ADC

Administre listas globales para omitir el WAF o denegar las solicitudes

Una aplicación puede recibir solicitudes de fuentes confiables y no confiables. Es posible que desee omitir el NetScaler Web App Firewall para las solicitudes de una fuente confiable. Además, cuando las solicitudes provienen de ciertas fuentes que no son de confianza, debes bloquearlas estrictamente.

En un perfil de NetScaler Web App Firewall, puede configurar listas globales para omitir Web App Firewall o denegar las solicitudes. Si las solicitudes entrantes coinciden con la lista de omisiones global, omiten Web App Firewall de NetScaler. Si las solicitudes entrantes coinciden con la lista global de denegaciones, NetScaler Web App Firewall bloquea esas solicitudes y aplica la acción definida.

Las listas de omisión y denegación admiten direcciones URL, IPv4 e IPv6. Puede especificarlos mediante literales, PCRE y expresiones.

Configure la lista global de omisión y denegación mediante la CLI

Antes de empezar, cree un perfil de Web App Firewall y habilite las listas de omisión y denegación en la configuración del perfil.

  1. Cree un perfil de Web App Firewall.

    add appfw profile <profile-name>
    <!--NeedCopy-->
    

    Ejemplo

    add appfw profile example-profile
    <!--NeedCopy-->
    

    Nota:

    De forma predeterminada, la lista de omitidos y la lista de denegación están inhabilitadas. Para ver la configuración del perfil, ejecute el siguiente comando:

    sh appfw profile <profile-name>

  2. Ejecute el siguiente comando para habilitar la lista de omisión y la lista de denegación.

    set appfw profile <profile-name> -bypasslist on -denylist on
    <!--NeedCopy-->
    

Enlazar el perfil de Web App Firewall con una lista de omisión global

Ejecute el siguiente comando para vincular las reglas a una lista de omisión global:

bind appfw profile <profile-name> -bypasslist <String|PCRE|Expression|IP-address> -valuetype <literal|PCRE|expression> -ruleaction log -location <url|ipv4|ipv6>
<!--NeedCopy-->
  • Ejemplo 1:

     bind appfw profile example-profile -bypasslist http://www.example.com -valuetype literal -ruleaction log -location url
     <!--NeedCopy-->
    

    En este ejemplo se utiliza un valor literal. Cuando la URL de la solicitud entrante contiene http://www.example.com, la solicitud omite las comprobaciones de WAF y registra un evento en el dispositivo NetScaler.

  • Ejemplo-2:

     bind appfw profile example-profile -bypasslist http://www.example[n] -valuetype PCRE -ruleaction log -location url
     <!--NeedCopy-->
    

    En este ejemplo se utiliza un valor de PCRE. Cuando la URL de la solicitud entrante contiene http://www.example y sigue la letra n, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler.

  • Ejemplo-3:

     bind appfw profile example-profile -bypasslist http.req.url.contains("example") -valuetype expression -ruleaction log
     <!--NeedCopy-->
    

    En este ejemplo se usa una expresión. Cuando la URL de la solicitud entrante example contiene alguna parte de la URL, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler.

    Importante

    No introduzca el valor de ubicación al especificar el tipo de valor de expresión.

  • Ejemplo 4:

     bind appfw profile example-profile -bypasslist 10.10.10.10 -valuetype expression -ruleaction log -location ipv4
     <!--NeedCopy-->
    

    En este ejemplo se usa una dirección IPv4. Cuando la URL de la solicitud entrante contiene una dirección IP 10.10.10.10, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler.

    Del mismo modo, puede especificar la dirección IPv6. Para ello, defina el valor de ubicación ipv6 en este comando.

Enlazar el perfil de Web App Firewall con una lista de denegación global

Ejecute el siguiente comando para vincular las reglas a una lista de denegación global:

bind appfw profile <profile-name> -bypasslist <String|PCRE|Expression|IP-address> -valuetype <literal|PCRE|expression> -ruleaction <log|none|REDIRECT|RESET> -location <url|ipv4|ipv6>
<!--NeedCopy-->
  • Ejemplo 1:

     bind appfw profile example-profile -denylist http://www.example.com -valuetype literal -ruleaction log -location url
     <!--NeedCopy-->
    

    En este ejemplo se utiliza un valor literal. Cuando la URL de la solicitud entrante contiene http://www.example.com, NetScaler Web App Firewall bloquea la solicitud y registra un evento en el dispositivo NetScaler.

  • Ejemplo-2:

     bind appfw profile example-profile -denylist http://www.example[n] -valuetype PCRE -ruleaction none -location url
     <!--NeedCopy-->
    

    En este ejemplo se utiliza un valor de PCRE. Cuando la URL de la solicitud entrante contiene http://www.example y sigue la letra n, el NetScaler Web App Firewall bloquea la solicitud.

    Importante

    Al especificar -ruleaction como none, NetScaler Web App Firewall realiza la acción predeterminada.

  • Ejemplo-3:

     bind appfw profile example-profile -denylist http.req.url.contains("example") -valuetype expression -ruleaction REDIRECT
     <!--NeedCopy-->
    

    En este ejemplo se usa una expresión. Cuando la URL de la solicitud entrante contiene example en alguna parte de la URL, NetScaler Web App Firewall bloquea y redirige la solicitud.

  • Ejemplo 4:

     bind appfw profile example-profile -denylist 10.10.10.10 -valuetype expression -ruleaction RESET -location ipv4
     <!--NeedCopy-->
    

    En este ejemplo se usa una dirección IPv4. Cuando la URL de la solicitud entrante contiene una dirección IP 10.10.10.10, NetScaler Web App Firewall bloquea la solicitud y restablece la conexión.

    Del mismo modo, puede especificar la dirección IPv6. Para ello, defina el valor de ubicación ipv6 en este comando.

Configure la lista global de omisión y denegación mediante la GUI

Antes de empezar, cree un perfil de Web App Firewall y habilite las listas de omisión y denegación en la configuración del perfil.

  1. Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
  2. Seleccione el perfil para el que desee agregar las listas globales de omisión y denegación.
  3. En la página Perfil de NetScaler Web App Firewall, haga clic en Configuración de perfil en Configuración avanzada.
  4. En Configuración común, seleccione las siguientes opciones:

    • Habilitar lista de omitidos
    • Habilitar lista de denegaciones

    Habilitar listas de omisión y denegación

  5. Haga clic en Aceptar y Listo.

Agregar una lista de omisión global

Complete los siguientes pasos para agregar una lista de omisiones global:

  1. Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
  2. Seleccione el perfil para el que desee agregar una lista de omisión global.
  3. En la página del perfil de NetScaler Web App Firewall, haga clic en la Lista global de omisiones o denegaciones en Configuración avanzada.
  4. En Lista global de omitidos, haga clic en Agregar.
  5. Especifique lo siguiente en la página Crear enlace de listas de omisión de AppFirewall :

    • Tipo de valor de lista de omisión: Admite literales, PCRE y expresiones.
    • Valor de lista omiso: Especifique un valor según el tipo de valor.
    • Omitir la acción de la lista: Una vez que la solicitud haya omitido las comprobaciones del WAF, se aplica la acción definida a la solicitud. Si la acción está configurada en Registrar, registra un evento en el dispositivo NetScaler.
    • Ubicación de la lista de omisiones: Defina el valor de ubicación. Si especifica IPv4, el perfil busca la dirección IPv4 en la solicitud entrante.
  6. Haga clic en Crear.

Agregar una lista global de denegaciones

Complete los siguientes pasos para agregar una lista global de denegaciones:

  1. Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
  2. Seleccione el perfil para el que desea agregar una lista de denegación global.
  3. En la página del perfil de NetScaler Web App Firewall, haga clic en la Lista global de omisiones o denegaciones en Configuración avanzada.
  4. En Lista global de denegaciones, haga clic en Agregar.
  5. Especifique lo siguiente en la página Crear enlace a la lista de denegación de AppFirewall :

    • Tipo de valor de lista denegada: admite literales, PCRE y expresiones.
    • Denegar valor de lista: especifique un valor según el tipo de valor.
    • Acción de denegación de lista: Una vez que NetScaler Web App Firewall haya bloqueado la solicitud, se aplica la acción definida a la solicitud. Si la acción se establece en Restablecer, el Web App Firewall restablece la conexión.
    • Registro: registra un evento en el dispositivo NetScaler cada vez que el NetScaler Web App Firewall bloquea la solicitud.
    • Ubicación de la lista de denegación: defina el valor de ubicación. Si especifica IPv4, el perfil busca la dirección IPv4 en la solicitud entrante.
  6. Haga clic en Crear.
Administre listas globales para omitir el WAF o denegar las solicitudes