Citrix ADC

Configuración del perfil de Firewall de aplicaciones web

A continuación se indican los ajustes de perfil que debe configurar en el dispositivo.

En el símbolo del sistema, escriba:

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>] [-logEveryPolicyHit ( ON | OFF )] [-stripHtmlComments <stripHtmlComments>] [-stripXmlComments ( none | all )] [-postBodyLimitSignature <positive_integer>][-fileUploadMaxNum <positive_integer>][-canonicalizeHTMLResponse ( ON | OFF )][-percentDecodeRecursively ( ON | OFF )] [-multipleHeaderAction <multipleHeaderAction> ...][-inspectContentTypes <inspectContentTypes> ...][-semicolonFieldSeparator ( ON | OFF )]

Ejemplo:

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Donde:

Lamanipulación porcentual no es válida. Configure el método de gestión de nombres y valores codificados por porcentaje.

Los ajustes disponibles funcionan de la siguiente manera:

asp_mode - Elimina y analiza el porcentaje no válido para el análisis. Ejemplo፦ curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se despoja y se inspecciona el resto del contenido y se toman medidas para la comprobación de SQLInjection. secure_mode - Detectamos el valor codificado por porcentaje no válido y lo ignoramos. Ejemplo፦ curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) se detecta, los contadores se incrementan y el contenido se pasa tal cual al servidor. apache_mode - Este modo funciona de forma similar al modo seguro. Valores posibles: apache_mode, asp_mode, secure_mode Valor por defecto: secure_mode

Optimizar las solicitudes parciales. Cuando está DESACTIVADO/ENCENDIDO (sin objeto seguro), un dispositivo Citrix ADC envía la solicitud parcial al servidor back-end. Esta respuesta parcial se devuelve al cliente. OptimizePartialReqs tiene sentido cuando se configura el objeto Safe. El dispositivo envía solicitudes de respuesta completa desde el servidor cuando está DESACTIVADO y solo solicita una respuesta parcial cuando está activado.

Los ajustes disponibles son los siguientes:

ON : Las solicitudes parciales del cliente dan como resultado solicitudes parciales al servidor back-end. DESACTIVADO: las solicitudes parciales del cliente se cambian a solicitudes completas al servidor back-end Valores posibles: ON, OFF Valor predeterminado: ON

Cookies de solicitud de decodificación de URL. URL Decode solicita cookies antes de someterlas a comprobaciones de scripts SQL y entre sitios.

Valores posibles: ON, OFF Valor por defecto: OFF

Límite del cuerpo de la publicación de firma (bytes). Limita la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas con la ubicación especificada como ‘HTTP_POST_BODY’.

Valor por defecto: 8096 Valor mínimo: 0 Valor máximo: 4294967295

Límite del cuerpo de la publicación (bytes). Limita la carga útil de la solicitud (en bytes) inspeccionada por Web Application Firewall.

Valor predeterminado: 20000000 Valor mínimo: 0 Valor máximo: 10 GB

Para obtener más información sobre la configuración Seguridad y su procedimiento de GUI, consulte el tema Configurar perfil de Web App Firewall .

PostbodyLimitAction. PostBodyLimit respeta la configuración de error cuando especifica el tamaño máximo del cuerpo HTTP que se va a permitir. Para respetar la configuración de errores, debe configurar una o más acciones de límite de cuerpo de la publicación. La configuración también se aplica a las solicitudes en las que el encabezado de codificación de transferencia está fragmentado.

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Dónde, Bloquear: Esta acción bloquea la conexión que infringe la comprobación de seguridad y se basa en el tamaño máximo del cuerpo HTTP configurado (límite de cuerpo de publicación). Debe activar siempre la opción.

Registro: Registrar infracciones de esta comprobación de seguridad.

Estadísticas: genera estadísticas para esta comprobación de seguridad.

Nota:

El formato de registro de la acción de límite del cuerpo de la publicación se ha cambiado para que siga el formato de registro de auditoría estándar, por ejemplo: ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.

InspectQueryContentTypes Inspeccione la consulta de solicitud y los formularios web de SQL inyectados y scripts entre sitios para los siguientes tipos de contenido.

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

Valores posibles: HTML, XML, JSON, OTHER

De forma predeterminada, este parámetro se establece como “inspectQueryContentTypes: HTML JSON OTHER” para perfiles appfw básicos y avanzados.

Ejemplo de tipo de contenido de consulta de inspección como XML:

> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.
<!--NeedCopy-->

Ejemplo de tipo de contenido de consulta de inspección como HTML:

> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done
<!--NeedCopy-->

Ejemplo de tipo de contenido de consulta de inspección como JSON:

> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done
<!--NeedCopy-->

Expresión errorURL. Dirección URL que Citrix Web App Firewall utiliza como URL de error. Longitud máxima: 2047.

Nota:

Para bloquear infracciones en una URL solicitada, si la URL de error es similar a la URL de firma, el dispositivo restablece la conexión.

LogEveryPolicyHit : registra todas las coincidencias de perfil, independientemente de los resultados de las comprobaciones de seguridad. Valores posibles: ON, OFF. Valor predeterminado: OFF.

stripXMLComments - Elimina los comentarios XML antes de reenviar una página web enviada por un sitio web protegido en respuesta a una solicitud del usuario. Valores posibles: none, all, exclude_script_tag. Valor predeterminado: none

PostBodyLimitSignature - Tamaño máximo permitido del cuerpo de la publicación HTTP para la inspección de firmas para la ubicación HTTP_POST_BODY en las firmas, en bytes. Los cambios en el valor pueden afectar a la CPU y al perfil de latencia. Valor por defecto: 2048. Valor mínimo: 0 Valor máximo: 4294967295

FileUploadMaxNum : número máximo permitido de cargas de archivos por solicitud de envío de formularios. La configuración máxima (65535) permite un número ilimitado de cargas. Valor por defecto: 65535 Valor mínimo: 0 Valor máximo: 65535

CanonicalizeHTMLResponse - Realiza la codificación de entidad HTML para cualquier carácter especial en las respuestas enviadas por tus sitios web protegidos. Valores posibles: ON, OFF Valor por defecto: ON

PercentDecodeRecursively : configure si el firewall de la aplicación debe utilizar decodificación recursiva porcentual. Valores posibles: ON, OFF Valor por defecto: ON

multipleHeaderAction : una o varias acciones de encabezado. Los ajustes disponibles funcionan de la siguiente manera:

  • Bloquear. Bloquea las conexiones que tienen varios encabezados.
  • Registro. Registra las conexiones que tienen varios encabezados.
  • KeepLast. Mantenga solo el último encabezado cuando haya varios encabezados presentes.

InspectContentTypes : una o varias listas de InspectContentType.

  • aplicación/x-www-form-urlencoded
  • multipart/form-data
  • text/x-gwt-rpc

Valores posibles: ninguno, application/x-www-form-urlencoded, multipart/form-data, text/x-gwt-rpc

SemiColonFieldSeparator : permite ‘;’ como separador de campos de formulario en consultas URL y cuerpos de formulario POST. Valores posibles: ON, OFF Valor por defecto: OFF

Configuración del perfil de Firewall de aplicaciones web