Citrix ADC

Configuración de perfiles de Web App Firewall

Para configurar un perfil de Web App Firewall definidas por el usuario, configure primero las comprobaciones de seguridad, que se denominan protecciones profundas o protecciones avanzadas en el Asistente para Web App Firewall. Ciertas comprobaciones requieren configuración si va a utilizarlas en absoluto. Otros tienen configuraciones predeterminadas que son seguras pero de alcance limitado; es posible que sus sitios web necesiten o se beneficien de una configuración diferente que aproveche más funciones de ciertas comprobaciones de seguridad.

Después de configurar las comprobaciones de seguridad, también puede configurar otras opciones que controlan el comportamiento, no de una sola comprobación de seguridad, sino de la función Web App Firewall. La configuración predeterminada es suficiente para proteger la mayoría de los sitios web, pero debe revisarlos para asegurarse de que son adecuados para sus sitios web protegidos.

Nota:

La longitud del nombre de perfil y toda la longitud del nombre de objeto de importación se pueden configurar hasta 127 caracteres.

Para obtener más información sobre las comprobaciones de seguridad de Web App Firewall, consulte Protecciones avanzadas.

Para configurar un perfil de Web App Firewall mediante la línea de comandos

En el símbolo del sistema, escriba los siguientes comandos:

  • set appfw profile <name> <arg1> [<arg2> ...]

    donde:

    • <arg1> = un parámetro y cualquier opción asociada.
    • <arg2> = un segundo parámetro y cualquier opción asociada.
    • … = parámetros y opciones adicionales.

    Para obtener descripciones de los parámetros que se deben utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas.

  • save ns config

Ejemplo

En el ejemplo siguiente se muestra cómo habilitar el bloqueo para las comprobaciones de HTML SQL Injection y HTML Cross-Site Scripting en un perfil denominado pr-basic. Este comando permite el bloqueo de esas acciones sin realizar otros cambios en el perfil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

Enlazar regla de relajación a un perfil de Web App Firewall

Cuando Web App Firewall detecta una infracción, el usuario tiene la capacidad de omitir la acción aplicada a través de reglas de relajación. La regla de relajación es una excepción aplicada a la infracción de seguridad detectada. Por ejemplo, las reglas de relajación de URL de inicio protegen contra la navegación forzosa. Las vulnerabilidades conocidas del servidor web que explotan los hackers pueden detectarse y bloquearse habilitando un conjunto de reglas predeterminadas Denegar URL. Los ataques lanzados comúnmente, como desbordamiento de búfer, SQL o scripts entre sitios también se pueden detectar fácilmente.

Para vincular las reglas de exención de seguridad o relajación mediante la CLI

En el símbolo del sistema, escriba:

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

Para vincular las reglas de exención de seguridad o relajación mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione un perfil y haga clic en Modificar.
  3. En la página Perfil de Citrix Web App Firewall, haga clic en Reglas de relajación en la sección Configuración avanzada.
  4. En la sección Reglas de relajación, haga clic en StarTurl y haga clic en Modificar.
  5. En la página Iniciar reglas de relajación de URL, haga clic en Agregar.
  6. En la página Iniciar regla de relajación de URL, establezca los siguientes parámetros:

    1. Habilitada. Seleccione la casilla de verificación para habilitar la regla de relajación
    2. Dirección URL de inicio. Introduzca el valor de expresión regular
    3. Comentarios. Proporcione una breve descripción sobre la regla de relajación.
  7. Haga clic en Crear y cerrar.

Regla de relajación de unión

Para configurar un perfil de Web App Firewall mediante la interfaz gráfica de usuario

  1. Vaya a Seguridad > Citrix Web App Firewall > Perfiles.
  2. En el panel de detalles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.
  3. En el cuadro de diálogo Configurar perfil de Web App Firewall, en la ficha Comprobaciones de seguridad, configure las comprobaciones de seguridad.

    • Para habilitar o inhabilitar una acción de una comprobación, en la lista, active o desactive la casilla de verificación de esa acción.

    • Para configurar otros parámetros para las comprobaciones que los tienen, en la lista, haga clic en el botón de contenido adicional azul situado en el extremo derecho de esa comprobación. En el cuadro de diálogo que aparece, configure los parámetros. Estos varían de un cheque a otro.

      También puede seleccionar una verificación y, en la parte inferior del cuadro de diálogo, hacer clic en Abrir para mostrar el cuadro de diálogo Configurar relajacióno Configurar reglapara esa comprobación. Estos cuadros de diálogo también varían de una comprobación a otra. La mayoría de ellos incluyen una fichaComprobacionesy una fichaGeneral. Si la comprobación admite relajantes o reglas definidas por el usuario, la fichaComprobacionesincluye un botónAgregar, que abre otro cuadro de diálogo, en el que puede especificar una relajación o una regla para la comprobación. (Una relajación es una regla para eximir el tráfico especificado del cheque.) Si ya se han configurado las relajantes, puede seleccionar una y hacer clic enAbrir para modificarla.

    • Para revisar las excepciones o reglas aprendidas para una comprobación, selecciónela y, a continuación, haga clic en Violaciones aprendidas. En el cuadro de diálogo Administrar reglas aprendidas, seleccione cada excepción o regla aprendida a su vez.

      • Para modificar la excepción o regla y, a continuación, agregarla a la lista, haga clic en Modificar e implementar.
      • Para aceptar la excepción o regla sin modificaciones, haga clic en Implementar.
      • Para quitar la excepción o regla de la lista, haga clic en Omitir.
    • Para actualizar la lista de excepciones o reglas que se van a revisar, haga clic en Actualizar.

    • abra el Visualizador de aprendizaje y utilícelo para revisar las reglas aprendidas, haga clic en Visualizador.

    • revise las entradas de registro para las conexiones que coincidan con una comprobación, selecciónela y, a continuación, haga clic en Registros. Puede utilizar esta información para determinar qué comprobaciones son ataques coincidentes, de modo que pueda habilitar el bloqueo para dichas comprobaciones. También puede utilizar esta información para determinar qué comprobaciones coinciden con el tráfico legítimo, de modo que pueda configurar una exención adecuada para permitir esas conexiones legítimas. Para obtener más información sobre los registros, consulte Registros, estadísticas e informes.

    • Para inhabilitar completamente una comprobación, en la lista, desactive todas las casillas de verificación situadas a la derecha de esa comprobación.

  4. En la ficha Configuración, configure la configuración del perfil.
    • Para asociar el perfil con el conjunto de firmas que creó y configuró anteriormente, en Configuración común, elija ese conjunto de firmas en la lista desplegable Firmas.

      Nota:

      Debe utilizar la barra de desplazamiento situada a la derecha del cuadro de diálogo para desplazarse hacia abajo y mostrar la sección Configuración común.

    • Para configurar un objeto de error HTML o XML, seleccione el objeto en la lista desplegable correspondiente.

      Nota:

      Primero debe cargar el objeto de error que quiere utilizar en el panel Importaciones. Para obtener más información sobre la importación de objetos de error, consulte Importaciones.

    • Para configurar el tipo de contenido XML predeterminado, escriba la cadena de tipo de contenido directamente en los cuadros de texto Solicitud predeterminada y Respuesta predeterminada o haga clic en Administrar tipos de contenido permitidos para administrar la lista de tipos de contenido permitidos. »Más….
  5. Si desea utilizar la función de aprendizaje, haga clic en Aprendizaje y configure los ajustes de aprendizaje del perfil, tal y como se describe en Configuración y uso de la función de aprendizaje.
  6. Haga clic en Aceptar para guardar los cambios y volver al panel Perfiles.
Configuración de perfiles de Web App Firewall