Documentación de productos
Protección de API y aplicaciones web de Citrix
Ver PDF

Configuración de directivas

June 20, 2022
Contribución de: 
C

Antes de configurar las directivas de Web Application Firewall (WAF), primero debe crear una directiva de WAF.

Crear una directiva de WAF

  1. En el panel de navegación de la izquierda, haga clic en Configuración.
  2. Seleccione Directivas en la lista de funciones disponibles.
  3. Haga clic en el botón Crear directiva.
  4. Proporcione un nombre de directiva y, a continuación, asegúrese de seleccionar un perfil de WAF.
  5. Seleccione la marca de verificación para aplicar el perfil de WAF a la directiva.
    1. De manera opcional, puede habilitar el uso del separador de campos de punto y coma en consultas URL y cuerpos de formulario de publicación, que simplemente indican que un punto y coma (;) es la separación de varios campos.
  6. La sección de contramedidas proporciona una lista de tipos y métodos de protección comunes para que los usuarios seleccionen. Amplíe cada medida de técnicas de protección de bots para configurar los valores requeridos. Cada medida de técnicas de protección de bots se puede establecer en uno de los siguientes estados.
    1. Bypass/None: no se realizará ninguna acción.
    2. Bloquear: una vez que se haya alcanzado el límite del umbral, se bloqueará el tráfico infractor.
    3. Registro: una o más solicitudes o infracciones no se bloquearán, pero los detalles se registrarán para su revisión.
    4. Bloquear y registrar: se bloquean una o más solicitudes y se almacenan los detalles.
  7. Ciertas contramedidas ofrecen reglas de aprendizaje y relajación.
    1. Reglas de relajación: Puede introducir manualmente los valores que permiten que el tráfico coincida con los criterios. Si el aprendizaje estaba habilitado, puede hacer clic en + (signo más) en una entrada para aplicarla directamente a las Reglas de relajación.
    2. Aprendizaje: El aprendizaje debe estar habilitado para cada medida de técnicas de protección de bots antes de que puedan comenzar a capturarse los datos. Cuando el tráfico se esté supervisando activamente, se devolverá una lista de reglas bloqueadas que puede revisar para verificar su precisión.
  8. Para configurar las Reglas de relajación, haga clic en Agregar y, a continuación, complete los campos que aparecen en la ventana emergente.
  9. Haga clic en Confirmar
    1. Name: Proporcione un nombre para la regla de relajación configurada.
    2. Enabled: Se establece en ON o OFF.
    3. Is Name Regex: Se establece en ON o OFF.
    4. URL: Proporcione la URL que está permitida.
    5. Location: Seleccione en el menú desplegable
      1. Cookie
      2. Form Field,
      3. Header.
  10. Tipo de valor: seleccione en el menú desplegable 1. Palabra clave 1. Cuerda especial, 1. Wildchar.
    1. ¿La expresión regular de expresión de valor está establecida en ON o OFF?
    2. Value Expression: Proporcione la expresión de valor de la regla.
  11. Para habilitar el aprendizaje, seleccione la opción ON/OFF para la configuración deseada.
  12. Haga clic en Guardar.

Configurar directivas de respuesta

La sección Directivas de respuesta proporciona más flexibilidad a los clientes, pero requiere un conocimiento más detallado y profundo de las configuraciones de tráfico para utilizarlas e incorporarlas correctamente. Sin embargo, cuando se utilizan correctamente, las directivas de respuesta pueden inspeccionar cualquiera de los campos (valores) y operandos y, a continuación, ejecutar una acción seleccionada.

  1. En la pantalla Configuración de directivas, seleccione la ficha Directivas de respondedor.
  2. Haga clic en el botón Inicio para agregar una directiva de respuesta.
  3. Proporcione un nombre para la directiva.
  4. Selecciona el tipo de acción en el menú desplegable.
    1. Drop
    2. Registro
    3. Redirigir a
    4. Responda con
  5. El campo Respuesta estará determinado por la Acción que haya seleccionado.
    1. Caída. La respuesta es N/A a medida que se descarta el tráfico.
    2. Registro. La respuesta es N/A, ya que el tráfico se almacena en el archivo de registro.
    3. Redirigir a. Proporcione la URL que se va a redirigir. La URL debe empezar con una barra invertida (/).
    4. Responda con. Proporcione el texto que se mostrará en la respuesta.
  6. Seleccione la flecha situada junto a la sección Coincidencias para configurar las especificaciones exactas de su directiva. Rellene los siguientes campos
    1. Campo. Seleccione el tipo de campo de la lista desplegable de opciones.
    2. Operando. Seleccione el tipo de operando para el campo en el menú desplegable.
    3. Valor. Proporcione el valor asociado a la combinación de campo y operando.
    4. Para seleccionar más criterios de coincidencia, haga clic en el icono de signo más.
  7. Para agregar más directivas de respuesta, haga clic en el icono de signo más. Si lo hace, aumenta el número de directivas de respuesta en la parte superior izquierda de cada directiva configurada. Además, si está utilizando varias reglas, todas las reglas deben aprobarse/coincidir antes de que se pueda realizar la acción asociada.
  8. Haga clic en Guardar.

Controles de red

La sección Controles de red de la Directiva permite el bloqueo geográfico (GEO) del tráfico por tipo de país. Sin embargo, si desea bloquear todo un país, pero permitir el paso de una dirección IP específica, puede configurar los controles de red para hacerlo. Haga clic en el botón Agregar para indicar si se debe bloquear o permitir una dirección IP/CIDR. Haga clic en el botón Confirmar cuando haya terminado.

La sección Controles de red de la Directiva permite el bloqueo geográfico (GEO) del tráfico por tipo de país. Sin embargo, si desea bloquear un país pero permitir el paso de una dirección IP específica, puede configurar los controles de red para hacerlo.

  1. En la pantalla Configuración de directivas, seleccione la ficha Controles de red.
  2. Haga clic en el botón Agregar para configurar una dirección IP que desee bloquear o permitir el paso
  3. Proporcione una dirección IP y, a continuación, seleccione No bloqueado (permitir el paso de la dirección IP) o Bloqueado (evitar todo el tráfico de la dirección IP). Haga clic en el botón Confirmar cuando termine
  4. Para seleccionar un país entero desde el que bloquear el tráfico, haga clic en el menú desplegable Países bloqueados. Selecciona todos los países de los que quieres bloquear el tráfico. Haga clic en salir del menú desplegable cuando haya terminado de hacer sus selecciones
  5. Para permitir incluir una dirección IP de un país bloqueado, primero seleccione el país que quiere bloquear y, a continuación, agregue la dirección IP de ese país para permitir el acceso y seleccione la opción No bloqueado. La acción de lista de permitidos ocurre antes de que se aplique una acción de bloqueo.
  6. Haga clic en Guardar.

Límite de alertas

La sección Umbrales de alerta le permite configurar un valor de umbral que, una vez alcanzado, enviará alertas para las violaciones que se producen para una regla configurada. Para configurar un umbral de alerta, haga clic en el botón Agregar. Seleccione Dimensión en el menú desplegable y, a continuación, configure los campos correspondientes.

Para mayor claridad, las alertas no se enviarán hasta que se supere el recuento de ocurrencias dentro del plazo especificado. Por ejemplo, si la tasa de ocurrencia era de 3 y el plazo era de 60 segundos, las alertas no se enviarían hasta que se produjera una cuarta infracción dentro del plazo de 60 segundos.

Aparece una ventana de ayuda emergente con una explicación de la dimensión seleccionada en el menú desplegable.

La sección Umbral de alertas le permite definir un umbral que debe alcanzarse antes de que se envíen alertas por infracciones que sean relevantes para las reglas configuradas. Los umbrales de alerta se establecen según la dimensión, una CLAVE y un recuento o cantidad designados. Las alertas de umbral se pueden sincronizar con SLACK, con un enlace que se proporciona directamente a la página de alertas del Portal y se envían en formato de correo electrónico. Las notificaciones de alertas también se mostrarán en el portal de la interfaz de usuario bajo el icono de campana (notificaciones). Es importante tener en cuenta que los umbrales de alerta también se establecen en la sección Perfil de WAF, por medida de técnicas de protección de bot.

  1. En la pantalla Configuración de directivas, seleccione la ficha Umbrales de alertas.
  2. Haga clic en Agregar.

  3. Seleccione la dimensión en la lista de opciones del menú desplegable. Cada selección de dimensión proporciona una breve explicación en la parte superior de la ventana emergente.

    1. El tipo de dimensión que seleccione determina más campos.
  4. Rellene cualquier campo adicional que aparezca en función del tipo de dimensión seleccionado.
  5. Selecciona el número de ocurrencias. Esto determina el límite de umbral que debe alcanzarse para que se produzca una infracción y que se envíe una notificación.
  6. El período de tiempo predeterminado se mantiene en 60 segundos.
  7. Haga clic en el botón Confirmar cuando haya terminado de personalizar el umbral de seguridad de la aplicación.
  8. Haga clic en el botón Guardar cuando haya terminado de agregar los umbrales de alerta

Fuentes fiables

La sección Fuentes de confianza ayuda a configurar una lista de IP que se pueden usar de manera fiable para aprender datos de tráfico y generar recomendaciones para relajarse. Si las fuentes de confianza no están configuradas, el tráfico de todas las fuentes se utilizará para el aprendizaje y no se proporcionarán recomendaciones adecuadas para la relajación.

  1. Haga clic en Agregar para configurar una nueva fuente de confianza. Seleccione si la fuente de confianza va a estar habilitada o no y, a continuación, proporcione la dirección IP/CIDR. El campo Descripción es un campo opcional que se puede rellenar con texto libre.
  2. Haga clic en Confirmar cuando haya terminado.
  3. Haga clic en Guardar.

Activos

La ficha Activos muestra todos los activos a los que está asignada actualmente esta directiva. Si hay algún activo asociado, puede eliminarlo, lo que provocará que cada activo se someta a un proceso de aprovisionamiento en el que las reglas y configuraciones podrían inhabilitarse temporalmente.

Si no hay activos asociados a su directiva, el menú desplegable Activos asociados muestra “0 seleccionados”. Seleccione un activo para asociarlo a su directiva.

Para quitar un activo asociado, coloque el cursor sobre el menú desplegable y haga clic en el botón Menos junto al activo que quiere eliminar, o haga clic en el menú desplegable y haga clic en un activo resaltado para eliminarlo.

medidas de técnicas de protección contra bots

La sección de contramedidas proporciona una lista de tipos y métodos de protección comunes para que los usuarios seleccionen.

  1. Amplíe cada medida de técnicas de protección de bots para configurar los valores requeridos. Cada medida de técnicas de protección de bots se puede establecer en uno de los siguientes estados.

    1. Bypass/None: no se realiza ninguna acción.
    2. Bloquear: una vez que se alcanza el límite del umbral, se bloquea el tráfico infractor.
    3. Registro: una o más solicitudes o infracciones no se bloquean, pero los detalles se registran para su revisión.
    4. Bloquear y registrar: se bloquean una o más solicitudes y se registran los detalles.

  2. Ciertas contramedidas ofrecen reglas de aprendizaje y relajación.

    1. Reglas de relajación: Puede introducir manualmente los valores que permiten que el tráfico coincida con los criterios. Si el aprendizaje estaba habilitado, puede hacer clic en el icono + (más) junto a una entrada para aplicarla directamente a las Reglas de relajación.
    2. Aprendizaje: El aprendizaje debe estar habilitado para cada medida de técnicas de protección de bots antes de que puedan comenzar a capturarse los datos. Cuando el tráfico se esté supervisando activamente, se devolverá una lista de reglas bloqueadas que puede revisar para verificar su precisión.
  3. Para configurar las Reglas de relajación, haga clic en el botón Agregar y, a continuación, complete los campos que aparecen en la ventana emergente. Haga clic en Confirmar cuando haya terminado
    1. Name: Proporcione un nombre para la regla de relajación configurada.
    2. Enabled: Se establece en ON o OFF.
    3. Is Name Regex: Se establece en ON o OFF.
    4. URL: proporcione la URL que está permitida.
    5. Location: Seleccione en el menú desplegable
      1. Cookie
      2. Form Field,
      3. Header.
    6. Tipo de valor: seleccione en el menú desplegable
      1. Palabra clave
      2. Cuerda especial,
      3. Wildchar.
    7. Es expresión regular de expresión de valor: se establece en ON o OFF
    8. Value Expression: Proporcione la expresión de valor de la regla.
  4. Para habilitar el aprendizaje, seleccione la opción OFF/ON para la configuración deseada.
  5. Haga clic en Guardar.

Firmas

La sección Firmas le permite designar reglas configurables y específicas para simplificar la tarea de proteger sus sitios web contra ataques conocidos. Una firma representa un patrón que es un componente de un ataque conocido en un sistema operativo, servidor web, sitio web, servicio web basado en XML u otro recurso.

Firmas estándar

La sección Firmas estándar muestra un conjunto preconfigurado de palabras clave de expresiones regulares compatibles con Perl (PCRE) y cadenas especiales que se utilizan para proteger contra vulnerabilidades web comunes. Estas firmas configuradas no se pueden modificar porque son nuestras configuraciones predeterminadas.

  1. Seleccione la ficha Firmas y, a continuación, seleccione la opción Firmas estándar.
  2. La sección Firmas configuradas muestra cualquier firma que se haya seleccionado o agregado a la directiva de perfil de WAF que está viendo o creando actualmente.
    1. Para una directiva nueva, esta sección está vacía.
  3. En la sección Conjunto de firmas, verá la lista de firmas preconfiguradas que hemos creado para usted. Puede usar las opciones de flechas o números de página para ver más firmas, o usar la opción Filtro si busca una firma específica.
    1. La opción de filtro busca los criterios en cada campo (ID, categoría, descripción, referencias) y devuelve los resultados correspondientes.
  4. Haga clic en el icono Ver para ver una descripción general simplificada del conjunto de firmas, o haga clic en la sección Agregar para agregar el grupo de firmas a las firmas configuradas.
  5. Haga clic en el botón Guardar una vez que haya agregado las firmas deseadas

Firmas personalizadas

La sección Firmas personalizadas le permite crear firmas personalizadas para protegerse contra ataques y vulnerabilidades.

  1. Selecciona Firmas personalizadas.
  2. Haga clic en Agregar.
  3. Seleccione el tipo de acción de la firma.
    1. Bloquear y registrar
    2. Registro
    3. Nada
  4. Indique el tipo de categoría de la firma.
  5. Proporcionar una descripción de la firma personalizada
  6. Si lo desea, puede configurar las reglas de solicitud o las reglas de respuesta.
    1. Las reglas de solicitud solo inspeccionan la solicitud y las reglas de respuesta solo inspeccionan la respuesta.
  7. Para las Reglas de solicitud, haga clic en el botón Inicio y, a continuación, seleccione el tipo de área en el menú desplegable. Esto determina los campos adicionales que se le pedirá que complete.
    1. Puede hacer clic en el icono más para agregar otra fila o entrada, o en el icono menos para eliminar la fila seleccionada
  8. Para las Reglas de respuesta, haga clic en Inicio y, acontinuación, seleccione el tipo de área en el menú desplegable. Esto determina los campos adicionales que se le pedirá que complete.
    1. Puede hacer clic en el icono de signo más para agregar otra fila o entrada, o en el icono de signo menos para eliminar la fila seleccionada.
  9. Para cancelar la creación de reglas de solicitud o respuesta, haga clic en Permitir X junto a Reglas de respuesta para quitarlas de su firma personalizada.
  10. Haga clic en el botón Confirmar cuando haya terminado de configurar la firma.
  11. Haga clic en el botón Guardar cuando haya terminado de configurar su directiva de perfil de WAF

Asociar el perfil de CWAAP a un activo

Una vez que haya creado su perfil de CWAAP, el siguiente paso es aplicarlo a un activo para que la configuración entre en vigor.

  1. En la sección Configuración del menú de navegación de la izquierda, seleccione Recursos.
  2. Seleccione el icono del lápiz para el recurso al que quiere agregar la directiva. Si aún no tiene un activo creado, consulte nuestras Guías sobre cómo crear un activo.
  3. Seleccione la ficha Directivas.
  4. En el menú desplegable, seleccione el nombre de la directiva recién creada. a. Si no ve el nombre de la directiva en la lista, actualice e inténtelo de nuevo, ya que el período de aprovisionamiento puede tardar unos minutos.
  5. Haga clic en el botón Guardar.

Una vez que su directiva de CWAAP se haya aplicado a una directiva, espere unos minutos para que se produzca el aprovisionamiento.

Modificar una directiva de WAF

Una vez que se haya creado una directiva, puede modificar fácilmente cualquiera de las configuraciones existentes. Sin embargo, los cambios en una directiva que se ha asociado a un activo provocan un período de aprovisionamiento que puede tener un impacto temporal en la configuración del tráfico.

  1. En la sección Configuración del menú de navegación de la izquierda, seleccione Directivas.
  2. Haga clic en el icono del lápiz junto a la directiva que quiere modificar.
  3. Navegue por cada una de las fichas Configuración de directivas para realizar cambios y haga clic en el botón Guardar después de realizar los cambios en cualquiera o en todas las fichas.

Eliminar una directiva de WAF

Si necesita eliminar una directiva de CWAAP de un activo, hay varias formas de hacerlo.

Nota:

  1. En la sección Configuración del menú de navegación de la izquierda, seleccione Directivas.
  2. Haga clic en el icono del lápiz junto a la directiva que quiere eliminar.
  3. Haga clic en Eliminar.

Disociar activos de una directiva de WAF

Desde la Directiva, puede desasociar los activos a los que está asignada la directiva o inhabilitar el perfil de WAF.

  1. En la sección Configuración del menú de navegación de la izquierda, seleccione Directivas.
  2. Haga clic en el icono del lápiz para modificar la directiva.
  3. En la ficha Perfil de WAF, desmarque la casilla situada debajo de la opción “¿Aplicar perfil de WAF a la directiva?” para Ignorar. Esto inhabilita el perfil WAF.

O BIEN:

  1. En la pantalla Configuración de directivas, seleccione la ficha Activos.
  2. Seleccione el icono de signo menos para eliminar el activo seleccionado.
  3. Haga clic en Guardar.

Modificar un activo

En la sección Activos, puede modificar un Activo seleccionado y quitar la directiva.

  1. En la sección Configuración del menú de navegación de la izquierda, seleccione Recursos.
  2. Haga clic en el icono del lápiz junto al recurso que quiere modificar.
  3. Seleccione la ficha Directiva.
  4. Pase el ratón sobre el menú desplegable y haga clic en el icono de signo menos para eliminar la directiva asociada.
  5. Haga clic en Guardar.
Configuración de directivas
June 20, 2022
Contribución de: 
C
June 20, 2022
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Citrix Systems, Inc. All rights reserved.