ADC

Configuration de Web App Firewall

Vous pouvez configurer le NetScaler Web App Firewall (Web App Firewall) à l’aide de l’une des méthodes suivantes :

  • Assistant de Web App Firewall. Une boîte de dialogue composée d’une série d’écrans qui vous guident tout au long du processus de configuration.
  • Modèle AppExpert de l’interface Web NetScaler. Un modèle AppExpert (un ensemble de paramètres de configuration) conçu pour fournir une protection appropriée aux sites Web. Ce modèle AppExpert contient les paramètres de configuration du Web App Firewall appropriés pour protéger de nombreux sites Web.
  • Interface graphique NetScaler. L’interface de configuration Web.
  • Interface de ligne de commande NetScaler. L’interface de configuration en ligne de commande.

Citrix vous recommande d’utiliser l’assistant Web App Firewall. La plupart des utilisateurs trouveront que c’est la méthode la plus simple pour configurer le Web App Firewall, et elle est conçue pour éviter les erreurs. Si vous possédez un nouveau NetScaler ou VPX que vous utiliserez principalement pour protéger les sites Web, vous trouverez peut-être que le modèle AppExpert de l’interface Web est une meilleure option car il fournit une bonne configuration par défaut, non seulement pour le Web App Firewall, mais pour l’ensemble de l’appliance. L’interface graphique et l’interface de ligne de commande sont toutes deux destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.

Assistant Web App Firewall

L’assistant Web App Firewall est une boîte de dialogue composée de plusieurs écrans qui vous invitent à configurer chaque partie d’une configuration simple. Le Web App Firewall crée ensuite les éléments de configuration appropriés à partir des informations que vous lui donnez. Il s’agit de la méthode la plus simple et, dans la plupart des cas, la meilleure pour configurer le Web App Firewall.

Pour utiliser l’assistant, connectez-vous à l’interface graphique avec le navigateur de votre choix. Lorsque la connexion est établie, vérifiez que le Web App Firewall est activé, puis exécutez l’assistant Web App Firewall, qui vous demande des informations de configuration. Vous n’êtes pas obligé de fournir toutes les informations demandées la première fois que vous utilisez l’assistant. Vous pouvez plutôt accepter les paramètres par défaut, effectuer quelques tâches de configuration relativement simples pour activer des fonctionnalités importantes, puis autoriser le Web App Firewall à collecter des informations importantes pour vous aider à terminer la configuration.

Par exemple, lorsque l’assistant vous invite à spécifier une règle pour sélectionner le trafic à traiter, vous pouvez accepter la règle par défaut, qui sélectionne tout le trafic. Lorsqu’il vous présente une liste de signatures, vous pouvez activer les catégories de signatures appropriées et activer la collecte de statistiques pour ces signatures. Pour cette configuration initiale, vous pouvez ignorer les protections avancées (contrôles de sécurité). L’assistant crée automatiquement la politique, l’objet de signature et le profil appropriés (collectivement, la configuration de sécurité), et lie la politique au niveau global. Le Web App Firewall commence alors à filtrer les connexions vers vos sites Web protégés, à enregistrer toutes les connexions qui correspondent à une ou plusieurs des signatures que vous avez activées et à collecter des statistiques sur les connexions auxquelles chaque signature correspond. Une fois que le Web App Firewall a traité une partie du trafic, vous pouvez réexécuter l’assistant et examiner les journaux et les statistiques pour voir si l’une des signatures que vous avez activées correspond au trafic légitime. Après avoir déterminé quelles signatures identifient le trafic que vous souhaitez bloquer, vous pouvez activer le blocage de ces signatures. Si votre site Web ou service Web n’est pas complexe, n’utilise pas SQL et n’a pas accès à des informations privées sensibles, cette configuration de sécurité de base fournira probablement une protection adéquate.

Vous pouvez avoir besoin d’une protection supplémentaire si, par exemple, votre site Web est dynamique. Le contenu qui utilise des scripts peut avoir besoin d’une protection contre les attaques par script intersites. Les contenus Web qui utilisent SQL, tels que les paniers d’achat, de nombreux blogs et la plupart des systèmes de gestion de contenu, peuvent avoir besoin d’une protection contre les attaques par injection SQL. Les sites Web et les services Web qui collectent des informations privées sensibles telles que des numéros de sécurité sociale ou de carte de crédit peuvent nécessiter une protection contre l’exposition involontaire de ces informations. Certains types de logiciels de serveur Web ou de serveur XML peuvent nécessiter une protection contre des types d’attaques adaptés à ces logiciels. Il faut également tenir compte du fait que des éléments spécifiques de vos sites Web ou services Web peuvent nécessiter une protection différente de celle d’autres éléments. L’examen des journaux et des statistiques du Web App Firewall peut vous aider à identifier les protections supplémentaires dont vous pourriez avoir besoin.

Après avoir décidé quelles protections avancées sont nécessaires pour vos sites Web et services Web, vous pouvez exécuter à nouveau l’assistant pour configurer ces protections. Certains contrôles de sécurité nécessitent que vous saisissiez des exceptions (assouplissements) pour empêcher le contrôle de bloquer le trafic légitime. Vous pouvez le faire manuellement, mais il est généralement plus facile d’activer la fonction d’apprentissage adaptatif et de lui permettre de recommander la relaxation nécessaire. Vous pouvez utiliser l’assistant autant de fois que nécessaire pour améliorer votre configuration de sécurité de base et/ou créer des configurations de sécurité supplémentaires.

L’assistant automatise certaines tâches que vous devriez effectuer manuellement si vous ne l’utilisiez pas. Il crée automatiquement une politique, un objet de signature et un profil, et leur attribue le nom que vous avez indiqué lorsque vous avez été invité à entrer le nom de votre configuration. L’assistant ajoute également vos paramètres de protection avancés au profil, lie l’objet de signatures au profil, associe le profil à la politique et met la politique en vigueur en la liant à Global.

Certaines tâches ne peuvent pas être effectuées dans l’assistant. Vous ne pouvez pas utiliser l’assistant pour lier une politique à un point de liaison autre que Global. Si vous souhaitez que le profil s’applique uniquement à une partie spécifique de votre configuration, vous devez configurer manuellement la liaison. Vous ne pouvez pas configurer les paramètres du moteur ni certaines autres options de configuration globale dans l’assistant. Bien que vous puissiez configurer l’un des paramètres de protection avancés de l’Assistant, si vous souhaitez modifier un paramètre spécifique dans une seule vérification de sécurité, il peut être plus facile de le faire sur les écrans de configuration manuelle de l’interface graphique.

Pour plus d’informations sur l’utilisation de l’assistant Web App Firewall Wizard, consultez l’assistant Web App Firewall Wizard.

Modèle AppExpert de l’interface Web NetScaler

Les modèles AppExpert constituent une approche différente et plus simple de la configuration et de la gestion d’applications d’entreprise complexes. L’affichage d’AppExpert dans l’interface graphique se compose d’un tableau. Les applications sont répertoriées dans la colonne la plus à gauche, et les fonctionnalités NetScaler applicables à cette application apparaissent chacune dans sa propre colonne à droite. (Dans l’interface AppExpert, les fonctionnalités associées à une application sont appelées unités d’application.) Dans l’interface AppExpert, vous configurez le trafic intéressant pour chaque application et activez les règles de compression, de mise en cache, de réécriture, de filtrage, de répondeur et de Web App Firewall, au lieu d’avoir à configurer chaque fonctionnalité individuellement.

Le modèle AppExpert Interface Web contient des règles pour les signatures de Web App Firewall et les vérifications de sécurité suivantes :

Pour plus d’informations sur l’installation et l’utilisation d’un modèle AppExpert, consultez Applications et modèles AppExpert.

L’interface graphique

L’interface graphique est une interface Web qui permet d’accéder à toutes les options de configuration de la fonctionnalité Web App Firewall, y compris des options de configuration et de gestion avancées qui ne sont disponibles dans aucun autre outil ou interface de configuration. Plus précisément, de nombreuses options de signature avancées ne peuvent être configurées que dans l’interface graphique. Vous pouvez consulter les recommandations générées par la fonctionnalité d’apprentissage uniquement dans l’interface graphique. Vous pouvez lier des stratégies à un point de liaison autre que Global uniquement dans l’interface graphique.

Pour obtenir une description de l’interface graphique, reportez-vous à la section Interfaces de configuration du Web App Firewall. Pour plus d’informations sur l’utilisation de l’interface graphique pour configurer le Web App Firewall, voir Configuration manuelle à l’aide de l’interface graphique.

Pour obtenir des instructions sur la configuration du Web App Firewall à l’aide de l’interface graphique, voir Configuration manuelle à l’aide de l’interface graphique. Pour plus d’informations sur l’interface graphique de citrix-adc, reportez-vous à la section Interfaces de configuration du Web App Firewall.

L’interface de ligne de commande NetScaler

L’interface de ligne de commande NetScaler est un shell UNIX modifié basé sur le shell bash de FreeBSD. Pour configurer le Web App Firewall à partir de l’interface de ligne de commande, vous tapez des commandes à l’invite et vous appuyez sur la touche Entrée, comme vous le faites avec n’importe quel autre shell Unix. Vous pouvez configurer la plupart des paramètres et options du Web App Firewall à l’aide de la ligne de commande NetScaler. Les exceptions sont la fonctionnalité de signatures, dont la plupart des options peuvent être configurées uniquement à l’aide de l’interface graphique ou de l’assistant de Web App Firewall, et la fonctionnalité d’apprentissage, dont les recommandations ne peuvent être examinées que dans l’interface graphique.

Pour obtenir des instructions sur la configuration du Web App Firewall à l’aide de la ligne de commande NetScaler, voir Configuration manuelle à l’aide de l’interface de ligne de commande.

Configuration de Web App Firewall