Configuration manuelle à l’aide de l’interface graphique

Si vous devez configurer manuellement la fonctionnalité de Web App Firewall, Citrix vous recommande d’utiliser l’interface graphique. Pour obtenir une description de l’interface graphique, reportez-vous à la section Interfaces utilisateur de Web App Firewall.

Pour créer et configurer un objet signatures

Avant de pouvoir configurer les signatures, vous devez créer un nouvel objet signatures à partir du modèle d’objet signatures par défaut approprié. Attribuez un nouveau nom à la copie, puis configurez la copie. Vous ne pouvez pas configurer ou modifier directement les objets de signatures par défaut. La procédure suivante fournit des instructions de base pour configurer un objet signatures. Pour plus d’instructions, reportez-vous à la section Configuration manuelle de la fonction Signatures.

  1. Accédez à Sécurité > pare-feu d’application > Signatures.

  2. Dans le volet d’informations, sélectionnez l’objet signatures que vous souhaitez utiliser comme modèle, puis cliquez sur Ajouter.

    Vos choix sont les suivants :

    • Signatures par défaut. Contient les règles de signatures, les règles d’injection SQL et les règles de script intersite.
    • Injection XPath. Contient tous les éléments des signatures par défaut et contient en outre les règles d’injection XPath.
  3. Dans la boîte de dialogue Ajouter un objet de signatures, tapez un nom pour votre nouvel objet de signatures, cliquez sur OK, puis sur Fermer. Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de 1 à 31 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), arobase (@), égal (=) et soulignement (_).

  4. Sélectionnez l’objet signatures que vous avez créé, puis cliquez sur Ouvrir.

  5. Dans la boîte de dialogue Modifier l’objet Signatures, définissez les options Afficher les critères de filtre à gauche pour afficher les éléments de filtre que vous souhaitez configurer.

    Lorsque vous modifiez ces options, les résultats que vous spécifiez sont affichés dans la fenêtre Résultats filtrés située à droite. Pour plus d’informations sur les catégories de signatures, reportez-vous à la section Signatures.

  6. Dans la zone Résultats filtrés, configurez les paramètres d’une signature en cochant et en désactivant les cases appropriées.

  7. Lorsque vous avez terminé, cliquez sur Fermer.

Pour créer un profil de Web App Firewall à l’aide de l’interface graphique

Pour créer un profil de Web App Firewall, vous devez spécifier seulement quelques détails de configuration.

  1. Accédez à Sécurité > pare-feu d’application > Profils.

  2. Dans le volet d’informations, cliquez sur Ajouter.

  3. Dans la boîte de dialogue Créer un profil de Web App Firewall, tapez un nom pour votre profil.

    Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de 1 à 31 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), arobase (@), égal (=), deux-points (:) et soulignement (_).

  4. Choisissez le type de profil dans la liste déroulante.

  5. Cliquez sur Créer, puis sur Fermer.

Pour configurer un profil Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > pare-feu d’application > Profils.
  2. Dans le volet d’informations, sélectionnez le profil à configurer, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Configurer le profil du Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les vérifications de sécurité.
    • Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à cette action.

    • Pour configurer d’autres paramètres pour les vérifications qui en ont, dans la liste, cliquez sur le chevron bleu à l’extrême droite de cette vérification. Dans la boîte de dialogue qui s’affiche, configurez les paramètres. Ceux-ci varient d’une vérification à l’autre.

      Vous pouvez également sélectionner une coche et, en bas de la boîte de dialogue, cliquez sur Ouvrir pour afficher la boîte de dialogue Configurer la relaxation ou Configurer la règle pour cette vérification. Ces boîtes de dialogue varient également d’une vérification à l’autre. La plupart d’entre eux comprennent un onglet Vérifications et un onglet Général. Si la vérification prend en charge les relaxations ou les règles définies par l’utilisateur, l’onglet Vérifications inclut un bouton Ajouter, qui ouvre une nouvelle boîte de dialogue, dans laquelle vous pouvez spécifier une relaxation ou une règle pour la vérification. (Un assouplissement est une règle permettant d’exempter le trafic spécifié du contrôle.) Si les relaxations ont déjà été configurées, vous pouvez en sélectionner une et cliquer sur Ouvrir pour la modifier.

    • Pour consulter les exceptions ou les règles apprises pour une vérification, sélectionnez la vérification, puis cliquez sur Violations apprises. Dans la boîte de dialogue Gérer les règles apprises, sélectionnez successivement chaque exception ou règle apprise.

      • Pour modifier l’exception ou la règle, puis l’ajouter à la liste, cliquez sur Modifier et déployer.
      • Pour accepter l’exception ou la règle sans modification, cliquez sur Déployer.
      • Pour supprimer l’exception ou la règle de la liste, cliquez sur Ignorer.
    • Pour actualiser la liste des exceptions ou des règles à réviser, cliquez sur Actualiser.

    • Pour ouvrir le visualiseur d’apprentissage et l’utiliser pour consulter les règles apprises, cliquez sur Visualizer.

    • Pour vérifier les entrées de journal des connexions correspondant à une vérification, sélectionnez la vérification, puis cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer quelles vérifications correspondent aux attaques afin d’activer le blocage de ces vérifications. Vous pouvez également utiliser ces informations pour déterminer quelles vérifications correspondent au trafic légitime, de sorte que vous pouvez configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, reportez-vous à la section Journaux, statistiques et rapports.

    • Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.

  4. Sous l’onglet Paramètres, configurez les paramètres du profil.
    • Pour associer le profil à l’ensemble de signatures que vous avez précédemment créé et configuré, sous Paramètres communs, choisissez cet ensemble de signatures dans la liste déroulante Signatures.

      Remarque :

      Vous devrez peut-être utiliser la barre de défilement située à droite de la boîte de dialogue pour faire défiler la section Paramètres communs.

    • Pour configurer un objet Erreur HTML ou XML, sélectionnez l’objet dans la liste déroulante appropriée.

      Remarque :

      Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importer.

    • Pour configurer le type de contenu XML par défaut, tapez la chaîne de type de contenu directement dans les zones de texte Demande par défaut et Réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés.

  5. Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Formation et configurez les paramètres d’apprentissage du profil. Pour de plus amples informations, consultez la section Fonctionnalité de configuration et d’apprentissage.

  6. Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils.

Configuration d’une règle de Web App Firewall ou relaxation

Vous configurez deux types d’informations différents dans cette boîte de dialogue, selon le contrôle de sécurité que vous configurez. Dans la majorité des cas, vous configurez une exception (ou une relaxation) à la vérification de sécurité. Si vous configurez la vérification Refuser URL ou la vérification Formats de champ, vous configurez une addition (ou une règle). Le processus pour l’un ou l’autre d’entre eux est le même.

Pour configurer une relaxation ou une règle à l’aide de l’interface graphique

  1. Accédez à Sécurité > pare-feu d’application > Profils.

  2. Dans le volet Profils, sélectionnez le profil à configurer, puis cliquez sur Modifier.

  3. Dans la boîte de dialogue Configurer le profil du Web App Firewall, cliquez sur l’onglet Vérifications de sécurité. L’onglet Vérifications de sécurité contient la liste complète des vérifications de sécurité du Web App Firewall, également appelées protections avancées dans certains endroits.

  4. Dans l’onglet Vérifications de sécurité, cliquez sur la vérification que vous souhaitez configurer, puis cliquez sur Ouvrir. La boîte de dialogue Modifier la vérification de la vérification que vous avez choisie s’affiche et l’onglet Vérifications est sélectionné. L’onglet Vérifications contient une liste des relaxations ou des règles existantes pour cette vérification. La liste peut être vide si vous n’avez pas ajouté manuellement de relaxations ou approuvé les relaxations recommandées par le moteur d’apprentissage. Sous la liste se trouve une rangée de boutons qui vous permettent d’ajouter, de modifier, de supprimer, d’activer ou de désactiver les relaxations de la liste.

  5. Pour ajouter ou modifier une relaxation ou une règle, effectuez l’une des opérations suivantes :

    • Pour ajouter une nouvelle relaxation, cliquez sur Ajouter.
    • Pour modifier une relaxation existante, sélectionnez la relaxation à modifier, puis cliquez sur Ouvrir.

    La boîte de dialogue Ajouter une relaxation de vérification ou Modifier la relaxation de vérification de la vérification de la vérification sélectionnée s’affiche. À l’exception du titre, ces boîtes de dialogue sont identiques.

  6. Remplissez la boîte de dialogue comme décrit ci-dessous. Les boîtes de dialogue de chaque vérification sont différentes ; la liste ci-dessous couvre tous les éléments qui peuvent apparaître dans n’importe quelle boîte de dialogue.

    • Case à cocher Activé : activez cette option pour placer cette relaxation ou cette règle en cours d’utilisation ; désactivez cette option pour la désactiver.

    • Type de contenu de pièce jointe : attribut Content-Type d’une pièce jointe XML. Dans la zone de texte, entrez une expression régulière qui correspond à l’attribut Content-Type des pièces jointes XML à autoriser.

    • URL d’action—Dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL vers laquelle les données saisies dans le formulaire Web sont livrées.

    • Cookie—Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le cookie.

    • Nom de champ : un élément de nom de champ de formulaire Web peut être étiqueté Nom de champ, Champ de formulaire ou un autre nom similaire. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le nom du champ de formulaire.

    • URL d’origine du formulaire : dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL qui héberge le formulaire Web.

    • URL d’action de formulaire : dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL vers laquelle les données saisies dans le formulaire Web sont livrées.

    • Name —Nomd’élément XML ou d’attribut. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le nom de l’élément ou de l’attribut.

    • URL : un élément URL peut être étiqueté URL d’action, URL de refus, URL d’action de formulaire, URL d’origine du formulaire, URL de démarrage ou simplement URL. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL.

    • Format : la section Format contient plusieurs paramètres qui incluent des zones de liste et des zones de texte. L’un des éléments suivants peut apparaître :

      • Type : sélectionnez un type de champ dans la liste déroulante Type. Pour ajouter une nouvelle définition de type de champ, cliquez sur Gérer —
      • Minimum Length : saisissez un entier positif qui représente la longueur minimale en caractères si vous souhaitez forcer les utilisateurs à remplir ce champ. Par défaut : 0 (permet de laisser le champ vide.)
      • Longueur maximale : pour limiter la longueur des données dans ce champ, tapez un entier positif qui représente la longueur maximale en caractères. Par défaut : 65535
    • Emplacement : choisissez l’élément de la demande auquel votre relaxation s’appliquera dans la liste déroulante. Pour les vérifications de sécurité HTML, les choix sont les suivants :

      • FORMFIELD : champs de formulaire dans les formulaires Web.
      • HEADER : demande des en-têtes.
      • COOKIE : En-têtes de cookie.

      Pour les vérifications de sécurité XML, les choix sont les suivants :

      • ELEMENT : élément XML.
      • ATTRIBUTE : attribut XML.
    • Taille maximale de la pièce jointe : taille maximale en octets autorisée pour une pièce jointe XML.

    • Commentaires : dans la zone de texte, tapez un commentaire. Facultatif.

    Remarque : Pour tout élément nécessitant une expression régulière, vous pouvez taper l’expression régulière, utiliser le menu Jetons Regex pour insérer des éléments et des symboles d’expression régulière directement dans la zone de texte, ou cliquer sur Éditeur Regexpour ouvrir l’onglet Ajouter une expression régulière et utilisez-la pour construire l’expression.

  7. Pour supprimer une relaxation ou une règle, sélectionnez-la, puis cliquez sur Supprimer.

  8. Pour activer une relaxation ou une règle, sélectionnez-la, puis cliquez sur Activer.

  9. Pour désactiver une relaxation ou une règle, sélectionnez-la, puis cliquez sur Désactiver.

  10. Pour configurer les paramètres et les relations de toutes les relaxations existantes dans un affichage graphique interactif intégré, cliquez sur Visualizeret utilisez les outils d’affichage.

    Remarque :

    le bouton Visualizern’apparaît pas dans toutes les boîtes de dialogue de relaxation à cocher.

  11. Pour consulter les règles apprises pour cette vérification, cliquez sur Apprentissage et effectuez les étapes de la section Pour configurer et utiliser la fonctionnalité Apprentissage

  12. Cliquez sur OK.

Pour configurer la fonctionnalité d’apprentissage à l’aide de l’interface graphique

  1. Accédez à Sécurité > pare-feu d’application > Profils.
  2. Dans le volet Profils, sélectionnez le profil, puis cliquez sur Modifier.
  3. Cliquez sur l’onglet Apprentissage. En haut de l’onglet Formation, vous trouverez la liste des vérifications de sécurité disponibles dans le profil actuel et qui prennent en charge la fonctionnalité d’apprentissage.

  4. Pour configurer les seuils d’apprentissage, sélectionnez une vérification de sécurité, puis tapez les valeurs appropriées dans les zones de texte suivantes :

    • Seuil de nombre minimum. Selon les paramètres d’apprentissage de la vérification de sécurité que vous configurez, le seuil de nombre minimum peut faire référence au nombre minimum de sessions utilisateur totales à observer, au nombre minimum de demandes à observer ou au nombre minimum de fois qu’un champ de formulaire spécifique doit être observé, avant qu’une relaxation apprise ne soit générée. Par défaut : 1

    • Pourcentage du seuil de durée. Selon les paramètres d’apprentissage de la vérification de sécurité que vous configurez, le pourcentage de seuil de durée peut faire référence au pourcentage du nombre total de sessions utilisateur observées qui ont enfreint la vérification de sécurité, au pourcentage de demandes ou au pourcentage de fois qu’un champ de formulaire correspond à un type de champ particulier, avant qu’un une relaxation apprise est générée. Par défaut : 0

  5. Pour supprimer toutes les données apprises et réinitialiser la fonction d’apprentissage afin qu’elle redémarre ses observations dès le début, cliquez sur Supprimer toutes les données apprises.

    Remarque :

    Ce bouton supprime uniquement les recommandations apprises qui n’ont pas été examinées et approuvées ou ignorées. Il ne supprime pas les relaxations apprises qui ont été acceptées et déployées.

  6. Pour limiter le moteur de formation au trafic provenant d’un ensemble spécifique d’adresses IP, cliquez sur Clients d’apprentissage approuvés, puis ajoutez les adresses IP que vous souhaitez utiliser à la liste.
    1. Pour ajouter une adresse IP ou une plage d’adresses IP à la liste Clients d’apprentissage approuvés, cliquez sur Ajouter.
    2. Dans la boîte de dialogue Ajouter des clients d’apprentissage approuvés, zone de liste IP des clients de confiance, tapez l’adresse IP ou une plage d’adresses IP au format CIDR.
    3. Dans la zone de texte Commentaires, tapez un commentaire qui décrit cette adresse IP ou cette plage.
    4. Cliquez sur Créer pour ajouter votre nouvelle adresse IP ou plage à la liste.
    5. Pour modifier une adresse IP ou une plage existante, cliquez sur l’adresse IP ou la plage, puis cliquez sur Ouvrir. À l’exception du nom, la boîte de dialogue qui s’affiche est identique à la boîte de dialogue Ajouter des clients d’apprentissage approuvés.
    6. Pour désactiver ou activer une adresse IP ou une plage, mais la laisser dans la liste, cliquez sur l’adresse IP ou la plage, puis cliquez sur Désactiver ou Activer, selon le cas.
    7. Pour supprimer complètement une adresse IP ou une plage, cliquez sur l’adresse IP ou la plage, puis cliquez sur Supprimer.
  7. Cliquez sur Fermer pour revenir à la boîte de dialogue Configurer le profil du pare-feu d’application.
  8. Cliquez sur Fermer pour fermer la boîte de dialogue Configurer le profil du pare-feu d’application et revenir à l’écran Profil du pare-feu d’application.

Pour créer et configurer une stratégie à l’aide de l’interface graphique

  1. Accédez à Sécurité > pare-feu d’application > Stratégies.

  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :

    • Pour créer une stratégie de pare-feu, cliquez sur Ajouter. La Stratégie Créer Web App Firewall s’affiche.
    • Pour modifier une stratégie de pare-feu existante, sélectionnez-la, puis cliquez sur Modifier.

    La stratégie Créer Web App Firewall ou Configurer la stratégie Web App Firewall s’affiche.

  3. Si vous créez une stratégie de pare-feu, dans la boîte de dialogue Créer une stratégie Web App Firewall, zone de texte Nom de la stratégie, tapez le nom de votre nouvelle stratégie.

    Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de un à 128 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), arobase (@), égal (=), deux-points (:) et soulignement (_).

    Si vous configurez une stratégie de pare-feu existante, ce champ est en lecture seule. Vous ne pouvez pas le modifier.

  4. Sélectionnez le profil à associer à cette stratégie dans la liste déroulante Profil. Vous pouvez créer un profil à associer à votre stratégie en cliquant sur Nouveau, et vous pouvez modifier un profil existant en cliquant sur Modifier.

  5. Dans la zone de texte Expression, créez une règle pour votre stratégie.

    • Vous pouvez taper une règle directement dans la zone de texte.
    • Vous pouvez cliquer sur Préfixe pour sélectionner le premier terme de votre règle et suivre les invites. Pour une description complète de ce processus, reportez-vous à la section Pour créer une règle de Web App Firewall (expression).
    • Vous pouvez cliquer sur Ajouter pour ouvrir la boîte de dialogue Ajouter une expression et l’utiliser pour construire la règle. Pour une description complète de ce processus, reportez-vous à la section Boîte de dialogue Ajouter une expression.
  6. Cliquez sur Créer ou OK, puis cliquez sur Fermer.

Pour créer ou configurer une règle de Web App Firewall (expression)

La règle de stratégie, également appelée expression, définit le trafic Web que le Web App Firewall filtre à l’aide du profil associé à la stratégie. Comme les autres règles de stratégie ADC Citrix (ou expressions), les règles de Web App Firewall utilisent la syntaxe des expressions Citrix ADC. Cette syntaxe est puissante, flexible et extensible. Il est trop complexe pour décrire complètement dans cet ensemble d’instructions. Vous pouvez utiliser la procédure suivante pour créer une règle de stratégie de pare-feu simple ou la lire comme une vue d’ensemble du processus de création de stratégie.

  1. Si vous ne l’avez pas déjà fait, accédez à l’emplacement approprié dans l’Assistant Web App Firewall ou dans l’interface graphique Citrix ADC pour créer votre règle de stratégie :

    • Si vous configurez une stratégie dans l’Assistant Web App Firewall, dans le volet de navigation, cliquez sur pare-feu d’application, puis dans le volet d’informations, cliquez sur Assistant pare-feu d’application, puis accédez à l’écran Spécifier une règle.
    • Si vous configurez une stratégie manuellement, dans le volet de navigation, développez pare-feu d’application, Stratégies, puis Pare-feu. Dans le volet d’informations, pour créer une stratégie, cliquez sur Ajouter. Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Ouvrir.
  2. Dans l’écran Spécifier une règle, la boîte de dialogue Créer un profil de pare-feu d’application ou la boîte de dialogue Configurer le profil de pare-feu d’application, cliquez sur Préfixe, puis choisissez le préfixe de votre expression dans la liste déroulante. Vos choix sont les suivants :

    • HTTP. Le protocole HTTP. Choisissez cette option si vous souhaitez examiner un aspect de la demande qui concerne le protocole HTTP.
    • SYS. Le(s) site(s) protégé(s). Choisissez cette option si vous souhaitez examiner un aspect de la demande qui concerne le destinataire de la demande.
    • CLIENT. Ordinateur qui a envoyé la demande. Choisissez cette option si vous souhaitez examiner un aspect de l’expéditeur de la demande.
    • SERVER. Ordinateur auquel la demande a été envoyée. Choisissez cette option si vous souhaitez examiner un aspect du destinataire de la demande.

    Après avoir choisi un préfixe, le Web App Firewall affiche une fenêtre d’invite en deux parties qui affiche les options suivantes possibles en haut et une brève explication de ce que signifie le choix sélectionné en bas.

  3. Choisissez votre terme suivant.

    Si vous avez choisi HTTP comme préfixe, votre seul choix est REQ, qui spécifie la paire Request/Réponse. (Le Web App Firewall fonctionne sur la demande et la réponse en tant qu’unité plutôt que sur chacune séparément.) Si vous avez choisi un autre préfixe, vos choix sont plus variés. Pour obtenir de l’aide sur un choix spécifique, cliquez une fois sur ce choix pour afficher des informations à ce sujet dans la fenêtre d’invite inférieure.

    Lorsque vous avez décidé du terme souhaité, double-cliquez dessus pour l’insérer dans la fenêtre Expression.

  4. Tapez un point après le terme que vous venez de choisir. Vous êtes alors invité à choisir votre prochain terme, comme décrit à l’étape précédente. Lorsqu’un terme nécessite que vous saisissiez une valeur, saisissez la valeur appropriée. Par exemple, si vous choisissez HTTP.REQ.HEADER(“”), tapez le nom de l’en-tête entre guillemets.

  5. Continuez à choisir des termes dans les invites et à remplir toutes les valeurs nécessaires, jusqu’à ce que votre expression soit terminée.

    Voici quelques exemples d’expressions à des fins spécifiques.

    • Hôte Web spécifique. Pour faire correspondre le trafic provenant d’un hôte Web particulier :
HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Pour shopping.example.com, remplacez le nom de l’hôte Web que vous souhaitez faire correspondre.

  • Dossier Web ou répertoire spécifique. Pour faire correspondre le trafic provenant d’un dossier ou d’un répertoire particulier sur un hôte Web :
        HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")

Pour www.example.com, remplacez le nom de l’hôte Web. Pour le dossier, remplacez le dossier ou le chemin d’accès au contenu que vous souhaitez faire correspondre. Par exemple, si votre panier se trouve dans un dossier appelé /solutions/orders, vous remplacez cette chaîne par dossier.

  • Type de contenu spécifique : images GIF. Pour faire correspondre les images au format GIF :
        HTTP.REQ.URL.ENDSWITH(".gif")

Pour correspondre à d’autres images de format, remplacez une autre chaîne à la place de .gif.

  • Type de contenu spécifique : scripts. Pour faire correspondre tous les scripts CGI situés dans le répertoire CGI-BIN :
        HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")

Pour faire correspondre tous les Javascripts avec les extensions .js :

        HTTP.REQ.URL.ENDSWITH(".js")

Pour plus d’informations sur la création d’expressions de stratégie, reportez-vous à la section Stratégies et expressions.

Remarque :

Si vous utilisez la ligne de commande pour configurer une stratégie, n’oubliez pas d’échapper aux guillemets doubles dans les expressions Citrix ADC. Par exemple, l’expression suivante est correcte si elle est entrée dans l’interface graphique :

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Si vous entrez dans la ligne de commande, cependant, vous devez taper ceci à la place :

    HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Pour ajouter une règle de pare-feu (expression) à l’aide de la boîte de dialogue Ajouter une expression

La boîte de dialogue Ajouter une expression (également appelée Éditeur d’expression) aide les utilisateurs qui ne connaissent pas le langage des expressions Citrix ADC à construire une stratégie qui correspond au trafic qu’ils veulent filtrer.

  1. Si vous ne l’avez pas déjà fait, accédez à l’emplacement approprié dans l’Assistant Web App Firewall ou dans l’interface graphique Citrix ADC :
    • Si vous configurez une stratégie dans l’Assistant Web App Firewall, dans le volet de navigation, cliquez sur Web App Firewall, puis dans le volet d’informations, cliquez sur Assistant Web App Firewall, puis accédez à l’écran Spécifier une règle.
    • Si vous configurez une stratégie manuellement, dans le volet de navigation, développez Web App Firewall, Stratégies, puis Pare-feu. Dans le volet d’informations, pour créer une stratégie, cliquez sur Ajouter. Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Ouvrir.
  2. Dans l’écran Spécifier une règle, dans la boîte de dialogue Créer un profil de Web App Firewall ou dans la boîte de dialogue Configurer le profil de pare-feu d’application Web, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Ajouter une expression, dans la zone Construire une expression, dans la première zone de liste, choisissez l’un des préfixes suivants :
    • HTTP. Le protocole HTTP. Choisissez cette option si vous souhaitez examiner un aspect de la demande qui concerne le protocole HTTP. Le choix par défaut.
    • SYS. Le(s) site(s) protégé(s). Choisissez cette option si vous souhaitez examiner un aspect de la demande qui concerne le destinataire de la demande.
    • CLIENT. Ordinateur qui a envoyé la demande. Choisissez cette option si vous souhaitez examiner un aspect de l’expéditeur de la demande.
    • SERVER. Ordinateur auquel la demande a été envoyée. Choisissez cette option si vous souhaitez examiner un aspect du destinataire de la demande.
  4. Dans la deuxième zone de liste, choisissez votre prochain terme. Les termes disponibles diffèrent selon le choix que vous avez fait à l’étape précédente, car la boîte de dialogue ajuste automatiquement la liste pour ne contenir que les termes valides pour le contexte. Par exemple, si vous avez sélectionné HTTP dans la zone de liste précédente, le seul choix est REQ, pour les demandes. Étant donné que le Web App Firewall traite les demandes et les réponses associées comme une seule unité et filtre les deux, vous n’avez pas besoin de réponses spécifiques séparément. Après avoir choisi votre deuxième terme, une troisième zone de liste apparaît à droite du second. La fenêtre Aide affiche une description du deuxième terme et la fenêtre Aperçu de l’expression affiche votre expression.
  5. Dans la troisième zone de liste, choisissez le terme suivant. Une nouvelle zone de liste apparaît à droite et la fenêtre d’aide change pour afficher une description du nouveau terme. La fenêtre Aperçu de l’expression est mise à jour pour afficher l’expression telle que vous l’avez spécifiée à ce point.
  6. Continuez à choisir des termes, et lorsque vous y êtes invité à remplir des arguments, jusqu’à ce que votre expression soit terminée. Si vous faites une erreur ou souhaitez modifier votre expression après avoir déjà sélectionné un terme, vous pouvez simplement choisir un autre terme. L’expression est modifiée et tous les arguments ou termes supplémentaires que vous avez ajoutés après le terme que vous avez modifié sont effacés.
  7. Lorsque vous avez terminé de construire votre expression, cliquez sur OK pour fermer la boîte de dialogue Ajouter une expression. Votre expression est insérée dans la zone de texte Expression.

Pour lier une stratégie Web App Firewall à l’aide de l’interface graphique

  1. Procédez comme suit :
    • Accédez à Sécurité > Web App Firewall, puis dans le volet d’informations, cliquez sur Gestionnaire de stratégies de pare-feu d’application.
    • Accédez à Sécurité > pare-feu d’application > Stratégies > Stratégies de pare-feu, puis dans le volet d’informations, cliquez sur Gestionnaire de stratégies.
  2. Dans la boîte de dialogue Application Firewall Manager, choisissez le point de liaison auquel vous souhaitez lier la stratégie dans la liste déroulante. Les choix sont les suivants :
    • Remplacer Global. Les stratégies liées à ce point de liaison traitent tout le trafic provenant de toutes les interfaces de l’appliance Citrix ADC et sont appliquées avant toute autre stratégie.
    • Serveur virtuel LB. Les stratégies liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné Serveur virtuel LB, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette stratégie.
    • Serveur virtuel CS. Les stratégies liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette stratégie.
    • Global par défaut. Les stratégies liées à ce point de liaison traitent tout le trafic provenant de toutes les interfaces de l’appliance Citrix ADC.
    • Étiquette de stratégie. Les stratégies liées à un trafic de traitement d’étiquette de stratégie que l’étiquette de stratégie leur achemine. L’étiquette de stratégie contrôle l’ordre dans lequel les stratégies sont appliquées à ce trafic.
    • Aucun. Ne liez pas la stratégie à un point de liaison.
  3. Cliquez sur Continue. Une liste des stratégies de Web App Firewall existantes s’affiche.
  4. Sélectionnez la stratégie que vous souhaitez lier en cliquant dessus.
  5. Effectuez des ajustements supplémentaires à la liaison.
    • Pour modifier la priorité de stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités de manière uniforme.
    • Pour modifier l’expression de stratégie, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la stratégie de Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
    • Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de colonne Goto Expression pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression.
    • Pour définir l’option Invoquer, double-cliquez sur le champ dans l’en-tête de colonne Invoquer pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression.
  6. Répétez les étapes 3 à 6 pour ajouter toutes les stratégies de Web App Firewall supplémentaires que vous souhaitez lier globalement.
  7. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.