Exportation et importation d’un profil de Web App Firewall

Vous pouvez répliquer toute la configuration d’un profil de Web App Firewall (y compris tous les objets liés, tels que l’objet d’erreur HTML, l’objet d’erreur XML, le schéma WSDL ou XML, les signatures, etc.) sur plusieurs appliances. Vous pouvez sélectionner un profil cible et exporter la configuration pour l’enregistrer dans le système de fichiers local de votre ordinateur, ou transférer la configuration archivée pour la stocker sur un serveur. De même, vous pouvez parcourir le système de fichiers local de votre ordinateur ou importer l’archive depuis le serveur pour sélectionner un profil précédemment exporté et l’importer dans votre appliance NetScaler.

L’option permettant d’exporter l’intégralité de la configuration du profil, puis de l’importer dans une autre appliance, peut s’avérer utile dans différents cas d’utilisation. Par exemple, vous pouvez configurer un profil de Web App Firewall dans une configuration de banc d’essai pour tester et valider qu’il fonctionne comme prévu. Une fois que vous êtes satisfait, vous pouvez exporter le profil et importer la configuration du profil vers vos appliances NetScaler de production. Cette fonctionnalité est également utile pour sauvegarder votre configuration. Vous pouvez exporter le profil avant d’apporter des modifications, de sorte que vous pouvez facilement restaurer la configuration à un état connu si nécessaire.

Remarque

Les profils de Web App Firewall exportés et archivés à partir d’une version ne peuvent pas être restaurés sur un système exécutant une version différente, car les modifications introduites dans les versions les plus récentes peuvent entraîner des problèmes de compatibilité. Si vous tentez de restaurer un profil archivé dans une version différente de celle à partir de laquelle il a été exporté, un message d’erreur est enregistré dans ns.log.

La fonctionnalité de profil d’exportation et d’importation est disponible dans l’interface graphique (GUI) et l’interface de ligne de commande (CLI). L’interface graphique est recommandée, car elle offre des options d’action faciles à utiliser. En cliquant sur un bouton, vous pouvez exporter ou importer toute la configuration d’un profil.

Exportation de profils de Web App Firewall avec l’interface de ligne de commande

Si vous utilisez l’interface de ligne de commande pour exporter un profil, vous devez archiver la configuration, puis l’exporter. Pour importer un profil, vous devez importer l’archive dans l’appliance NetScaler, puis exécuter la commande restore pour extraire la configuration. L’ensemble de commandes CLI suivant peut être utilisé pour exporter, importer et gérer les configurations de profils.

Commandes CLI pour exporter les archives :

  • archive appfw profile <name> <archivename> [-comment <string>]
  • export appfw archive <name> <target>

Commandes CLI pour importer des archives :

  • import appfw archive <src> <name> [-comment <string>]
  • restore appfw profile <archivename>

Commandes CLI pour gérer les archives :

  • show appfw archive
  • rm appfw archive <name>

L’exportation d’un profil à partir d’une appliance et l’importation vers une autre nécessite cinq étapes dans l’interface de ligne de commande. Les 3 premières étapes sont exécutées sur l’appliance source sur laquelle la configuration de profil est initialement créée, et les 2 étapes suivantes sont exécutées sur l’appliance cible sur laquelle la configuration de profil doit être répliquée.

Exporter le profil à partir de l’appliance NetScaler source :

Étape 1 : Créer une archive du profil configuré.

Étape 2 : Exportez l’archive vers le système de fichiers NetScaler.

Étape 3 : Utilisez un utilitaire de transfert de fichiers tel que scp pour transférer le fichier d’archive exporté à partir de l’appliance NetScaler A vers l’appliance NetScaler cible.

Importer le profil vers l’appliance NetScaler cible :

Étape 4 : Exécutez la commande import pour importer le fichier archivé. Vous pouvez importer l’archive à partir du système de fichiers local de NetScaler ou utiliser le protocole HTTP ou HTTPS pour importer l’archive à partir d’un serveur à l’aide de l’URL.

Étape 5 : Exécutez la commande restore pour restaurer la configuration du profil à partir de l’archive importée

Pour exporter un profil de Web App Firewall à l’aide de l’interface de ligne de commande :

Tout d’abord, archivez la configuration du profil, puis exportez l’archive vers un emplacement cible. À l’invite de commandes, tapez les commandes suivantes :

archive appfw profile <profileName> <archiveName>

où :

  • <profileName> est le nom du profil à archiver.
  • <archiveName> est le nom du fichier d’archive à créer.

L’exécution de la commande ci-dessus crée 2 instances du fichier d’archive. Un dans le dossier /var/tmp et un autre dans le dossier /var/archive/appfw.

export appfw archive <archiveName> <target>

où :

  • <archiveName> est le nom de l’archive à exporter. (Le même nom que dans la commande précédente.
  • <target> est un chemin de fichier commençant par local : comme préfixe, suivi de <archiveName>.

L’exécution de la commande export enregistre le fichier d’archive exporté sur le système de fichiers de votre appliance NetScaler dans le dossier /var/tmp.

Exemples :

> archive appfw profile test_pr archived_test_pr

> export appfw archive archived_test_pr local:dutA_test_pr

Après l’exécution des deux commandes ci-dessus, le dossier /var/tmp contient le fichier archived_test_pr et la copie exportée, DUTA_test_pr, qui sont de taille identique. À partir de l’interface de ligne de commande, vous pouvez passer dans le shell pour accéder au dossier afin de vérifier que ces fichiers sont présents.

Après avoir exporté le fichier d’archive, vous pouvez utiliser scp ou un autre utilitaire de transfert de fichiers de ce type pour transférer une copie du fichier d’archive de l’appliance NetScaler sur laquelle ils ont été créés vers votre appliance NetScaler cible.

Importation de profils de Web App Firewall à l’aide de l’interface de ligne de commande

Une fois le fichier archivé de l’appliance source vers l’appliance cible, vous êtes prêt à importer l’archive du profil, puis à exécuter la commande restore pour répliquer la configuration du profil sur l’appliance cible.

Connectez-vous à l’appliance cible. Passez dans le shell et le cd dans le dossier /var/tmp pour vérifier que la taille du fichier scp ‘d de cette appliance correspond à la taille du fichier archivé d’origine sur l’appliance source. Quittez le shell pour revenir à la ligne de commande.

Pour importer un profil à l’aide de l’interface de lignede commande :

À l’invite de commandes, tapez les commandes suivantes :

import appfw archive <src> <name> [-comment <string>]

  • <src> est l’emplacement du fichier d’archive après qu’il a été transféré à partir de l’appliance source sur laquelle il a été créé. Vous pouvez utiliser un système de fichiers local et un nom de fichier. Si vous avez placé l’archive sur un serveur, vous pouvez utiliser une URL pour importer le fichier archivé. Si le chemin d’accès ou le nom du fichier contient des espaces, placez l’URL entre guillemets droits.
  • <name> est le nom du fichier d’archive à importer.
  • <string> est une description facultative du but de l’archive.

restore appfw profile <archiveName>

Exemples :

A. Importer à partir d’un fichier local suivi de la restauration :

> import appfw archive local:dutA_test_pr dut2_test_pr

> restore appfw profile dut2_test_pr

B. Importer à partir de l’URL suivie de la restauration :

import appfw archive http://10.217.30.16/FFC/Profile_ImportExport/dutA_test_pr.tgz my_archive restore appfw profile my_archive

Cet exemple restaure le profil test_pr ainsi que tous les objets liés (tels que les signatures, la page d’erreur html, les règles de relaxation, etc.) sur l’appliance NetScaler cible.

Vous pouvez utiliser les commandes CLI suivantes pour accéder aux pages de manuel pour plus de détails.

  • man archive appfw profil
  • man export archive appfw
  • man import archive appfw
  • homme restaurer profil appfw
  • man show archive appfw
  • archive man rm appfw

Exportation et importation de profils de Web App Firewall à l’aide de l’interface graphique

L’interface graphique est plus facile à utiliser que l’interface de ligne de commande. L’utilitaire effectue à la fois les opérations d’archivage et d’exportation lorsque vous cliquez sur Exporter. De même, il exécute à la fois l’importation et la restauration lorsque vous cliquez sur Importer. L’interface graphique peut accéder au système de fichiers local de l’ordinateur à partir duquel vous accédez à l’utilitaire. Vous pouvez exporter une copie de l’archive et l’enregistrer sur votre ordinateur local. Vous pouvez ensuite importer cette copie directement dans l’appliance cible sans avoir à transférer manuellement le fichier d’archive d’une appliance à l’autre (s).

Pour exporter un profil de Web App Firewall à l’aide de l’interface graphique :

  1. Accédez à Configuration **> **Sécurité > Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez un profil à exporter. Cliquez sur Actions et sélectionnez Exporter pour télécharger et enregistrer une copie dans le système de fichiers local de votre ordinateur.

Pour importer un profil de Web App Firewall à l’aide de l’interface graphique :

  1. Accédez à Configuration > Sécurité > Web App Firewall > Profils.
  2. Dans le volet d’informations, cliquez sur Actions et sélectionnez Importer. Dans le volet Importer le profil du Web App Firewall, la zone de sélection Importer de* vous offre 2 options :

URL : vous pouvez choisir d’importer une archive en spécifiant une URL. Lorsque cette option est sélectionnée, vous devez indiquer un chemin absolu pour le fichier archivé dans la zone de saisie URL.

Fichier : Vous pouvez choisir d’importer une archive à partir du fichier local. Lorsque cette option est sélectionnée, un champ de sélection Fichier local s’affiche. Vous pouvez parcourir les fichiers locaux de votre ordinateur pour sélectionner le fichier d’archive cible.

Cliquez sur Créer pour importer l’archive spécifiée. L’exécution réussie de l’opération d’importation crée la configuration de profil sur l’appliance cible.

Résumé

  • Vous pouvez répliquer l’intégralité de la configuration (y compris tous les objets d’importation ainsi que les règles de relaxation configurées pour le profil) sur plusieurs appliances, sans devoir répéter les étapes de configuration, à l’aide des fonctionnalités d’exportation et d’importation des profils.
  • Les objets importés, tels que les signatures, WSDL, Schéma, page d’erreur, etc., sont inclus dans le fichier tar archivé et répliqués sur l’appliance cible.
  • Les types de champs personnalisés sont inclus dans le fichier tar archivé et répliqués sur l’appliance cible.
  • Les liaisons de stratégie du profil archivé ne sont pas répliquées lorsque la configuration est restaurée. Vous devez configurer la stratégie et la lier au profil après avoir importé le profil dans l’appliance.
  • Le nom du fichier d’archive peut avoir jusqu’à 31 caractères. Comme pour les noms de profils, un nom d’archive doit commencer par un caractère alphanumérique ou un trait de soulignement et contenir uniquement des caractères alphanumériques et des traits de soulignement (_), nombre (#), point (.), espace (), deux-points (:), arobase (@), égal à (=) ou tiret (-).
  • Les commentaires associés à l’archive doivent être suffisamment descriptifs pour indiquer le but de la configuration archivée. La longueur maximale autorisée pour un commentaire est de 255 caractères.
  • La commande « clear config —force basic » ne supprime pas les profils archivés.
  • La fonctionnalité de profil d’importation et d’exportation est prise en charge dans les déploiements haute disponibilité (HA).

Conseils de débogage

  • Surveillez le fichier /var/log/ns.log pendant l’exécution des commandes pour voir s’il y a des messages d’ERREUR.
  • Des journaux supplémentaires (_restore.log, remove.log, import.log) sont générés dans le dossier /var/tmp/. Ils peuvent aider à déboguer les problèmes pendant les opérations correspondantes. Lorsque ces journaux atteignent un Mo de taille, les messages de journal sont purgés pour réduire le fichier journal à un quart de la taille d’origine.
  • Si la commande d’importation échoue lorsque vous utilisez l’option URL au lieu du système de fichiers local, vérifiez que les paramètres du serveur de noms DNS et du routage sont correctement configurés.
  • Si vous utilisez le protocole HTTPS pour importer l’archive, la commande peut échouer si le serveur HTTPS nécessite une authentification de certificat client.