In Web App Firewall
In Citrix ADC 13.0
In Citrix ADC
In All products
Documentation produit
In Web App Firewall
In Citrix ADC 13.0
In Citrix ADC
In All products
Citrix ADC
Current Release 12.1 11.1
Voir PDF

Configuration des profils de Web App Firewall

January 21, 2021
Contribution de: 
C

Pour configurer un profil de Web App Firewall défini par l’utilisateur, configurez d’abord les vérifications de sécurité, appelées protections profondes ou protections avancées dans l’assistant Pare-feu Web App. Certaines vérifications nécessitent une configuration si vous voulez les utiliser du tout. D’autres ont des configurations par défaut sûres mais limitées dans leur portée ; vos sites Web peuvent avoir besoin ou bénéficier d’une configuration différente qui tire parti de plus de fonctionnalités de certains contrôles de sécurité.

Après avoir configuré les vérifications de sécurité, vous pouvez également configurer d’autres paramètres qui contrôlent le comportement, pas d’une seule vérification de sécurité, mais de la fonctionnalité Web App Firewall. La configuration par défaut est suffisante pour protéger la plupart des sites Web, mais vous devez les consulter pour vous assurer qu’ils conviennent à vos sites Web protégés.

Remarque :

La longueur du nom du profil et toute la longueur du nom d’objet d’importation peuvent être définies à 127 caractères.

Pour plus d’informations sur les vérifications de sécurité du Web App Firewall, reportez-vous à la section Protections avancées.

Pour configurer un profil de Web App Firewall à l’aide de la ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • set appfw profile <name> <arg1> [<arg2> ...]

    où :

    • <arg1> = un paramètre et toutes les options associées.
    • <arg2> = un deuxième paramètre et toutes les options associées.
    • … = paramètres et options supplémentaires.

    Pour obtenir une description des paramètres à utiliser lors de la configuration de contrôles de sécurité spécifiques, reportez-vous à la section Protections avancées.

  • save ns config

Exemple

L’exemple suivant montre comment activer le blocage pour les vérifications HTML SQL Injection et HTML Cross-Site Scripting dans un profil nommé pr-basic. Cette commande permet de bloquer ces actions sans apporter d’autres modifications au profil.

set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block

Lier la règle de relaxation à un profil Web App Firewall

Lorsque Web App Firewall détecte une violation, l’utilisateur a la possibilité de contourner l’action appliquée via des règles de relaxation. La règle de relaxation est une exception appliquée à la violation de sécurité détectée. Par exemple, les règles de relaxation d’URL de démarrage protègent contre la navigation forcée. Les vulnérabilités connues des serveurs Web exploitées par les pirates peuvent être détectées et bloquées en activant un ensemble de règles d’URL de refus par défaut. Les attaques lancées couramment, telles que Buffer Overflow, SQL ou cross-site scripting peuvent également être facilement détectées.

Pour lier des règles d’exemption de sécurité ou de relaxation à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

bind appfw profile <name> ((-startURL <expression> [-resourceId  <string>]) | -denyURL <expression> | (-fieldConsistency <string>   <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....

Pour lier des règles d’exemption de sécurité ou de relaxation à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez un profil et cliquez sur Modifier.
  3. Dans la page Profil du Citrix Web App Firewall, cliquez sur Règles de relaxation dans la section Paramètres avancés.
  4. Dans la section Règles de relaxation, cliquez sur StarTurl et cliquez sur Modifier.
  5. Dans la page Démarrer les règles de relaxation d’URL, cliquez sur Ajouter.

  6. Dans la page Démarrer la règle de relaxation d’URL, définissez les paramètres suivants :

    1. Activé. Cochez la case pour activer la règle de relaxation
    2. URL de démarrage. Entrez la valeur de l’expression régulière
    3. Commentaires. Fournissez une brève description de la règle de relaxation.
  7. Cliquez sur Créer et Fermer.

Règle de relaxation de liaison

Pour configurer un profil de Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez le profil à configurer, puis cliquez sur Modifier.

  3. Dans la boîte de dialogue Configurer le profil du Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les vérifications de sécurité.

    • Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à cette action.

    • Pour configurer d’autres paramètres pour les vérifications qui en ont, dans la liste, cliquez sur le chevron bleu à l’extrême droite de cette vérification. Dans la boîte de dialogue qui s’affiche, configurez les paramètres. Ceux-ci varient d’une vérification à l’autre.

      Vous pouvez également sélectionner une coche et, en bas de la boîte de dialogue, cliquez sur Ouvrir pour afficher la boîte de dialogue Configurer la relaxation ou Configurer la règle pour cette vérification. Ces boîtes de dialogue varient également d’une vérification à l’autre. La plupart d’entre eux comprennent un onglet Vérifications et un onglet Général. Si la vérification prend en charge les relaxations ou les règles définies par l’utilisateur, l’onglet Vérifications inclut un bouton Ajouter, qui ouvre une nouvelle boîte de dialogue, dans laquelle vous pouvez spécifier une relaxation ou une règle pour la vérification. (Un assouplissement est une règle permettant d’exempter le trafic spécifié du contrôle.) Si les relaxations ont déjà été configurées, vous pouvez en sélectionner une et cliquer sur Ouvrir pour la modifier.

    • Pour consulter les exceptions ou les règles apprises pour une vérification, sélectionnez la vérification, puis cliquez sur Violations apprises. Dans la boîte de dialogue Gérer les règles apprises, sélectionnez successivement chaque exception ou règle apprise.

      • Pour modifier l’exception ou la règle, puis l’ajouter à la liste, cliquez sur Modifier et déployer.
      • Pour accepter l’exception ou la règle sans modification, cliquez sur Déployer.
      • Pour supprimer l’exception ou la règle de la liste, cliquez sur Ignorer.

    • Pour actualiser la liste des exceptions ou des règles à réviser, cliquez sur Actualiser.

    • ouvrez le visualiseur d’apprentissage et utilisez-le pour consulter les règles apprises, cliquez sur Visualizer.

    • examinez les entrées du journal pour les connexions correspondant à une vérification, sélectionnez la vérification, puis cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer quelles vérifications correspondent aux attaques, de sorte que vous pouvez activer le blocage de ces vérifications. Vous pouvez également utiliser ces informations pour déterminer quelles vérifications correspondent au trafic légitime, de sorte que vous pouvez configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, reportez-vous à la section Journaux, statistiques et rapports.

    • Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.

  4. Sous l’onglet Paramètres, configurez les paramètres du profil.

    • Pour associer le profil à l’ensemble de signatures que vous avez précédemment créé et configuré, sous Paramètres communs, choisissez cet ensemble de signatures dans la liste déroulante Signatures.

      Remarque :

      Vous pouvez utiliser la barre de défilement située à droite de la boîte de dialogue pour afficher la section Paramètres communs.

    • Pour configurer un objet Erreur HTML ou XML, sélectionnez l’objet dans la liste déroulante appropriée.

      Remarque :

      Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importations. Pour plus d’informations sur l’importation d’objets d’erreur, reportez-vous à la section Importations.

    • Pour configurer le type de contenu XML par défaut, tapez la chaîne de type de contenu directement dans les zones de texte Demande par défaut et Réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés. »Plus….
  5. Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Formation et configurez les paramètres d’apprentissage pour le profil, comme décrit à la section Configuration et utilisation de la fonction d’apprentissage.
  6. Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils.
Configuration des profils de Web App Firewall
January 21, 2021
Contribution de: 
C
January 21, 2021
Contribution de: 
C

Dans cet article

Commentaires sur le site | Confidentialité et mentions légales | Préférences de cookies | Consent Settings
© 1999- Citrix Systems, Inc. All rights reserved.