ADC

Définition de l’action par défaut pour une stratégie de répondeur

L’appliance Citrix ADC génère un événement non défini (événement UNDEF) lorsqu’une demande ne correspond pas à une stratégie de répondeur. L’appliance exécute ensuite l’action par défaut affectée aux événements non définis. Par défaut, l’action transmet la requête à la fonction suivante, telle que l’équilibrage de charge, le filtrage du contenu, etc. Ce comportement par défaut garantit que les demandes ne nécessitent pas d’action spécifique de répondeur à vos serveurs Web. En outre, les clients ont accès au contenu qu’ils ont demandé.

Si un ou plusieurs sites Web que votre appliance Citrix ADC protège reçoivent un nombre important de demandes non valides ou malveillantes, cependant, vous pouvez modifier l’action par défaut pour réinitialiser la connexion client ou supprimer la demande. Dans ce type de configuration, vous devez écrire une ou plusieurs stratégies de répondeur qui correspondraient à toutes les demandes légitimes, et simplement rediriger ces demandes vers leurs destinations d’origine. Votre appliance Citrix ADC bloque ensuite toutes les autres demandes, comme spécifié par l’action par défaut que vous avez configurée.

Vous pouvez affecter l’une des actions suivantes à un événement non défini :

  • NOOP. L’action NOOP interrompt le traitement du répondeur mais ne modifie pas le flux de paquets. Pour que l’appliance continue de traiter les demandes qui ne correspondent à aucune stratégie de répondeur et les transfère finalement à l’URL demandée, sauf si une autre fonctionnalité intervient et bloque ou redirige la demande. Cette action est appropriée pour les demandes normales adressées à vos serveurs Web et est le paramètre par défaut.
  • RESET. Si l’action non définie est définie sur RESET, l’appliance réinitialise la connexion client, informant le client qu’elle doit rétablir sa session avec le serveur Web. L’action est appropriée pour les demandes répétées de pages Web qui n’existent pas ou pour les connexions qui peuvent être des tentatives de piratage ou de sonde de vos sites Web protégés.
  • DROP. Si l’action non définie est définie sur DROP, l’appliance abandonne silencieusement la demande sans répondre au client de quelque manière que ce soit. Cette action est appropriée pour les demandes qui semblent faire partie d’une attaque DDoS ou d’une autre attaque soutenue sur vos serveurs.

Note : Les événements UNDEF ne sont déclenchés que pour les demandes des clients. Aucun événement UNDEF n’est déclenché pour les réponses.

Pour définir l’action non définie à l’aide de la ligne de commande Citrix ADC :

À l’invite de commandes, tapez la commande suivante pour définir l’action non définie et vérifier la configuration :

  • set responder param -undefAction (RESET|DROP|NOOP) [-timeout <msecs>]
  • show responder param

Où,

timeout - Durée maximale en millisecondes pour permettre le traitement de toutes les stratégies et de leurs actions sélectionnées sans interruption. Si le délai d’expiration est atteint, l’évaluation entraîne une hausse du UNDEF et aucun traitement ultérieur n’est effectué.

Valeur minimale : 1

Valeur maximale : 5000

Exemple :

>set responder param -undefAction RESET -timeout 3900
 Done
> show responder param
Action Name: RESET
Timeout: 3900
 Done
>
<!--NeedCopy-->

Définir l’action indéfinie à l’aide de l’interface graphique

  1. Accédez à AppExpert > Répondeur, puis sous Paramètres, cliquez sur le lien Modifier les paramètres du répondeur .
  2. Dans la page Définir les paramètres de répondeur, définissez les paramètres suivants :

    1. Action globale de résultat indéfini. L’action de résultat non défini est préférée dans une exception de traitement non gérée dans les stratégies et actions du répondeur. Sélectionnez NOOP, RESETou DROP.
    2. Délai d’expiration. Durée maximale en millisecondes pour permettre le traitement sans interruption de toutes les stratégies et leurs actions sélectionnées. Si le délai d’expiration est atteint, l’évaluation entraîne une hausse du UNDEF et aucun traitement ultérieur n’est effectué.
  3. Cliquez sur OK.

Procédure graphique permettant de définir une action non définie pour la stratégie de répondeur.

Définition de l’action par défaut pour une stratégie de répondeur