Configuration manuelle

Si vous souhaitez lier un profil à un point de liaison autre que Global, vous devez configurer manuellement la liaison. En outre, certaines vérifications de sécurité exigent que vous saisissiez manuellement les exceptions nécessaires ou que vous activiez la fonctionnalité d’apprentissage pour générer les exceptions dont vos sites Web et services Web ont besoin. Certaines de ces tâches ne peuvent pas être effectuées à l’aide de l’Assistant Web App Firewall.

Si vous connaissez bien le fonctionnement du Web App Firewall et que vous préférez une configuration manuelle, vous pouvez configurer manuellement un objet signatures et un profil, associer l’objet signatures au profil, créer une stratégie avec une règle qui correspond au trafic Web que vous souhaitez configurer et associer la stratégie avec le profil. Vous liez ensuite la stratégie à Global, ou à un point de liaison, pour la mettre en œuvre, et vous avez créé une configuration de sécurité complète.

Pour la configuration manuelle, vous pouvez utiliser l’interface graphique (interface graphique) ou la ligne de commande. Citrix vous recommande d’utiliser l’interface graphique. Toutes les tâches de configuration ne peuvent pas être exécutées sur la ligne de commande. Certaines tâches, telles que l’activation des signatures et l’examen des données apprises, doivent être effectuées dans l’interface graphique. La plupart des autres tâches sont plus faciles à effectuer dans l’interface graphique.

Réplication de la configuration

Lorsque vous utilisez l’interface graphique (GUI) ou l’interface de ligne de commande (CLI) pour configurer manuellement le Web App Firewall, la configuration est enregistrée dans le fichier /nsconfig/ns.conf. Vous pouvez utiliser les commandes de ce fichier pour répliquer la configuration sur une autre appliance. Vous pouvez couper et coller les commandes dans l’interface de ligne de commande une par une, ou enregistrer plusieurs commandes dans un fichier texte dans le dossier /var/tmp et les exécuter en tant que fichier batch. Voici un exemple d’exécution d’un fichier batch contenant des commandes copiées à partir du fichier /nsconfig/ns.conf d’une autre appliance :

> batch -f /var/tmp/appfw_add.txt

Avertissement

Les commandes d’importation ne sont pas enregistrées dans le fichier ns.conf. Avant d’exécuter des commandes à partir du fichier ns.conf pour répliquer la configuration sur une autre appliance, vous devez importer tous les objets utilisés dans la configuration (signatures, page d’erreur, WSDL et schéma, par exemple) vers l’appliance sur laquelle vous répliquez la configuration. La commande add pour ajouter un profil de Web App Firewall enregistré dans un fichier ns.conf peut inclure le nom d’un objet importé, mais une telle commande peut échouer lorsqu’elle est exécutée sur une autre appliance si l’objet référencé n’existe pas sur cette appliance.

Configuration manuelle