Citrix ADC

Paramètres de profil du pare-feu d’application Web

Vous trouverez ci-dessous les paramètres de profil que vous devez configurer sur l’appliance.

À l’invite de commandes, tapez :

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

Exemple :

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Où,

invalidPercentHandling. Configurez la méthode de gestion des noms et des valeurs codés en pourcentage.

Les paramètres disponibles fonctionnent comme suit :

asp_mode - Supprime et analyse le pourcentage non valide pour l’analyse. Exemple፦curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) est dépouillé et le reste du contenu est inspecté et une action est prise pour la vérification SQLInjection. secure_mode - Nous détectons la valeur codée de pourcentage non valide et l’ignorons. Exemple : -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) est détecté, les compteurs sont incrémentés et le contenu est transmis tel qu’il est au serveur. apache_mode - Ce mode fonctionne comme le mode sécurisé.Valeurs possibles : apache_mode, asp_mode, secure_mode Valeur par défaut : secure_mode

optimizePartialReqs. Lorsque OFF/ON (sans objet sécurisé), un dispositif Citrix ADC envoie la demande partielle au serveur principal. Cette réponse partielle a été renvoyée au client. OptimizePartialReqs est logique lorsque l’objet Safe est configuré. L’appliance envoie des demandes de réponse complète du serveur lorsqu’elle est désactivée, demande uniquement une réponse partielle lorsqu’elle est activée.

Les paramètres disponibles sont les suivants :

ON - Les requêtes partielles du client entraînent des requêtes partielles vers le serveur principal. OFF - Les requêtes partielles par le client sont remplacées par des requêtes complètes vers le serveur principal Valeurs possibles : ON, OFF Valeur par défaut : ON

URLDecodeRequestCookies. URL Decode demande les cookies avant de les soumettre à des vérifications de script SQL et inter-sites.

Valeurs possibles : ON, OFF Valeur par défaut : OFF

Limite du corps du poste de signature (octets). Limite la charge utile de la requête (en octets) inspectée pour les signatures avec l’emplacement spécifié comme ‘HTTP_POST_BODY’.

Valeur par défaut : 8096 Valeur minimale : 0 Valeur maximale : 4294967295

Limite du corps postérieur (octets). Limite la charge utile de la requête (en octets) inspectée par le pare-feu d’application Web.

Valeur par défaut : 20000000 Valeur minimale : 0 Valeur maximale : 10 Go

PostBodyLimitAction. PostBodyLimit respecte les paramètres d’erreur lorsque vous spécifiez la taille maximale du corps HTTP à autoriser. Pour respecter les paramètres d’erreur, vous devez configurer une ou plusieurs actions Post Body Limit. La configuration est également applicable pour les demandes où l’en-tête de codage de transfert est tronqué.

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Où, Bloquer - Cette action bloque la connexion qui viole le contrôle de sécurité et est basée sur la taille maximale du corps HTTP configuré (limite post-corps). L’option doit toujours être activée.

Journal - Consigner les violations de cette vérification de sécurité.

Statistiques - Génère des statistiques pour ce contrôle de sécurité.

InspectQueryContentTypes Inspectez les formulaires Web et les requêtes de requête pour les scripts SQL injectés et intersite pour les types de contenu suivants.

set appfw profile test_profile -inspectQueryContentTypes HTML XML JSON OTHER

Valeurs possibles : HTML, XML, JSON, Other

Par défaut, ce paramètre est défini comme « InspectQueryContentTypes : HTML JSON Other » pour les profils appfw de base et avancés.

Expression ErrorURL. URL utilisée par le Citrix Web App Firewall comme URL d’erreur. Longueur maximale : 2047.

Remarque :

Pour les violations de blocage dans une URL demandée, si l’URL d’erreur est similaire à l’URL de signature, l’appliance réinitialise la connexion.

Paramètres de profil du pare-feu d’application Web