Configuration des profils de Web App Firewall

Pour configurer un profil de Web App Firewall défini par l’utilisateur, configurez d’abord les vérifications de sécurité, appelées protections profondes ou protections avancées dans l’assistant Pare-feu Web App. Certaines vérifications nécessitent une configuration si vous voulez les utiliser du tout. D’autres ont des configurations par défaut qui sont sûres mais limitées dans leur portée ; vos sites Web peuvent avoir besoin ou bénéficier d’une configuration différente qui tire parti des fonctionnalités supplémentaires de certaines vérifications de sécurité.

Après avoir configuré les vérifications de sécurité, vous pouvez également configurer un certain nombre d’autres paramètres qui contrôlent le comportement, non pas d’une seule vérification de sécurité, mais de la fonctionnalité de Web App Firewall. La configuration par défaut est suffisante pour protéger la plupart des sites Web, mais vous devez les revoir pour vous assurer qu’ils conviennent parfaitement à vos sites Web protégés.

Pour plus d’informations sur les vérifications de sécurité du Web App Firewall, reportez-vous à la section Protections avancées.

Pour configurer un profil de Web App Firewall à l’aide de la ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set appfw profile <name> <arg1> [<arg2> ...]

    où :

    • <arg1> = un paramètre et toutes les options associées.
    • <arg2> = un deuxième paramètre et toutes les options associées.
    • … = paramètres et options supplémentaires.

    Pour obtenir une description des paramètres à utiliser lors de la configuration de contrôles de sécurité spécifiques, reportez-vous à la section Protections avancées.

  • save ns config

Exemple

L’exemple suivant montre comment activer le blocage pour les vérifications HTML SQL Injection et HTML Cross-Site Scripting dans un profil nommé pr-basic. Cette commande permet de bloquer ces actions sans apporter d’autres modifications au profil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

Pour configurer un profil de Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > Pare-feu d’application > Profils.
  2. Dans le volet d’informations, sélectionnez le profil à configurer, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Configurer le profil du Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les vérifications de sécurité.

    • Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à cette action.

    • Pour configurer d’autres paramètres pour les vérifications qui en ont, dans la liste, cliquez sur le chevron bleu à l’extrême droite de cette vérification. Dans la boîte de dialogue qui s’affiche, configurez les paramètres. Ceux-ci varient d’une vérification à l’autre.

      Vous pouvez également sélectionner une coche et, en bas de la boîte de dialogue, cliquez sur Ouvrir pour afficher la boîte de dialogue Configurer la relaxation ou Configurer la règle pour cette vérification. Ces boîtes de dialogue varient également d’une vérification à l’autre. La plupart d’entre eux comprennent un onglet Vérifications et un onglet Général. Si la vérification prend en charge les relaxations ou les règles définies par l’utilisateur, l’onglet Vérifications inclut un bouton Ajouter, qui ouvre une nouvelle boîte de dialogue, dans laquelle vous pouvez spécifier une relaxation ou une règle pour la vérification. (Un assouplissement est une règle permettant d’exempter le trafic spécifié du contrôle.) Si les relaxations ont déjà été configurées, vous pouvez en sélectionner une et cliquer sur Ouvrir pour la modifier.

    • Pour consulter les exceptions ou les règles apprises pour une vérification, sélectionnez la vérification, puis cliquez sur Violations apprises. Dans la boîte de dialogue Gérer les règles apprises, sélectionnez successivement chaque exception ou règle apprise.

      • Pour modifier l’exception ou la règle, puis l’ajouter à la liste, cliquez sur Modifier et déployer.
      • Pour accepter l’exception ou la règle sans modification, cliquez sur Déployer.
      • Pour supprimer l’exception ou la règle de la liste, cliquez sur Ignorer.
    • Pour actualiser la liste des exceptions ou des règles à réviser, cliquez sur Actualiser.

    • ouvrez le visualiseur d’apprentissage et utilisez-le pour consulter les règles apprises, cliquez sur Visualizer.

    • examinez les entrées du journal pour les connexions correspondant à une vérification, sélectionnez la vérification, puis cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer quelles vérifications correspondent aux attaques, de sorte que vous pouvez activer le blocage de ces vérifications. Vous pouvez également utiliser ces informations pour déterminer quelles vérifications correspondent au trafic légitime, de sorte que vous pouvez configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, reportez-vous à la section Journaux, statistiques et rapports.

    • Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.

  4. Sous l’onglet Paramètres, configurez les paramètres du profil.
    • Pour associer le profil à l’ensemble de signatures que vous avez précédemment créé et configuré, sous Paramètres communs, choisissez cet ensemble de signatures dans la liste déroulante Signatures.

      Remarque :

      Vous devrez peut-être utiliser la barre de défilement située à droite de la boîte de dialogue pour faire défiler la section Paramètres communs.

    • Pour configurer un objet Erreur HTML ou XML, sélectionnez l’objet dans la liste déroulante appropriée.

      Remarque :

      Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importations. Pour plus d’informations sur l’importation d’objets d’erreur, reportez-vous à la section Importations.

    • Pour configurer le type de contenu XML par défaut, tapez la chaîne de type de contenu directement dans les zones de texte Demande par défaut et Réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés. »Plus….
  5. Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Formation et configurez les paramètres d’apprentissage pour le profil, comme décrit à la section Configuration et utilisation de la fonction d’apprentissage.
  6. Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils.