ADC

Liaison des stratégies de Web App Firewall

Après avoir configuré vos stratégies Web App Firewall, vous les liez à Global ou à un point de liaison pour les mettre en œuvre. Après la liaison, toute demande ou réponse correspondant à une stratégie du Web App Firewall est transformée par le profil associé à cette stratégie.

Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel nombre entier positif. Dans le système d’exploitation NetScaler, les priorités stratégies fonctionnent dans l’ordre inverse : plus le chiffre est élevé, plus la priorité est faible.

Étant donné que la fonctionnalité de pare-feu d’application Web n’implémente que la première stratégie correspondant à une demande, et non les stratégies supplémentaires qu’elle pourrait également correspondre, la priorité de stratégie est importante pour obtenir les résultats que vous souhaitez obtenir. Si vous attribuez à votre première stratégie une priorité faible (par exemple 1 000), vous configurez le Web App Firewall pour qu’il ne l’exécute que si les autres stratégies ayant une priorité plus élevée ne correspondent pas à une demande. Si vous attribuez une priorité élevée à votre première stratégie (par exemple 1), vous configurez le Web App Firewall pour qu’il l’exécute en premier et vous ignorez toute autre stratégie susceptible de correspondre. Vous pouvez vous laisser beaucoup de place pour ajouter d’autres stratégies dans n’importe quel ordre, sans avoir à réaffecter des priorités, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez vos stratégies.

Pour plus d’informations sur les stratégies de liaison sur l’appliance NetScaler, consultez« Stratégies et expressions ».

Pour lier une stratégie de Web App Firewall à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • bind appfw global <policyName>
  • bind appfw profile <profile_name> -crossSiteScripting data

Exemple

L’exemple suivant lie la stratégie nommée pl-blog et lui attribue une priorité de 10.

bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->

Configuration des expressions de journal

La prise en charge des expressions de journal pour la liaison de Web App Firewall est ajoutée pour consigner les informations d’en-tête HTTP en cas de violation.

L’expression du journal est liée au profil Web App Firewall. Cette expression de journal est évaluée et envoyée au framework de journalisation lorsqu’une violation se produit.

L’enregistrement du journal des violations du Web App Firewall contenant les informations d’en-tête HTTP est enregistré. Vous pouvez spécifier une expression de journal personnalisée qui facilite l’analyse et le diagnostic lorsque des violations sont générées pour le flux actuel (demande/réponse).

Exemple de configuration

bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers  headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"
<!--NeedCopy-->

Exemples de journaux

Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M  cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->

Remarque

  1. Seul le support Auditlog est disponible. La prise en charge du logstream et la visibilité dans Security Insight seront ajoutées dans les prochaines versions.

  2. Si des journaux d’audit sont générés, seuls 1024 octets de données peuvent être générés par message de journal.

  3. Si le streaming de journaux est utilisé, les limites sont basées sur la taille maximale prise en charge par les limites de taille du protocole Log Stream et IPFIX. La taille maximale de prise en charge pour le flux de journaux est supérieure à 1024 octets.

Pour lier une stratégie de Web App Firewall à l’aide de l’interface graphique

  1. Procédez comme suit :
    • Accédez à Sécurité > Web App Firewall, puis dans le volet de détails, cliquez sur Gestionnaire de stratégies Web App Firewall.
    • Accédez à Sécurité > Web App Firewall > Stratégies > Stratégiesde pare-feu, puis dans le volet de détails, cliquez surPolicy Manager.
  2. Dans la boîte de dialogue Web App Firewall Policy Manager, choisissez le point de liaison auquel vous souhaitez lier la stratégie dans la liste déroulante. Les choix sont les suivants :
    • Remplacer le trafic global : les stratégies liées à ce point de liaison traitent le trafic provenant de toutes les interfaces de l’appliance NetScaler et sont appliquées avant toute autre stratégie.
    • Serveur virtuel VPN : les stratégies liées à un serveur virtuel VPN sont appliquées au trafic traité ou à une application Web spécifique dans l’expression de stratégie. Après avoir sélectionné le serveur virtuel VPN, vous devez également sélectionner le serveur virtuel VPN spécifique auquel vous souhaitez lier cette stratégie. En liant une stratégie de sécurité au serveur virtuel VPN, vous pouvez protéger toutes les applications sous-jacentes.
    • Serveur virtuel LB. Les stratégies liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné LB Virtual Server, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette stratégie.
    • Serveur virtuel CS. Les stratégies liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette stratégie.
    • Global par défaut. Les stratégies liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance NetScaler.
    • Étiquette de stratégie. Les stratégies liées à une étiquette de stratégie traitent le trafic que l’étiquette de stratégie leur achemine. L’étiquette de stratégie contrôle l’ordre dans lequel les stratégies sont appliquées à ce trafic.
    • None. Ne liez la stratégie à aucun point de liaison.
  3. Cliquez sur Continuer. La liste des stratégies existantes du Web App Firewall s’affiche.
  4. Sélectionnez la stratégie que vous souhaitez lier en cliquant dessus.
  5. Apportez tous les ajustements supplémentaires à la reliure.
    • Pour modifier la priorité de la stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités de manière uniforme.
    • Pour modifier l’expression de stratégie, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la stratégie du Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
    • Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de la colonne Goto Expression pour afficher la liste déroulante dans laquelle vous pouvez choisir une expression.
    • Pour définir l’option Invoke, double-cliquez sur le champ dans l’en-tête de colonne Invoke pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression
  6. Répétez les étapes 3 à 6 pour ajouter les stratégies de Web App Firewall supplémentaires que vous souhaitez lier globalement.
  7. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.
Liaison des stratégies de Web App Firewall