Citrix ADC

Définition de l’action par défaut pour une stratégie de répondeur

L’appliance Citrix ADC génère un événement non défini (événement UNDEF) lorsqu’une demande ne correspond pas à une stratégie de répondeur. L’appliance exécute ensuite l’action par défaut affectée aux événements non définis. Par défaut, l’action transmet la requête à la fonction suivante, telle que l’équilibrage de charge, le filtrage de contenu, etc. Ce comportement par défaut garantit que les requêtes ne nécessitent aucune action spécifique du répondeur à envoyer à vos serveurs Web. En outre, les clients ont accès au contenu qu’ils ont demandé.

Si un ou plusieurs sites Web protégés par votre appliance Citrix ADC reçoivent un nombre important de demandes non valides ou malveillantes, vous pouvez modifier l’action par défaut pour réinitialiser la connexion client ou supprimer la demande. Dans ce type de configuration, vous devez écrire une ou plusieurs stratégies de répondeur qui correspondraient à toutes les demandes légitimes, et simplement rediriger ces demandes vers leurs destinations d’origine. Votre appliance Citrix ADC bloque ensuite toutes les autres demandes, comme spécifié par l’action par défaut que vous avez configurée.

Vous pouvez affecter l’une des actions suivantes à un événement non défini :

  • NOOP. L’action NOOP interrompt le traitement du répondeur mais ne modifie pas le flux de paquets. Pour que l’appliance continue de traiter les demandes qui ne correspondent à aucune stratégie de répondeur et les transfère finalement à l’URL demandée, sauf si une autre fonctionnalité intervient et bloque ou redirige la demande. Cette action est appropriée pour les demandes normales adressées à vos serveurs Web et est le paramètre par défaut.
  • RESET. Si l’action non définie est définie sur RESET, l’appliance réinitialise la connexion client, informant le client qu’elle doit rétablir sa session avec le serveur Web. Cette action est appropriée pour les demandes répétées de pages Web qui n’existent pas, ou pour les connexions qui pourraient être des tentatives de pirater ou de sonder vos sites Web protégés.
  • DROP. Si l’action non définie est définie sur DROP, l’appliance abandonne silencieusement la demande sans répondre au client de quelque manière que ce soit. Cette action est appropriée pour les demandes qui semblent faire partie d’une attaque DDoS ou d’une autre attaque soutenue sur vos serveurs.

Note : Les événements UNDEF ne sont déclenchés que pour les demandes des clients. Aucun événement UNDEF n’est déclenché pour les réponses.

Pour définir l’action non définie à l’aide de la ligne de commande Citrix ADC :

À l’invite de commandes, tapez la commande suivante pour définir l’action non définie et vérifier la configuration :

  • set responder param -undefAction (RESET|DROP|NOOP) [-timeout <msecs>]
  • show responder param

Où,

timeout - Durée maximale en millisecondes pour permettre le traitement de toutes les stratégies et de leurs actions sélectionnées sans interruption. Si le délai d’attente est atteint, l’évaluation entraîne l’élévation d’un UNDEF et aucun traitement supplémentaire n’est effectué.

Valeur minimale : 1

Valeur maximale : 5000

Exemple :

>set responder param -undefAction RESET -timeout 3900
 Done
> show responder param
Action Name: RESET
Timeout: 3900
 Done
>

Définir l’action indéfinie à l’aide de l’interface graphique

  1. Accédez à AppExpert > Répondeur, puis sous Paramètres, cliquez sur le lien Modifier les paramètres du répondeur .
  2. Dans la page Définir les paramètres du répondeur, définissez les paramètres suivants :

    1. Action globale à résultat indéfini. Une action de résultat non défini est préférée dans une exception de traitement non gérée dans les stratégies et actions du répondeur. Sélectionnez NOOP, RESETou DROP.
    2. Délai d’expiration. Durée maximale en millisecondes pour permettre le traitement de toutes les stratégies et de leurs actions sélectionnées sans interruption. Si le délai d’attente est atteint, l’évaluation entraîne l’élévation d’un UNDEF et aucun traitement supplémentaire n’est effectué.
  3. Cliquez sur OK.

Procédure d'interface graphique pour définir une action indéfinie pour la stratégie de répondeur.

Définition de l’action par défaut pour une stratégie de répondeur