Paramètres du moteur

Les paramètres du moteur affectent toutes les demandes et réponses traitées par le Web App Firewall. Ils comprennent les éléments suivants :

  • Cookie name—nom du cookie qui stocke l’ID de session Citrix ADC.
  • Session timeout—Période d’inactivité maximale autorisée. Si une session utilisateur n’affiche aucune activité pendant cette période, la session est interrompue et l’utilisateur doit la rétablir en visitant une page de démarrage désignée.
  • Cookie post-encrypt prefix—Chaîne qui précède la partie chiffrée de tous les cookies chiffrés.
  • Maximum session lifetime—durée maximale, en secondes, pendant laquelle une session est autorisée à rester active. Une fois cette période atteinte, la session est interrompue et l’utilisateur doit la rétablir en visitant une page de démarrage désignée. Ce paramètre ne peut pas être inférieur au délai d’expiration de la session. Pour désactiver ce paramètre, afin qu’il n’y ait pas de durée de vie maximale de session, définissez la valeur sur zéro (0).
  • Nom de l’en-tête de journalisation : nom de l’en-tête HTTP contenant l’adresse IP du client, pour la journalisation.
  • Profil non défini : profil appliqué lorsque l’action de stratégie correspondante est considérée comme non définie.
  • Profil par défaut : profil appliqué aux connexions qui ne correspondent pas à une stratégie.
  • Limite de taille d’importation : nombre total d’octets cumulé maximal de tous les fichiers importés dans l’appliance, y compris les signatures, les WSDL, les schémas, les pages d’erreurs HTML et XML. Au cours d’une importation, si la taille de l’objet importé entraîne le dépassement de la limite configurée des tailles totales cumulées de tous les fichiers importés, l’opération d’importation échoue et l’appliance affiche le message d’erreur suivant : ERREUR : Échec de l’importation - dépassement de la limite de taille totale configurée sur l’onglet objets importés.
  • Learn message rate limit : nombre maximal de demandes et de réponses par seconde que le moteur d’apprentissage doit traiter. Toute demande supplémentaire ou réponse supérieure à cette limite ne sera pas envoyée au moteur d’apprentissage.
  • Décodage d’entité : décodez les entités HTML lors de l’exécution des vérifications du Web App Firewall.
  • Journaliser la requête mal formée : permet d’activer la journalisation des requêtes HTTP mal formées.
  • Utiliser une clé secrète configurable : utilisez une clé secrète configurable pour les opérations du Web App Firewall.
  • Réinitialiser les données apprises : supprimez toutes les données apprises du Web App Firewall. Redémarre le processus d’apprentissage en recueillant de nouvelles données.

Deux paramètres, Réinitialiser les données apprises et Mise à jour automatique des signatures, se trouvent à différents endroits selon que vous utilisez la ligne de commande ou l’interface graphique pour configurer votre Web App Firewall. Lorsque vous utilisez la ligne de commande, vous configurez Réinitialiser les données apprises à l’aide de la commande reset appfw learningdata, qui ne prend aucun paramètre et n’a aucune autre fonction. Vous configurez la mise à jour automatique des signatures dans la commande set appfw settings : le paramètre -SignatureAutoUpdate active ou désactive la mise à jour automatique des signatures, et -SignatureURL configure l’URL qui héberge le fichier de signatures mis à jour.

Lorsque vous utilisez l’interface graphique, vous configurez Réinitialiser les données apprises dans Sécurité > **Web App Firewall > Paramètres du moteur ; le bouton **Réinitialiser les données apprises se trouve en bas de la boîte de dialogue. Vous configurez la mise à jour automatique des signatures pour chaque ensemble de signatures dans Sécurité > Web App Firewall > Signatures, en sélectionnant le fichier de signatures, en cliquant sur le bouton droit de la souris et en sélectionnant Paramètres de mise à jour automatique.

Normalement, les valeurs par défaut des paramètres du Web App Firewall sont correctes. Si les paramètres par défaut provoquent un conflit avec d’autres serveurs ou provoquent une déconnexion prématurée de vos utilisateurs, vous devrez peut-être les modifier.

La limite de session du Web App Firewall est configurable à l’aide de la commande suivante :

> set appfw settings -sessionLimit 500000

Done

Default value:100000   Max value:500000 per PE

Pour configurer les paramètres du moteur à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set appfw settings [-sessionCookieName <name>] [-sessionTimeout <positiveInteger> ] [-sessionLifetime <positiveInteger>][-clientIPLoggingHeader <headerName> ] [-undefaction <profileName>] [-defaultProfile <profileName>] [-importSizeLimit <positiveInteger>] [-logMalformedReq ( ON | OFF )] [-signatureAutoUpdate ( ON | OFF )] [-signatureUrl <expression>] [-cookiePostEncryptPrefix <string>] [-entityDecoding ( ON | OFF )] [-useConfigurableSecretKey ( ON | OFF )][-learnRateLimit <positiveInteger>]
  • save ns config

Exemple

set appfw settings -sessionCookieName citrix-appfw-id -sessionTimeout 3600
-sessionLifetime 14400 -clientIPLoggingHeader NS-AppFW-Client-IP -undefaction APPFW_RESET
-defaultProfile APPFW_RESET -importSizeLimit 4096
save ns config

Pour configurer les paramètres du moteur à l’aide de l’interface graphique

  1. Accédez à Sécurité > Web App Firewall
  2. Dans le volet d’informations, cliquez sur Modifier les paramètres du moteur.
  3. Dans la boîte de dialogue Paramètres du moteur de Web App Firewall, définissez les paramètres suivants :
    • Nom du cookie

    • Délai d’expiration de la session

    • Préfixe de chiffrement des messages de cookies

    • Durée de vie maximale de session

    • Nom de l’en-tête de journalisation

    • Profil non défini

    • Profil par défaut

    • Limite de taille d’importation

    • Apprendre les messages Limite

    • Décodage d’entité

    • Journaliser les demandes mal formées

    • Utiliser la clé secrète

    • Apprendre la limite de fréquence des messages

    • Mise à jour automatique des signatures

  4. Cliquez sur OK.