Citrix ADC

Assistant Web App Firewall

Contrairement à la plupart des assistants, l’Assistant Pare-feu Citrix Web App est conçu non seulement pour simplifier le processus de configuration initial, mais aussi pour modifier les configurations précédemment créées et pour maintenir la configuration de votre pare-feu Web App. Un utilisateur typique exécute l’Assistant plusieurs fois, ignorant certains écrans à chaque fois.

L’Assistant Web App Firewall crée automatiquement des profils, des stratégies et des signatures.

Ouverture de l’assistant

Pour exécuter l’Assistant Web App Firewall, ouvrez l’interface graphique et procédez comme suit :

  1. Accédez à Sécurité > Pare-feu d’application.
  2. Dans le volet d’informations, sous Mise en route, cliquez sur Assistant Pare-feu d’application. L’Assistant s’ouvre.

Pour plus d’informations sur l’interface graphique, consultez “Interfaces de configuration de Web App Firewall.”

Les écrans de l’Assistant

L’Assistant Web App Firewall affiche les écrans suivants sur une page tabulaire :

1. Spécifier le nom : sur cet écran, lors de la création d’une nouvelle configuration de sécurité, spécifiez un nom significatif et le type approprié (HTML, XML ou WEB 2.0) pour votre profil. La stratégie par défaut et les signatures sont générées automatiquement en utilisant le même nom.

Nom du profil

Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de 1 à 31 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), at (@), égal (=), deux-points ( :) et soulignement (_). Choisissez un nom qui facilite l’affichage du contenu protégé par votre nouvelle configuration de sécurité.

Remarque :

Étant donné que l’Assistant utilise ce nom à la fois pour la stratégie et le profil, il est limité à 31 caractères. Les stratégies créées manuellement peuvent contenir des noms pouvant atteindre 127 caractères.

Lorsque vous modifiez une configuration existante, sélectionnez Modifier la configuration existante, puis, dans la liste déroulante Nom, sélectionnez le nom de la configuration existante à modifier.

Remarque :

Seules les stratégies liées à un point global ou à un point de liaison apparaissent dans cette liste ; vous ne pouvez pas modifier une stratégie non liée à l’aide de l’Assistant Pare-feu d’application. Vous devez soit le lier manuellement à Global ou à un point de liaison, soit le modifier manuellement. (Pour modification manuelle, dans l’interface graphique) Application Pare-feu>Stratégies> PanneauPare-feu, sélectionnez la stratégie et cliquez sur Ouvrir.

Type de profil

Vous sélectionnez également un type de profil sur cet écran. Le type de profil détermine les types de protection avancée (vérifications de sécurité) qui peuvent être configurés. Étant donné que certains types de contenu ne sont pas vulnérables à certains types de menaces de sécurité, la restriction de la liste des vérifications disponibles permet d’économiser du temps pendant la configuration. Les types de profils de Web App Firewall sont les suivants :

  • Application Web (HTML). Tout site Web HTML qui n’utilise pas les technologies XML ou Web 2.0.
  • Application XML (XML, SOAP). Tout service Web basé sur XML.
  • Application Web 2.0 (HTML, XML, REST). Tout site Web 2.0 qui combine du contenu HTML et XML, tel qu’un site basé sur ATOM, un blog, un flux RSS ou un wiki.

Remarque : Si vous ne savez pas quel type de contenu est utilisé sur votre site Web, vous pouvez choisir Application Web 2.0 pour vous assurer de protéger tous les types de contenu d’application Web.

2. Spécifier la règle : sur cet écran, vous spécifiez la règle de stratégie (expression) qui définit le trafic examiné par la configuration actuelle. Si vous créez une configuration initiale pour protéger vos sites Web et services Web, vous pouvez accepter la valeur par défaut, true, qui sélectionne tout le trafic Web.

Si vous souhaitez que cette configuration de sécurité examine, non pas tout le trafic HTTP acheminé via l’appliance, mais le trafic spécifique, vous pouvez écrire une règle de stratégie spécifiant le trafic que vous souhaitez examiner. Les règles sont écrites dans le langage d’expressions Citrix ADC, qui est un langage de programmation orienté objet entièrement fonctionnel.

Remarque : Outre la syntaxe des expressions par défaut, pour assurer la compatibilité ascendante, le système d’exploitation Citrix ADC prend en charge la syntaxe des expressions classiques Citrix ADC sur les appliances Citrix ADC Classic et nCore et les appliances virtuelles. Les expressions classiques ne sont pas prises en charge sur les appliances Citrix ADC Cluster et les appliances virtuelles. Les utilisateurs actuels qui souhaitent migrer leurs configurations existantes vers le cluster Citrix ADC doivent migrer toutes les stratégies contenant des expressions classiques vers la syntaxe des expressions par défaut.

  • Pour obtenir une description simple de l’utilisation de la syntaxe des expressions Citrix ADC pour créer des règles de Web App Firewall et une liste de règles utiles, reportez-vous à la section Stratégies de pare-feu.
  • Pour plus d’informations sur la création de règles de stratégie dans la syntaxe des expressions Citrix ADC, reportez-vous à la section Stratégies et expressions.

4. Sélectionnez Signatures : sur cet écran, vous sélectionnez les catégories de signatures que vous souhaitez utiliser pour protéger vos sites Web et services Web.

Cette étape n’est pas obligatoire, et vous pouvez l’ignorer si vous le souhaitez et aller à l’écran Spécifier les protections profondes. Si l’écran Sélectionner les signatures est ignoré, seuls un profil et les stratégies associées sont créés et les signatures ne sont pas créées.

Vous pouvez sélectionner Créer une nouvelle signature ou Sélectionner une signature existante.

Si vous créez une configuration de sécurité, les catégories de signature que vous sélectionnez sont activées et, par défaut, elles sont enregistrées dans un nouvel objet signatures. Le nouvel objet signatures se voit attribuer le même nom que celui que vous avez entré sur l’écran Spécifier le nom que le nom de la configuration de sécurité.

Si vous avez déjà configuré des objets signatures et que vous souhaitez en utiliser l’un comme objet signatures associé à la configuration de sécurité que vous créez, cliquez sur Sélectionner une signature existante et sélectionnez un objet signatures dans la liste Signatures.

Si vous modifiez une configuration de sécurité existante, vous pouvez cliquer sur Sélectionner une signature existante et affecter un objet signatures différent à la configuration de sécurité.

Si vous cliquez sur Créer une nouvelle signature, vous pouvez choisir le mode d’édition comme Simple ou Avancé.

  1. Spécifier les protections de signature (mode simple)

Le mode simple permet de configurer facilement la signature, avec une liste prédéfinie de définitions de protection pour les applications courantes telles que IIS (Internet Information Server), PHP et ActiveX. Les catégories par défaut en mode Simple sont :

  • CGI. Protection contre les attaques contre les sites Web qui utilisent des scripts CGI dans n’importe quelle langue, y compris les scripts PERL, les scripts shell Unix et Python.

  • Fusion froide. Protection contre les attaques sur les sites Web qui utilisent la plateforme de développement Web Adobe Systems® ColdFusion®.

  • Page frontale. Protection contre les attaques sur les sites Web qui utilisent la plateforme de développement Web Microsoft® FrontPage®.

  • PHP. Protection contre les attaques sur les sites Web qui utilisent le langage de script de développement Web open-source PHP.

  • Côté client. Protection contre les attaques des outils côté client utilisés pour accéder à vos sites Web protégés, tels que Microsoft Internet Explorer, Mozilla Firefox, le navigateur Opera et Adobe Acrobat Reader.

  • Microsoft IIS. Protection contre les attaques sur les sites Web qui exécutent Microsoft Internet Information Server (IIS)

  • Divers. Protection contre les attaques sur d’autres outils côté serveur, tels que les serveurs Web et les serveurs de base de données.

Sur cet écran, vous sélectionnez les actions associées aux catégories de signatures sélectionnées dans l’écran Sélectionner les signatures. Les actions que vous pouvez configurer sont les suivantes :

  • Bloquer
  • Journal
  • Statistiques

Par défaut, les actions Journal et Statistiques sont activées, mais pas l’action Bloquer. Pour configurer des actions, cliquez sur Paramètres. Vous pouvez modifier les paramètres d’action de toutes les catégories sélectionnées à l’aide du menu déroulant Action.

  1. Spécifier les protections de signature (mode avancé)

Le mode avancé permet un contrôle plus granulaire sur les définitions de signature et fournit beaucoup plus d’informations. Utilisez le mode avancé si vous souhaitez contrôler complètement la définition de signature.

Le contenu de cet écran est identique à celui de la boîte de dialogue Modifier l’objet Signatures, comme décrit à la section Configuration ou modification d’un objet Signatures. Dans cet écran, vous pouvez configurer des actions en cliquant sur le menu déroulant Actions ou sur le menu Actions, qui apparaît sous la forme d’un cercle avec trois points.

7. Spécifier les protections profondes : sur cet écran, vous choisissez les protections avancées (également appelées vérifications de sécurité ou simplement vérifications) que vous souhaitez utiliser pour protéger vos sites Web et services Web. Les vérifications disponibles dépendent du type de profil que vous avez choisi dans l’écran Spécifier le nom. Toutes les vérifications sont disponibles pour les profils d’application Web 2.0.

Pour plus d’informations, reportez-vous à Vue d’ensemble des contrôles de sécurité et Vérifications avancées des protections des formulaires.

Vous configurez les actions pour les protections avancées que vous avez activées.Les actions que vous pouvez configurer sont les suivantes :

  • Bloque : bloque les connexions qui correspondent à la signature. Désactivé par défaut.
  • Journal : enregistre les connexions qui correspondent à la signature pour une analyse ultérieure. Activé par défaut.
  • Statistiques : gère des statistiques, pour chaque signature, qui indiquent le nombre de connexions correspondant et fournissent d’autres informations sur les types de connexions bloquées. Désactivé par défaut.
  • Apprenez. Observez le trafic vers ce site Web ou service Web et utilisez des connexions qui violent à plusieurs reprises cette vérification pour générer des exceptions recommandées à la vérification ou de nouvelles règles pour la vérification. Disponible uniquement pour certains chèques. Pour plus d’informations sur la fonctionnalité d’apprentissage, voir Configuration et utilisation de la fonction d’apprentissage, et pour savoir comment fonctionne l’apprentissage et comment configurer des exceptions (relaxations) ou déployer des règles assimilées pour une vérification, voir Configuration manuelle à l’aide de l’interface graphique.

Pour configurer des actions, activez la protection en cochant la case à cocher, puis cliquez sur Paramètres d’action pour sélectionner les actions requises. Sélectionnez d’autres paramètres, si nécessaire, puis cliquez sur OK pour fermer la fenêtre Paramètres d’action.

Pour afficher tous les journaux d’une vérification spécifique, sélectionnez cette vérification, puis cliquez sur Journaux pour afficher la visionneuse Syslog, comme décrit à la section Journaux de Web App Firewall. Si une vérification de sécurité bloque l’accès légitime à votre site Web ou service Web protégé, vous pouvez créer et implémenter une relaxation pour cette vérification de sécurité en sélectionnant un journal qui affiche le blocage indésirable, puis en cliquant sur Déployer.

Après avoir spécifié les paramètres d’action, cliquez sur Terminer pour terminer l’Assistant.

Voici quatre procédures qui montrent comment effectuer des types de configuration spécifiques à l’aide de l’assistant de Web App Firewall.

Créer une nouvelle configuration

Procédez comme suit pour créer une configuration de pare-feu et des objets de signature, à l’aide de l’assistant de pare-feu Applicaiton.

  1. Accédez à Sécurité > Pare-feu d’application.

  2. Dans le volet d’informations, sous Mise en route, cliquez sur Pare-feu **d’application. L’Assistant s’ouvre.

    Assistant

  3. Dans l’écran Spécifier le nom, sélectionnez **Créer une nouvelle configuration.

  4. Dans le champ Nom, tapez un nom, puis cliquez sur Suivant.

  5. Dans l’écran Spécifier une règle, cliquez à nouveau sur Suivant.

  6. Dans l’écran Sélectionner les signatures, sélectionnez Créer une nouvelle signature et Simple comme mode de modification, puis cliquez sur Suivant.

  7. Dans l’écran Spécifier les protections de signature, configurez les paramètres requis. Pour plus d’informations sur les signatures à considérer pour le blocage et sur la façon de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, reportez-vous à la sectionSignatures.

  8. Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.

  9. Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’Assistant Pare-feu d’application.

Modifier une configuration existante

Procédez comme suit pour modifier une configuration existante et des catégories de signatures existantes.

  1. Accédez à Sécurité > Pare-feu d’application.
  2. Dans le volet d’informations, sous Mise en route, cliquez sur Assistant Pare-feu d’application. L’Assistant s’ouvre.
  3. Dans l’écran Spécifier le nom, sélectionnez Modifier la configuration existante et, dans la liste déroulante Nom, choisissez la configuration de sécurité que vous avez créée lors de la nouvelle configuration, puis cliquez sur Suivant.
  4. Dans l’écran Spécifier la règle, cliquez sur Suivant pour conserver la valeur par défaut « true ». Si vous souhaitez modifier la règle, suivez les étapes décrites à la section Configurer une Expression de stratégie personnalisée.
  5. Dans l’écran Sélectionner les signatures, cliquez sur Sélectionner une signature existante. Dans le menu déroulant Signature existante, sélectionnez l’option appropriée, puis cliquez sur Suivant. L’écran de protection avancée des signatures apparaît. Remarque : Si vous sélectionnez une signature existante, le mode d’édition par défaut pour la signature protégée est avancé.
  6. Dans l’écran Spécifier les protections de signature, configurez les paramètres requis et cliquez sur Suivant. Pour plus d’informations sur les signatures à considérer pour le blocage et sur la façon de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, reportez-vous à la section Signatures.
  7. Dans l’écran Spécifier les protections profondes, configurez les paramètres et cliquez sur Suivant.
  8. Une fois que vous avez terminé, cliquez sur Terminer pour fermer l’Assistant Web App Firewall.

Créer une nouvelle configuration sans signatures

Procédez comme suit pour utiliser l’Assistant Pare-feu d’application pour ignorer l’écran Sélectionner les signatures et créer une nouvelle configuration avec uniquement le profil et les stratégies associées, mais sans signatures.

  1. Accédez à Sécurité > Pare-feu d’application.
  2. Dans le volet d’informations, sous Mise en route, cliquez sur Assistant Pare-feu d’application. L’Assistant s’ouvre.
  3. Dans l’écran Spécifier un nom, sélectionnez Créer une nouvelle configuration.
  4. Dans le champ Nom, tapez un nom, puis cliquez sur Suivant.
  5. Dans l’écran Spécifier une règle, cliquez à nouveau sur Next.
  6. Dans l’écran **Sélectionner les signatures**, cliquez sur Ignorer.
  7. Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.
  8. Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’Assistant Pare-feu d’application.

Configurer une expression de stratégie personnalisée

Procédez comme suit pour utiliser l’Assistant Pare-feu d’application pour créer une configuration de sécurité spécialisée afin de protéger uniquement le contenu spécifique. Dans ce cas, vous créez une nouvelle configuration de sécurité au lieu de modifier la configuration initiale. Ce type de configuration de sécurité nécessite une règle personnalisée, de sorte que la stratégie applique la configuration uniquement au trafic Web sélectionné.

  1. Accédez à Sécurité > Pare-feu d’application.
  2. Dans le volet d’informations, sous Mise en route, cliquez sur Assistant Pare-feu d’application.
  3. Dans l’écran Spécifier un nom, tapez un nom pour votre nouvelle configuration de sécurité dans la zone de texte Nom, sélectionnez le type de configuration de sécurité dans la liste déroulante Type, puis cliquez sur Suivant.
  4. Dans l’écran Spécifier une règle, entrez une règle qui correspond uniquement au contenu que vous souhaitez que cette application Web protège. Utilisez la liste déroulante Expressions fréquemment utilisées et l’éditeur d’expressions pour créer une expression personnalisée. Lorsque vous avez terminé, cliquez sur Suivant.
  5. Dans l’écran Sélectionner les signatures, sélectionnez le mode de modification, puis cliquez sur Suivant.
  6. Dans l’écran Spécifier les protections de signature, configurez les paramètres requis.
  7. Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.
  8. Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’Assistant Pare-feu d’application.