Liaison des stratégies de Web App Firewall

Après avoir configuré vos stratégies de Web App Firewall, vous les liez à Global ou à un point de liaison pour les mettre en œuvre. Après la liaison, toute demande ou réponse qui correspond à une stratégie de Web App Firewall est transformée par le profil associé à cette stratégie.

Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel entier positif. Dans le système d’exploitation Citrix ADC, les priorités de stratégie fonctionnent dans l’ordre inverse - plus le nombre est élevé, plus la priorité est faible.

Étant donné que la fonctionnalité de pare-feu d’application Web n’implémente que la première stratégie correspondant à une demande, et non les stratégies supplémentaires qu’elle pourrait également correspondre, la priorité de stratégie est importante pour obtenir les résultats que vous souhaitez obtenir. Si vous attribuez à votre première stratégie une priorité faible (par exemple 1000), vous configurez le Web App Firewall pour l’exécuter uniquement si d’autres stratégies avec une priorité supérieure ne correspondent pas à une demande. Si vous attribuez à votre première stratégie une priorité élevée (telle que 1), vous configurez le Web App Firewall pour qu’il l’exécute en premier et ignorez toutes les autres stratégies qui peuvent également correspondre. Vous pouvez vous laisser beaucoup de place pour ajouter d’autres stratégies dans n’importe quel ordre, sans avoir à réaffecter des priorités, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez vos stratégies.

Pour plus d’informations sur les stratégies de liaison sur l’appliance Citrix ADC, reportez-vous à la section Stratégies et expressions.

Pour lier une stratégie de Web App Firewall à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • bind appfw global <policyName>
  • bind appfw profile <profile_name> -crossSiteScripting data

Exemple

L’exemple suivant lie la stratégie nommée pl-blog et lui attribue une priorité de 10.

bind appfw global pl-blog 10
save ns config

Configurer les expressions de journal

La prise en charge de l’expression de journal pour la liaison du Web App Firewall est ajoutée pour consigner les informations d’en-tête HTTP lorsqu’une violation se produit.

L’expression de journal est liée au profil Application, et la liaison contient l’expression qui doit être évaluée et envoyée aux frameworks de journalisation en cas de violation.

L’enregistrement du journal des violations du Web App Firewall avec les informations d’en-tête http est enregistré. Vous pouvez spécifier une expression de journal personnalisée et cela aide à l’analyse et au diagnostic lorsque des violations sont générées pour le flux actuel (demande/réponse).

Exemple de configuration

bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers  headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"

Exemples de journaux

Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M  cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked

Remarque

  1. Seule la prise en charge des journaux d’audit est disponible. La prise en charge du flux de données et de la visibilité dans les informations de sécurité serait ajoutée dans les futures versions.

  2. Si des journaux d’audit sont générés, seuls 1024 octets de données peuvent être générés par message de journal.

  3. Si le flux de journaux est utilisé, les limites sont basées sur la taille maximale prise en charge des limitations de taille du protocole de journalisation du flux de journaux/ipfix. La taille maximale de prise en charge du flux de journaux est supérieure à 1024 octets.

Pour lier une stratégie Web App Firewall à l’aide de l’interface graphique

  1. Procédez comme suit :
    • Accédez à Sécurité > Web App Firewall et, dans le volet d’informations, cliquez sur Gestionnaire de stratégies de pare-feu des applications Web.
    • Accédez à Sécurité > Web App Firewall > Stratégies > Stratégiesde pare-feu, puis dans le volet d’informations, cliquez sur Gestionnaire de stratégies.
  2. Dans la boîte de dialogue Gestionnaire de stratégies de Web App Firewall, choisissez le point de liaison auquel vous souhaitez lier la stratégie dans la liste déroulante. Les choix sont les suivants :
    • Remplacer Global. Les stratégies liées à ce point de liaison traitent tout le trafic provenant de toutes les interfaces de l’appliance Citrix ADC et sont appliquées avant toute autre stratégie.
    • Serveur virtuel LB. Les stratégies liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné Serveur virtuel LB, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette stratégie.
    • Serveur virtuel CS. Les stratégies liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette stratégie.
    • Global par défaut. Les stratégies liées à ce point de liaison traitent tout le trafic provenant de toutes les interfaces de l’appliance Citrix ADC.
    • Étiquette de stratégie. Les stratégies liées à un trafic de traitement d’étiquette de stratégie que l’étiquette de stratégie leur achemine. L’étiquette de stratégie contrôle l’ordre dans lequel les stratégies sont appliquées à ce trafic.
    • Aucun. Ne liez pas la stratégie à un point de liaison.
  3. Cliquez sur Continue. Une liste des stratégies de Web App Firewall existantes s’affiche.
  4. Sélectionnez la stratégie que vous souhaitez lier en cliquant dessus.
  5. Effectuez des ajustements supplémentaires à la liaison.
    • Pour modifier la priorité de stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités de manière uniforme.
    • Pour modifier l’expression de stratégie, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la stratégie de Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
    • Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de colonne Goto Expression pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression.
    • Pour définir l’option Invoquer, double-cliquez sur le champ dans l’en-tête de colonne Invoquer pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression
  6. Répétez les étapes 3 à 6 pour ajouter toutes les stratégies de Web App Firewall supplémentaires que vous souhaitez lier globalement.
  7. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.