprobación. En el cuadro de diálogo que aparece, configure los parámetros. Estos varían de un cheque a otro.

      También puede seleccionar una verificación y, en la parte inferior del cuadro de diálogo, hacer clic en Abrir para mostrar el cuadro de diálogo Configurar relajación o el cuadro de diálogo Configurar regla para esa verificación. Estos cuadros de diálogo también varían de una comprobación a otra. La mayoría de ellas incluyen una pestaña Verificaciones y una pestaña General. Si la verificación admite relajaciones o reglas definidas por el usuario, la pestaña Comprobaciones incluye un botón Agregar, que abre otro cuadro de diálogo en el que puede especificar una relajación o una regla para la verificación. (Una relajación es una regla para eximir del control al tráfico específico). Si las relajaciones ya se han configurado, puede seleccionar una y hacer clic en Abrir para modificarla.

    • Para revisar las excepciones o reglas aprendidas para una verificación, seleccione la verificación y, a continuación, haga clic en Infracciones aprendidas. En el cuadro de diálogo Administrar reglas aprendidas, seleccione sucesivamente cada excepción o regla aprendida.

      • Para modificar la excepción o regla y, a continuación, agregarla a la lista, haga clic en Modificar e implementar.
      • Para aceptar la excepción o la regla sin modificarla, haga clic en Implementar.
      • Para eliminar la excepción o la regla de la lista, haga clic en Omitir.
    • Para actualizar la lista de excepciones o reglas que se van a revisar, haga clic en Actualizar.

    • abra el visualizador de aprendizaje y utilícelo para revisar las reglas aprendidas, haga clic en Visualizador.

    • revise las entradas del registro para ver las conexiones que coincidan con una comprobación, seleccione la comprobación y, a continuación, haga clic en Registros. Puede usar esta información para determinar qué comprobaciones coinciden con los ataques, de modo que pueda habilitar el bloqueo de esas comprobaciones. También puede utilizar esta información para determinar qué comprobaciones coinciden con el tráfico legítimo, de modo que pueda configurar una exención adecuada para permitir esas conexiones legítimas. Para obtener más información sobre los registros, consulte Registros, estadísticas e informes.

    • Para inhabilitar completamente una comprobación, en la lista, desactive todas las casillas de verificación situadas a la derecha de esa comprobación.

  4. En la ficha Configuración, configure los ajustes del perfil.
    • Para asociar el perfil al conjunto de firmas que creó y configuró anteriormente, en Configuración común, elija ese conjunto de firmas en la lista desplegable Firmas.

      Nota:

      Es posible que deba utilizar la barra de desplazamiento a la derecha del cuadro de diálogo para desplazarse hacia abajo y mostrar la sección Configuración común.

    • Para configurar un objeto de error HTML o XML, seleccione el objeto en la lista desplegable apropiada.

      Nota:

      Primero debe cargar el objeto de error que quiere utilizar en el panel Importaciones. Para obtener más información sobre la importación de objetos de error, consulte Importaciones.

    • Para configurar el tipo de contenido XML predeterminado, escriba la cadena de tipo de contenido directamente en los cuadros de texto Solicitud predeterminada y Respuesta predeterminada o haga clic en Administrar tipos de contenido permitidos para administrar la lista de tipos de contenido permitidos. »Más….
  5. Si quiere utilizar la función de aprendizaje, haga clic en Aprendizaje y configure los ajustes de aprendizaje del perfil, tal y como se describe en Configuración y uso de la función de aprendizaje.
  6. Haga clic en Aceptar para guardar los cambios y volver al panel Perfiles.
Configuración de perfiles de Web App Firewall