Citrix ADC

Paramètres de profil du pare-feu d’application Web

Vous trouverez ci-dessous les paramètres de profil que vous devez configurer sur l’appliance.

À l’invite de commandes, tapez :

add appfw profile <name> [-invalidPercentHandling <invalidPercentHandling>] [-checkRequestHeaders ( ON | OFF )] [-URLDecodeRequestCookies ( ON | OFF )] [-optimizePartialReqs ( ON | OFF )] [-errorURL <expression>]

Exemple :

add appfw profile profile1 [-invalidPercentHandling secure_mode] [-checkRequestHeaders ON] [-URLDecodeRequestCookies OFF] [-optimizePartialReqs OFF]

Où,

invalidPercentHandling. Configurez la méthode de gestion des noms et des valeurs codés en pourcentage.

Les paramètres disponibles fonctionnent comme suit :

asp_mode - Supprime et analyse le pourcentage non valide pour l’analyse. Exemple፦ curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) est dépouillé et le reste du contenu est inspecté et une action est prise pour la vérification SQLInjection. secure_mode - Nous détectons la valeur codée de pourcentage non valide et l’ignorons. Exemple : -curl –v “http://<vip>/forms/login.html?field=sel%zzect -> Invalid percent encoded char(%zz) est détecté, les compteurs sont incrémentés et le contenu est transmis tel qu’il est au serveur. apache_mode - Ce mode fonctionne similaire au mode sécurisé. Valeurs possibles : apache_mode, asp_mode, secure_mode Valeur par défaut : secure_mode

optimizePartialReqs. Lorsque OFF/ON (sans objet sécurisé), une appliance Citrix ADC envoie la requête partielle au serveur principal. Cette réponse partielle renvoyée au client. OptimizePartialReqs est logique lorsque l’objet Safe est configuré. L’appliance envoie des demandes de réponse complète du serveur lorsqu’elle est désactivée, demande uniquement une réponse partielle lorsqu’elle est activée.

Les paramètres disponibles sont les suivants :

ON - Les requêtes partielles du client entraînent des requêtes partielles vers le serveur principal. OFF - Les requêtes partielles par le client sont remplacées par des requêtes complètes vers le serveur principal Valeurs possibles : ON, OFF Valeur par défaut : ON

URLDecodeRequestCookies. URL Decode demande les cookies avant de les soumettre à des vérifications de script SQL et inter-sites.

Valeurs possibles : ON, OFF Valeur par défaut : OFF

Limite du corps du poste de signature (octets). Limite la charge utile de requête (en octets) inspectée pour les signatures avec l’emplacement spécifié comme « HTTP_POST_BODY’.

Valeur par défaut : 8096 Valeur minimale : 0 Valeur maximale : 4294967295

Limite du corps postérieur (octets). Limite la charge utile de la requête (en octets) inspectée par le pare-feu d’application Web.

Valeur par défaut : 20000000 Valeur minimale : 0 Valeur maximale : 10 Go

PostBodyLimitAction. PostBodyLimit respecte les paramètres d’erreur lorsque vous spécifiez la taille maximale du corps HTTP à autoriser. Pour respecter les paramètres d’erreur, vous devez configurer une ou plusieurs actions Post Body Limit. La configuration est également applicable pour les requêtes où l’en-tête de codage de transfert est tronqué.

set appfw profile <profile_name> -PostBodyLimitAction block log stats

Où, Bloquer - Cette action bloque la connexion qui viole le contrôle de sécurité et elle est basée sur la taille maximale du corps HTTP configuré (limite de corps post-). L’option doit toujours être activée.

Journal - Consigner les violations de cette vérification de sécurité.

Stats - Générez des statistiques pour cette vérification de sécurité.

Remarque :

Le format du journal pour l’action de limite de corps après le corps est maintenant modifié pour suivre le format standard de journalisation d’audit, par exemple : ns.log.4.gz:Jun 25 1.1.1.1. <local0.info> 10.101.10.100 06/25/2020:10:10:28 GMT 0-PPE-0 : default APPFW APPFW_POSTBODYLIMIT 1506 0 : <Netscaler IP> 4234-PPE0 - testprof ><URL> Request post body length(<Post Body Length>) exceeds post body limit.

InspectQueryContentTypes Inspectez les requêtes de requête et les formulaires Web pour les scripts SQL injectés et intersites pour les types de contenu suivants.

set appfw profile p1 -inspectQueryContentTypes HTML XML JSON OTHER

Valeurs possibles : HTML, XML, JSON, Other

Par défaut, ce paramètre est défini comme « InspectQueryContentTypes : HTML JSON Other » pour les profils appfw de base et avancés.

Exemple pour inspecter le type de contenu de requête en XML :

> set appfw profile p1 -type XML
Warning: HTML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not HTML or JSON respectively.

Exemple pour inspecter le type de contenu de requête en HTML :

> set appfw profile p1 -type HTML
Warning: XML, JSON checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action” will not be applicable when profile type is not XML or JSON respectively
Done

Exemple pour inspecter le type de contenu de requête en tant que JSON :

> set appfw profile p1 -type JSON
Warning: HTML, XML checks except “InspectQueryContentTypes” & “Infer Content-Type XML Payload Action will not be applicable when profile type is not HTML or XML respectively
Done

Expression ErrorURL. URL que Citrix Web App Firewall utilise comme URL d’erreur. Longueur maximale : 2047.

Remarque :

Pour les violations de blocage dans une URL demandée, si l’URL d’erreur est similaire à l’URL de signature, l’appliance réinitialise la connexion.

Paramètres de profil du pare-feu d’application Web