Citrix ADC

Configuration des profils Web App Firewall

Pour configurer un profil Web App Firewall défini par l’utilisateur, configurez d’abord les contrôles de sécurité, appelés protections profondes ou protections avancées dans l’Assistant Web App Firewall. Certaines vérifications nécessitent une configuration si vous voulez les utiliser. D’autres ont des configurations par défaut qui sont sûres mais dont la portée est limitée ; vos sites Web peuvent avoir besoin ou bénéficier d’une configuration différente qui tire parti des fonctionnalités supplémentaires de certains contrôles de sécurité.

Après avoir configuré les contrôles de sécurité, vous pouvez également configurer d’autres paramètres qui contrôlent le comportement, non pas d’un seul contrôle de sécurité, mais de la fonctionnalité Web App Firewall. La configuration par défaut est suffisante pour protéger la plupart des sites Web, mais vous devez les consulter pour vous assurer qu’ils conviennent à vos sites Web protégés.

Remarque :

La longueur du nom du profil et toute la longueur du nom d’objet d’importation peuvent être définies à 127 caractères.

Pour plus d’informations sur les contrôles de sécurité Web App Firewall, voir Protections avancées.

Pour configurer un profil de Web App Firewall à l’aide de la ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set appfw profile <name> <arg1> [<arg2> ...]

    où :

    • <arg1> = un paramètre et toutes les options associées.
    • <arg2> = un second paramètre et toutes les options associées.
    • … = paramètres et options supplémentaires.

    Pour obtenir une description des paramètres à utiliser lors de la configuration de contrôles de sécurité spécifiques, voir Protections avancées.

  • save ns config

Exemple

L’exemple suivant montre comment activer le blocage pour les vérifications d’injection HTML SQL et de script intersite HTML dans un profil nommé pr-basic. Cette commande permet de bloquer ces actions tout en n’apportant aucune autre modification au profil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->

Règle de relaxation de liaison à un profil Web App Firewall

Lorsque le Web App Firewall détecte une violation, l’utilisateur a la possibilité de contourner l’action appliquée par le biais de règles de relaxation. La règle d’assouplissement est une exception appliquée à la violation de sécurité détectée. Par exemple, les règles de relaxation de l’URL de démarrage protègent contre la navigation forcée. Les vulnérabilités connues des serveurs Web exploitées par des pirates peuvent être détectées et bloquées en activant un ensemble de règles de refus d’URL par défaut. Les attaques lancées couramment, telles que Buffer Overflow, SQL ou cross-site scripting peuvent également être facilement détectées.

Pour lier des règles d’exemption ou d’assouplissement de sécurité à l’aide de

À l’invite de commandes, tapez :

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->

Pour lier les règles d’exemption ou de relaxation de sécurité à l’aide de l’interface

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la page Profil de Citrix Web App Firewall, cliquez sur Règles de relaxation dans la section Paramètres avancés .
  4. Dans la section Règles de relaxation, cliquez sur StartURL, puis sur Modifier.
  5. Dans la page Règles de relaxation de l’URL de démarrage, cliquez sur Ajouter.
  6. Dans la page Règle de relaxation d’URL de démarrage, définissez les paramètres suivants :

    1. Activé. Cochez la case pour activer la règle de relaxation
    2. URL de démarrage. Entrez la valeur d’expression régulière
    3. commentaires. Fournissez une brève description de la règle de relaxation.
  7. Cliquez sur Créer et Fermer.

Règle de relaxation Bind

Pour configurer un profil Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez le profil que vous souhaitez configurer, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Configurer le profil de Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les contrôles de sécurité.

    • Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à l’action.

    • Pour configurer les paramètres des contrôles de sécurité de la liste, cochez la case et cliquez sur Paramètres actifs.

    • Pour consulter les entrées de journal pour le contrôle de sécurité sélectionné, activez la case à cocher et cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer les contrôles de sécurité qui correspondent aux attaques, afin de pouvoir bloquer le trafic pour les contrôles de sécurité. Vous pouvez également utiliser ces informations pour déterminer les vérifications qui correspondent au trafic légitime, afin de pouvoir configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, consultez Journaux, statistiques et rapports.

    • Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.

  4. Dans l’onglet Paramètres, configurez les paramètres du profil.
    • Pour associer le profil à l’ensemble de signatures que vous avez précédemment créé et configuré, sous Paramètres communs, choisissez cet ensemble de signatures dans la liste déroulante Signatures .

      Remarque :

      Vous pouvez utiliser la barre de défilement située à droite de la boîte de dialogue pour faire défiler vers le bas et afficher la section Paramètres communs.

    • Pour configurer un objet d’erreur HTML ou XML, sélectionnez-le dans la liste déroulante appropriée.

      Remarque :

      Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importations. Pour plus d’informations sur l’importation d’objets d’erreur, voir Importations.

    • Pour configurer le type de contenu XML par défaut, tapez la chaîne de type de contenu directement dans les zones de texte Demande par défaut et réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés. »Plus….
  5. Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Apprentissage et configurez les paramètres d’apprentissage du profil, comme décrit dans Configuration et utilisation de la fonctionnalité d’apprentissage.
  6. Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils .

Ajout de champs confidentiels dans le profil WAF

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Sélectionnez un profil et cliquez sur Modifier.
  3. Dans les paramètres avancés, cliquez sur Champs confidentiels.
  4. Cliquez sur Ajouter.
  5. Entrez des valeurs pour les paramètres suivants :
    • Nom du champ de formulaire*
    • URL de l’action*
    • Commentaires A * indique un champ obligatoire