ADC

Creación de perfiles de Web App Firewall

Puede crear un perfil de Web App Firewall de dos formas: mediante la línea de comandos y mediante la interfaz gráfica de usuario. Para crear un perfil mediante la línea de comandos, es necesario especificar opciones en la línea de comandos. El proceso es similar al de configurar un perfily, salvo algunas excepciones, los dos comandos toman los mismos parámetros.

La creación de un perfil mediante la interfaz gráfica de usuario requiere que especifique solo dos opciones. Especifica los valores predeterminadosbásicos o avanzados, la configuración predeterminada de las distintas comprobaciones y configuraciones de seguridad que forman parte de un perfil, y elige el tipo de perfil para que coincida con el tipo de contenido que el perfil pretende proteger. También puede, opcionalmente, agregar un comentario. Después de crear el perfil, debe configurarlo seleccionándolo en el panel de datos y, a continuación, haciendo clic en Modificar.

Si piensa utilizar la función de aprendizaje o habilitar y configurar muchas protecciones avanzadas, debe elegir los valores predeterminados avanzados. En particular, si va a configurar cualquiera de las comprobaciones de inyección SQL, las comprobaciones de scripts entre sitios, cualquier comprobación que ofrezca protección contra ataques de formularios web o la comprobación de coherencia de cookie, debe planear utilizar la función de aprendizaje. A menos que incluya las excepciones adecuadas para sus sitios web protegidos al configurar estas comprobaciones, pueden bloquear el tráfico legítimo. Anticipar todas las excepciones sin crear ninguna demasiado amplia es difícil. La función de aprendizaje facilita mucho esta tarea. De lo contrario, los valores predeterminados básicos son rápidos y deben proporcionar la protección que necesitan sus aplicaciones web.

Existen tres tipos de perfiles:

  • HTML. Protege los sitios web estándar basados en HTML.
  • XML. Protege los servicios web y los sitios web basados en XML.
  • Web 2.0 (HTML XML). Protege sitios web que contienen elementos HTML y XML, como feeds ATOM, blogs y fuentes RSS.

También hay algunas restricciones sobre el nombre que puede dar a un perfil. El nombre de un perfil no puede ser el mismo que el nombre asignado a cualquier otro perfil o acción de ninguna función del dispositivo NetScaler. Ciertos nombres de acción o perfil se asignan a acciones o perfiles integrados y nunca se pueden usar para perfiles de usuario. Encontrará una lista completa de nombres no permitidos en la información complementariadel perfil de Web App Firewall. Si intenta crear un perfil con un nombre que ya se ha utilizado para una acción o un perfil, se muestra un mensaje de error y no se crea el perfil.

Para crear un perfil de Web App Firewall mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba los comandos siguientes:

  • add appfw profile <name> [-defaults ( **basic** | **advanced** )]
  • set appfw profile <name> -type ( **HTML** | **XML** | **HTML XML** )
  • set appfw profile <name> -comment "<comment>"
  • save ns config

Ejemplo

En el ejemplo siguiente se agrega un perfil denominado pr-basic, con valores predeterminados básicos, y se asigna un tipo de perfil HTML. Esta es la configuración inicial adecuada para que un perfil proteja un sitio web HTML.

add appfw profile pr-basic -defaults basic -comment "Simple profile for websites."
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->

Para crear un perfil de Web App Firewall mediante la interfaz gráfica de usuario

Complete el procedimiento siguiente para crear un perfil de Web App Firewall:

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Crear perfil de Web App Firewall, defina los siguientes parámetros básicos:

    1. Nombre
    2. Tipo de perfil
    3. Comentarios
    4. Valores predeterminados
    5. Descripción
  4. Haga clic en Aceptar.
  5. En la sección Configuración avanzada, complete las siguientes configuraciones:

    1. Controles de seguridad
    2. Configuración de perfil
    3. Creación de perfiles dinámicos
    4. Reglas de relajación
    5. Reglas de denegación
    6. Regla aprendida
    7. Registro extendido
  6. En la sección Comprobaciones de seguridad, seleccione una protección de seguridad y haga clic en Configuración de acciones.
  7. En la página de comprobación de seguridad, defina los parámetros.

    Nota: La configuración de regla activa solo está disponible para la comprobación de inyección HTML SQL para permitir > o denegar reglas de firma.

  8. Haga clic en Aceptar y Cerrar.

  9. En la sección Configuración de perfil, defina los parámetros del perfil. Para obtener más información, consulte el tema Configurar la configuración del perfil de Web App Firewall.
  10. En la sección Creación de perfiles dinámicos, seleccione una comprobación de seguridad para agregar la configuración del perfil dinámico. Para obtener más información, consulte el tema Perfil dinámico.
  11. En la sección Reglas de relajación, haga clic en Modificar para agregar una regla de relajación para una comprobación de seguridad. Para obtener más información, consulte Regla de relajación para obtener más información.
  12. En la sección Reglas de denegación, agregue una regla de denegación para la comprobación de inyección SQL HTML. Para obtener más información, consulte el tema Reglas de denegación de HTML.
  13. En la sección Regla aprendiz, defina la configuración de aprendizaje. Para obtener más información, consulte el tema Aprendizaje de Web App Firewall.
  14. En la sección Registro ampliado, haga clic en Agregar para enmascarar datos confidenciales. Para obtener más información, consulte el tema Registro ampliado.
  15. Haga clic en Listo y, a continuación, en Cerrar.
Creación de perfiles de Web App Firewall