Documentation produit
Protection des applications Web et des API Citrix
Voir PDF

Configuration de la stratégie

June 22, 2022
Contributeur: 
C

Avant de configurer des stratégies de Web Application Firewall (WAF), vous devez d’abord créer une stratégie WAF.

Création d’une stratégie WAF

  1. Dans le panneau de navigation de gauche, cliquez sur Configuration.
  2. Sélectionnez Policies dans la liste des fonctionnalités disponibles.
  3. Cliquez sur le bouton Créer une stratégie.
  4. Indiquez un nom de stratégie, puis assurez-vous de sélectionner un profil WAF.
  5. Cochez la case pour appliquer le profil WAF à la stratégie.
    1. Vous pouvez également activer l’utilisation du séparateur de champs point-virgule dans les requêtes URL et les corps de formulaire Post, qui indique simplement qu’un point-virgule (;) sépare plusieurs champs.
  6. La section Contre-mesures fournit une liste de types et de méthodes de protection courants parmi lesquels les utilisateurs peuvent choisir. Développez chaque mesure de protection contre les robots pour configurer les valeurs requises. Chaque mesure de protection contre les bots peut être définie sur l’un des statuts suivants.
    1. Bypass/None — Aucune action ne sera entreprise.
    2. Bloquer — Une fois la limite de seuil atteinte, le trafic en infraction sera bloqué.
    3. Journal — Une ou plusieurs demandes ou violations ne seront pas bloquées, mais les détails seront enregistrés pour examen.
    4. Bloquer et consigner — Une ou plusieurs demandes sont bloquées et les détails sont stockés.
  7. Certaines contre-mesures proposent des règles d’apprentissage et de relaxation.
    1. Règles de relaxation — Vous pouvez saisir manuellement les valeurs qui autorisent le trafic correspondant aux critères. Si Learning a été activé, vous pouvez cliquer sur le signe + (plus) d’une entrée pour l’appliquer directement aux règles de relaxation.
    2. Apprentissage — L’apprentissage doit être activé pour chaque mesure de protection contre les bots avant que les données puissent commencer à être capturées. Une fois que le trafic est activement surveillé, une liste des règles bloquées sera renvoyée que vous pourrez vérifier pour en vérifier l’exactitude.
  8. Pour configurer les règles de relaxation, cliquez sur Ajouter, puis complétez les champs qui apparaissent dans la fenêtre contextuelle.
  9. Cliquez sur Commit.
    1. Nom : entrez un nom pour la règle de relaxation configurée.
    2. Activé — Réglez-le sur ON ou OFF.
    3. Is Name Regex : définissez cette option sur ON ou OFF.
    4. URL — Indiquez l’URL autorisée.
    5. Emplacement — Sélectionnez dans le menu déroulant
      1. Cookie
      2. Champ de formulaire,
      3. En-tête.
  10. Type de valeur : sélectionnez 1 dans le menu déroulant. Mot-clé 1. Corde spéciale, 1. omble chevalier.
    1. L’expression de valeur Regex est-elle définie sur ON ou OFF ?
    2. Expression de valeur — Fournissez l’expression de valeur pour la règle.
  11. Pour activer l’apprentissage, sélectionnez l’option ON/OFF correspondant à la configuration souhaitée.
  12. Cliquez sur Enregistrer.

Configuration des stratégies de répondeur

La section Responder Policies offre plus de flexibilité aux clients, mais nécessite une connaissance plus détaillée et approfondie de vos configurations de trafic pour pouvoir les utiliser et les intégrer correctement. Toutefois, lorsqu’elles sont utilisées correctement, les stratégies de répondeur peuvent inspecter tous les champs (valeurs) et opérandes, puis exécuter une action sélectionnée.

  1. Dans l’écran Configuration des stratégies, sélectionnez l’onglet Stratégies de répondeur.
  2. Cliquez sur le bouton Démarrer pour ajouter une stratégie de répondeur.
  3. Donnez un nom à la stratégie.
  4. Sélectionnez le type d’action dans le menu déroulant.
    1. Drop
    2. Journal
    3. Rediriger vers
    4. Répondez avec
  5. Le champ Réponse sera déterminé par l’action que vous avez sélectionnée.
    1. Lâchez. La réponse est N/A car le trafic est abandonné.
    2. Bûche. La réponse est N/A car le trafic est stocké dans votre fichier journal.
    3. Rediriger vers. Indiquez l’URL à rediriger. L’URL doit commencer par une barre oblique inverse (/).
    4. Répondez avec. Fournissez le texte à afficher pour la réponse.
  6. Sélectionnez la flèche en regard de la section Correspondances pour configurer les spécifications exactes de votre stratégie. Renseignez les champs suivants
    1. Sur le terrain. Sélectionnez le type de champ dans la liste déroulante des options.
    2. Opérande. Sélectionnez le type d’opérande pour le champ dans le menu déroulant.
    3. Valeur. Indiquez la valeur associée à la combinaison Champ et opérande.
    4. Pour sélectionner d’autres critères de correspondance, cliquez sur l’icône Plus.
  7. Pour ajouter d’autres stratégies de répondeur, cliquez sur l’icône Plus. Cela augmente le numéro de stratégie du répondeur dans le coin supérieur gauche de chaque stratégie configurée. De plus, si vous utilisez plusieurs règles, toutes les règles doivent réussir/correspondre avant que l’action associée puisse être effectuée.
  8. Cliquez sur Enregistrer.

Contrôles réseau

La section Contrôles réseau de la stratégie permet le blocage géographique (GEO) du trafic par type de pays. Si toutefois vous souhaitez bloquer l’ensemble d’un pays, mais autoriser le passage d’une adresse IP spécifique, vous pouvez configurer les contrôles réseau pour ce faire. Cliquez sur le bouton Ajouter pour indiquer si une adresse IP/CIDR doit être bloquée ou autorisée. Cliquez sur le bouton Commit lorsque vous avez terminé.

La section Contrôles réseau de la stratégie permet le blocage géographique (GEO) du trafic par type de pays. Si toutefois vous souhaitez bloquer un pays mais autoriser le passage d’une adresse IP spécifique, vous pouvez configurer les contrôles réseau pour ce faire.

  1. Dans l’écran Configuration des stratégies, sélectionnez l’onglet Contrôles réseau.
  2. Cliquez sur le bouton Ajouter pour configurer une adresse IP que vous souhaitez bloquer ou autoriser
  3. Fournissez une adresse IP, puis sélectionnez Non bloqué (autoriser le passage de l’adresse IP) ou Bloqué (empêcher tout le trafic provenant de l’adresse IP). Cliquez sur le bouton Commit lorsque vous avez terminé
  4. Pour sélectionner un pays entier dont vous souhaitez bloquer le trafic, cliquez sur dans le menu déroulant Pays bloqués. Sélectionnez tous les pays dont vous souhaitez bloquer le trafic. Cliquez en dehors du menu déroulant lorsque vous avez terminé vos sélections
  5. Pour autoriser la liste d’une adresse IP d’un pays bloqué, sélectionnez d’abord le pays à bloquer, puis ajoutez l’adresse IP de ce pays à autoriser, puis sélectionnez l’option Non bloqué. L’action Liste verte se produit avant l’application d’une action de blocage.
  6. Cliquez sur Enregistrer.

Seuil d’alerte

La section Seuils d’alerte vous permet de configurer une valeur de seuil qui, une fois atteinte, enverra des alertes pour les violations survenant pour une règle configurée. Pour configurer un seuil d’alerte, cliquez sur le bouton Ajouter . Sélectionnez la Dimension dans le menu déroulant, puis configurez les champs correspondants.

Pour plus de précision, les alertes ne seront pas envoyées tant que le nombre d’occurrences n’aura pas été dépassé dans le délai spécifié. Par exemple, si le taux d’occurrence était de 3 et que la période était de 60 secondes, les alertes ne seraient pas envoyées avant qu’une quatrième violation ne se produise dans le délai de 60 secondes.

Une fenêtre d’aide contextuelle apparaît avec une explication de la dimension sélectionnée dans le menu déroulant.

La section Seuil d’alerte vous permet de définir un seuil qui doit être atteint avant l’envoi d’alertes pour les violations pertinentes par rapport aux règles que vous avez configurées. Les seuils d’alerte sont définis par dimension, une clé et un nombre ou un montant désigné. Les alertes de seuil peuvent être synchronisées avec SLACK, avec un lien fourni directement vers la page d’alerte du portail, et envoyées sous forme de courrier électronique. Les notifications d’alerte seront également affichées sur le portail de l’interface utilisateur sous l’icône en forme de cloche (notifications). Il est important de noter que les seuils d’alerte sont également définis dans la section Profil WAF, par mesure des techniques de protection des robots.

  1. Dans l’écran Configuration des stratégies, sélectionnez l’onglet Seuils d’alerte.
  2. Cliquez sur Ajouter.

  3. Sélectionnez la dimension dans la liste des options du menu déroulant. Chaque sélection de dimension fournit une brève explication en haut de la fenêtre contextuelle.

    1. D’autres champs sont déterminés par le type de dimension que vous sélectionnez.
  4. Renseignez tous les champs supplémentaires qui apparaissent en fonction du type de dimension sélectionné.
  5. Sélectionnez le nombre d’occurrences. Cela détermine la limite de seuil qui doit être atteinte pour qu’une violation se produise et qu’une notification soit envoyée.
  6. Le délai par défaut reste à 60 secondes.
  7. Cliquez sur le bouton Commit lorsque vous avez fini de personnaliser le seuil de sécurité de l’application.
  8. Cliquez sur le bouton Enregistrer lorsque vous avez terminé d’ajouter des seuils d’alerte

Des sources fiables

La section Sources fiables permet de configurer une liste d’adresses IP pouvant être utilisées de manière fiable pour l’apprentissage des données de trafic et générer des recommandations pour la relaxation. Si les sources fiables ne sont pas configurées, le trafic provenant de toutes les sources sera utilisé pour l’apprentissage et ne fournira pas de recommandations appropriées pour la relaxation.

  1. Cliquez sur Ajouter pour configurer une nouvelle source fiable. Sélectionnez si la source de confiance doit être activée ou non, puis fournissez l’adresse IP/CIDR. Le champ Description est un champ facultatif qui peut être rempli à l’aide de texte libre.
  2. Cliquez sur Commit lorsque vous avez terminé.
  3. Cliquez sur Enregistrer.

Actifs

L’onglet Actifs affiche tous les actifs auxquels cette stratégie est actuellement affectée. Si des ressources sont associées, vous pouvez les supprimer, ce qui entraînera un processus de provisionnement dans lequel les règles et les configurations peuvent être temporairement désactivées.

Si aucun actif n’est associé à votre police, le menu déroulant Actifs associés affiche « 0 sélectionné ». Sélectionnez un actif à associer à votre police.

Pour supprimer un actif associé, survolez le menu déroulant et cliquez sur le bouton Moins en regard de l’actif que vous souhaitez supprimer, ou cliquez sur dans le menu déroulant et cliquez sur un actif en surbrillance pour le supprimer.

mesures techniques de protection contre les robots

La section Contre-mesures fournit une liste de types et de méthodes de protection courants parmi lesquels les utilisateurs peuvent choisir.

  1. Développez chaque mesure de protection contre les robots pour configurer les valeurs requises. Chaque mesure de protection contre les bots peut être définie sur l’un des statuts suivants.

    1. Bypass/None : aucune action n’est entreprise.
    2. Bloquer — Une fois la limite de seuil atteinte, le trafic en infraction est bloqué.
    3. Journal — Une ou plusieurs demandes ou violations ne sont pas bloquées, mais les détails sont enregistrés pour examen.
    4. Bloquer et consigner — Une ou plusieurs demandes sont bloquées et les détails sont enregistrés.

  2. Certaines contre-mesures proposent des règles d’apprentissage et de relaxation.

    1. Règles de relaxation — Vous pouvez saisir manuellement les valeurs qui autorisent le trafic correspondant aux critères. Si l’apprentissage a été activé, vous pouvez cliquer sur l’icône + (plus) en regard d’une entrée pour l’appliquer directement aux règles de relaxation.
    2. Apprentissage — L’apprentissage doit être activé pour chaque mesure de protection contre les bots avant que les données puissent commencer à être capturées. Une fois que le trafic est activement surveillé, une liste des règles bloquées sera renvoyée que vous pourrez vérifier pour en vérifier l’exactitude.
  3. Pour configurer les règles de relaxation, cliquez sur le bouton Ajouter, puis complétez les champs qui apparaissent dans la fenêtre contextuelle. Cliquez sur Commit une fois terminé.
    1. Nom : entrez un nom pour la règle de relaxation configurée.
    2. Activé — Réglez-le sur ON ou OFF.
    3. Is Name Regex : définissez cette option sur ON ou OFF.
    4. URL — Indiquez l’URL autorisée.
    5. Emplacement — Sélectionnez dans le menu déroulant
      1. Cookie
      2. Champ de formulaire,
      3. En-tête.
    6. Type de valeur — Sélectionnez dans le menu déroulant soit
      1. Mot clé
      2. String spécial,
      3. omble chevalier.
    7. Is Value Expression Regex — Définie sur ON ou OFF
    8. Expression de valeur — Fournissez l’expression de valeur pour la règle.
  4. Pour activer l’apprentissage, sélectionnez l’option OFF/ON correspondant à la configuration souhaitée.
  5. Cliquez sur Enregistrer.

Signatures

La section Signatures vous permet de définir des règles spécifiques et configurables afin de simplifier la tâche de protection de vos sites Web contre les attaques connues. Une signature représente un modèle qui est un composant d’une attaque connue contre un système d’exploitation, un serveur Web, un site Web, un service Web XML ou une autre ressource.

Signatures standard

La section Signatures standard affiche un ensemble préconfiguré de mots clés PCRE (Expressions régulières compatibles Perl) littéraux et de chaînes spéciales utilisées pour se protéger contre les vulnérabilités Web courantes. Ces signatures configurées ne peuvent pas être modifiées car il s’agit de nos configurations par défaut.

  1. Sélectionnez l’onglet Signatures, puis sélectionnez l’option Signatures standard.
  2. La section Signatures configurées affiche toutes les signatures qui ont été sélectionnées ou ajoutées à la stratégie de profil WAF que vous êtes en train de consulter ou de créer.
    1. Pour une nouvelle stratégie, cette section est vide.
  3. Dans la section Pool de signatures, vous pouvez voir la liste des signatures préconfigurées que nous avons créées pour vous. Vous pouvez utiliser les flèches ou les options de numéro de page pour afficher davantage de signatures, ou utiliser l’option Filtre si vous recherchez une signature spécifique.
    1. L’option de filtre recherche vos critères dans chaque champ (ID, catégorie, description, références) et renvoie les résultats en conséquence.
  4. Cliquez sur l’ icône Afficher pour voir un aperçu simplifié du pool de signatures, ou cliquez sur la section Ajouter pour ajouter le pool de signatures à vos signatures configurées.
  5. Cliquez sur le bouton Enregistrer une fois que vous avez ajouté les signatures souhaitées

Signatures personnalisées

La section Signatures personnalisées vous permet de créer des signatures personnalisées pour vous protéger contre les attaques et les vulnérabilités.

  1. Sélectionnez Signatures personnalisées.
  2. Cliquez sur Ajouter.
  3. Sélectionnez le type d’action pour la signature.
    1. Bloquer et enregistrer
    2. Journal
    3. Aucun
  4. Indiquez le type de catégorie pour la signature.
  5. Fournissez une description pour la signature personnalisée
  6. Vous pouvez éventuellement configurer les règles de demande et/ou les règles de réponse.
    1. Les règles de demande inspectent uniquement la demande et les règles de réponse n’inspectent que la réponse.
  7. Pour les règles de demande, cliquez sur le bouton Démarrer, puis sélectionnez le type de zone dans le menu déroulant. Cela détermine les champs supplémentaires que vous devrez remplir.
    1. Vous pouvez cliquer sur l’icône Plus pour ajouter une autre ligne ou entrée, ou sur l’icône Moins pour supprimer la ligne sélectionnée
  8. Pour les règles de réponse, cliquez sur Démarrer, puis sélectionnez le type de zone dans le menu déroulant. Cela détermine les champs supplémentaires que vous devrez remplir.
    1. Vous pouvez cliquer sur l’icône Plus pour ajouter une autre ligne ou entrée, ou sur l’icône Moins pour supprimer la ligne sélectionnée.
  9. Pour annuler la création de règles de demande ou de réponse, cliquez sur Autoriser X en regard de Règles de réponse pour les supprimer de votre signature personnalisée.
  10. Cliquez sur le bouton Commit lorsque vous avez fini de configurer votre signature.
  11. Cliquez sur le bouton Enregistrer lorsque vous avez terminé de configurer votre stratégie de profil WAF

Associer le profil CWAAP à un actif

Une fois que vous avez créé votre profil CWAAP, l’étape suivante consiste à l’appliquer à un actif afin que votre configuration puisse entrer en vigueur.

  1. Dans la section Configuration du menu de navigation de gauche, sélectionnez Ressources.
  2. Sélectionnez l’icône en forme de crayon correspondant à la ressource à laquelle vous souhaitez ajouter la stratégie. Si aucun actif n’a déjà été créé, veuillez consulter nos guides sur la façon de créer un actif.
  3. Sélectionnez l’onglet Stratégies.
  4. Dans le menu déroulant, sélectionnez le nom de la stratégie que vous venez de créer. a. Si le nom de la stratégie n’apparaît pas dans la liste, actualisez et réessayez car la période de provisionnement peut prendre quelques minutes.
  5. Cliquez sur le bouton Enregistrer.

Une fois que votre stratégie CWAAP a été appliquée à une stratégie, veuillez prévoir quelques minutes pour que le provisionnement ait lieu.

Modifier une stratégie WAF

Une fois qu’une stratégie a été créée, vous pouvez facilement modifier n’importe laquelle des configurations existantes. Toutefois, les modifications apportées à une stratégie qui a été associée à un actif entraînent une période de provisionnement qui peut avoir un impact temporaire sur la configuration de votre trafic.

  1. Dans la section Configuration du menu de navigation de gauche, sélectionnez Stratégies.
  2. Cliquez sur l’icône en forme de crayon à côté de la stratégie que vous souhaitez modifier.
  3. Naviguez dans chacun des onglets Configuration de la stratégie pour apporter des modifications, puis cliquez sur le bouton Enregistrer après avoir apporté des modifications sur tous les onglets.

Supprimer une stratégie WAF

Si vous devez supprimer une stratégie CWAAP d’un actif, vous pouvez le faire de plusieurs manières.

Remarque :

  1. Dans la section Configuration du menu de navigation de gauche, sélectionnez Stratégies.
  2. Cliquez sur l’icône en forme de crayon à côté de la stratégie que vous souhaitez supprimer.
  3. Cliquez sur Supprimer.

Dissocier les actifs d’une stratégie WAF

À partir de la stratégie, vous pouvez dissocier les actifs auxquels la stratégie est affectée ou désactiver le profil WAF.

  1. Dans la section Configuration du menu de navigation de gauche, sélectionnez Stratégies.
  2. Cliquez sur l’icône en forme de crayon pour modifier la stratégie.
  3. Dans l’onglet Profil WAF, décochez la case « Appliquer le profil WAF à la stratégie ? » à ignorer. Cela désactive le profil WAF.

OU

  1. Dans l’écran Configuration des stratégies, sélectionnez l’onglet Ressources .
  2. Sélectionnez l’icône Moins pour supprimer la ressource sélectionnée.
  3. Cliquez sur Enregistrer.

Modifier un actif

Dans la section Actif, vous pouvez modifier un actif sélectionné et supprimer la stratégie.

  1. Dans la section Configuration du menu de navigation de gauche, sélectionnez Ressources.
  2. Cliquez sur l’icône en forme de crayon à côté de la ressource que vous souhaitez modifier.
  3. Sélectionnez l’onglet Stratégies .
  4. Survolez le menu déroulant et cliquez sur l’icône Moins pour supprimer la stratégie associée.
  5. Cliquez sur Enregistrer.
Configuration de la stratégie
June 22, 2022
Contributeur: 
C
June 22, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Citrix Systems, Inc. All rights reserved.