Configuración del Web App Firewall
Puede configurar Citrix Web App Firewall (Web App Firewall) mediante cualquiera de los métodos siguientes:
- Asistente para Web App Firewall. Un cuadro de diálogo que consta de una serie de pantallas que le guían a través del proceso de configuración.
- Plantilla de AppExpert de Citrix Web Interface. Plantilla de AppExpert (un conjunto de opciones de configuración) diseñada para proporcionar la protección adecuada a los sitios web. Esta plantilla de AppExpert contiene las opciones de configuración de Web App Firewall adecuadas para proteger muchos sitios web.
- GUI de Citrix ADC. La interfaz de configuración basada en web.
- Interfaz de línea de comandos de Citrix ADC. Interfaz de configuración de línea de comandos.
Citrix recomienda utilizar el Asistente para Web App Firewall. La mayoría de los usuarios encontrarán que es el método más fácil para configurar Web App Firewall, y está diseñado para evitar errores. Si tiene un nuevo Citrix ADC o VPX que utilizará principalmente para proteger sitios web, puede que la plantilla AppExpert de Interfaz Web sea una mejor opción, ya que proporciona una buena configuración predeterminada, no solo para Web App Firewall, sino para todo el dispositivo. Tanto la GUI como la interfaz de línea de comandos están pensados para usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.
Asistente para Web App Firewall
El Asistente para Web App Firewall es un cuadro de diálogo que consta de varias pantallas que le piden que configure cada parte de una configuración simple. A continuación, el Web App Firewall crea los elementos de configuración adecuados a partir de la información que le proporciona. Esta es la forma más simple y, para la mayoría de los propósitos, la mejor manera de configurar el Web App Firewall.
Para utilizar el asistente, conéctese a la GUI con el explorador de su elección. Cuando se establezca la conexión, compruebe que el Web App Firewall está habilitado y, a continuación, ejecute el Asistente para Web App Firewall, que le pedirá información de configuración. No es necesario que proporcione toda la información solicitada la primera vez que utilice el asistente. En su lugar, puede aceptar la configuración predeterminada, realizar algunas tareas de configuración relativamente sencillas para habilitar funciones importantes y, a continuación, permitir que el Web App Firewall recopile información importante para ayudarle a completar la configuración.
Por ejemplo, cuando el asistente le pide que especifique una regla para seleccionar el tráfico que se va a procesar, puede aceptar el valor predeterminado, que selecciona todo el tráfico. Cuando le presente una lista de firmas, puede habilitar las categorías de firmas adecuadas y activar la recopilación de estadísticas para esas firmas. Para esta configuración inicial, puede omitir las protecciones avanzadas (comprobaciones de seguridad). El asistente crea automáticamente la directiva, el objeto de firmas y el perfil adecuados (colectivamente, la configuración de seguridad) y vincula la directiva a global. A continuación, el Web App Firewall comienza a filtrar las conexiones a los sitios web protegidos, registrando las conexiones que coincidan con una o varias de las firmas habilitadas y recopilando estadísticas sobre las conexiones con las que coincide cada firma. Después de que el Web App Firewall procese parte del tráfico, puede volver a ejecutar el asistente y examinar los registros y las estadísticas para ver si alguna de las firmas que ha habilitado coincide con el tráfico legítimo. Después de determinar qué firmas están identificando el tráfico que quiere bloquear, puede habilitar el bloqueo para esas firmas. Si su sitio web o servicio web no es complejo, no utiliza SQL y no tiene acceso a información privada confidencial, esta configuración de seguridad básica probablemente proporcionará una protección adecuada.
Es posible que necesite protección adicional si, por ejemplo, su sitio web es dinámico. El contenido que utiliza scripts puede necesitar protección contra ataques de scripts entre sitios. El contenido web que utiliza SQL, como carritos de compra, muchos blogs y la mayoría de los sistemas de administración de contenido, puede necesitar protección contra ataques de inyección SQL. Los sitios web y los servicios web que recopilan información privada confidencial, como números de seguridad social o números de tarjetas de crédito, pueden requerir protección contra la exposición involuntaria de dicha información. Ciertos tipos de software de servidor web o servidor XML pueden requerir protección contra tipos de ataques adaptados a ese software. Otra consideración es que elementos específicos de sus sitios web o servicios web pueden requerir una protección diferente a la de otros elementos. El examen de los registros y las estadísticas de Web App Firewall puede ayudarle a identificar las protecciones adicionales que puede necesitar.
Después de decidir qué protecciones avanzadas se necesitan para los sitios web y los servicios web, puede volver a ejecutar el asistente para configurar esas protecciones. Algunas comprobaciones de seguridad requieren que se introduzcan excepciones (relajación) para evitar que la comprobación bloquee el tráfico legítimo. Puede hacerlo manualmente, pero generalmente es más fácil habilitar la función de aprendizaje adaptativo y permitirle recomendar la relajación necesaria. Puede utilizar el asistente tantas veces como sea necesario para mejorar la configuración de seguridad básica y/o crear configuraciones de seguridad adicionales.
El asistente automatiza algunas tareas que tendría que realizar manualmente si no lo utiliza. Crea automáticamente una directiva, un objeto de firmas y un perfil, y les asigna el nombre que proporcionó cuando se le pidió el nombre de la configuración. El asistente también agrega la configuración de protección avanzada al perfil, vincula el objeto de firmas al perfil, asocia el perfil a la directiva y la aplica vinculándolo a Global.
No se pueden realizar algunas tareas en el asistente. No se puede utilizar el asistente para enlazar una directiva a un punto de enlace distinto de Global. Si quiere que el perfil se aplique solo a una parte específica de la configuración, debe configurar manualmente el enlace. No puede configurar los parámetros del motor ni algunas otras opciones de configuración global en el asistente. Aunque puede configurar cualquiera de las opciones de protección avanzadas en el asistente, si quiere modificar una configuración específica en una única comprobación de seguridad, puede ser más fácil hacerlo en las pantallas de configuración manual de la GUI.
Para obtener más información sobre el uso del Asistente para Web App Firewall, consulte Asistente para Web App Firewall.
La plantilla de AppExpert de Citrix Web Interface
Las plantillas AppExpert son un enfoque diferente y más sencillo para configurar y administrar aplicaciones empresariales complejas. La pantalla de AppExpert en la GUI consta de una tabla. Las aplicaciones se enumeran en la columna situada más a la izquierda, y las funciones de Citrix ADC aplicables a esa aplicación aparecen cada una en su propia columna a la derecha. (En la interfaz de AppExpert, las funciones asociadas a una aplicación se denominan unidades de aplicación). En la interfaz de AppExpert, configura el tráfico interesante para cada aplicación y activa las reglas de compresión, almacenamiento en caché, reescritura, filtrado, respuesta y Web App Firewall, en lugar de tener que configurar cada función individualmente.
La plantilla AppExpert de interfaz web contiene reglas para las siguientes firmas de Web App Firewall y comprobaciones de seguridad:
- Denegar la comprobación de URL. Detecta conexiones con contenido que se sabe que representa un riesgo para la seguridad o con cualquier otra URL que designe.
- Comprobación de desbordamiento de búfer. Detecta los intentos de provocar un desbordamiento de búfer en un servidor web protegido.
- Comprobación de coherencia de cookies. Detecta modificaciones maliciosas en las cookies establecidas por un sitio web protegido.
- Comprobación de coherencia de campos de formulario. Detecta modificaciones en la estructura de un formulario web en un sitio web protegido.
- Comprobación de etiquetado de formularios CSRF. Detecta ataques de falsificación de solicitudes entre sitios.
- Comprobación Formatos de campo. Detecta información inapropiada cargada en formularios web en un sitio web protegido.
- Comprobación de inyección HTML SQL. Detecta intentos de inyectar código SQL no autorizado.
- Comprobación de scripts HTML entre sitios. Detecta ataques de scripts entre sitios.
Para obtener información sobre la instalación y el uso de una plantilla de AppExpert, consulte Aplicaciones y plantillas de AppExpert.
La GUI de Citrix
La GUI es una interfaz basada en web que proporciona acceso a todas las opciones de configuración para la función Web App Firewall, incluidas las opciones avanzadas de configuración y administración que no están disponibles desde ninguna otra herramienta de configuración o interfaz. Específicamente, muchas opciones avanzadas de Firmas solo se pueden configurar en la GUI. Solo puede revisar las recomendaciones generadas por la función de aprendizaje en la GUI. Puede enlazar directivas a un punto de enlace distinto de Global solo en la GUI.
Para obtener una descripción de la GUI, consulte Interfaces de configuración de Web App Firewall. Para obtener más información sobre el uso de la GUI para configurar Web App Firewall, consulte Configuración manual mediante la GUI.
Para obtener instrucciones sobre cómo configurar Web App Firewall mediante la GUI, consulte Configuración manual mediante la GUI. Para obtener información sobre la GUI de citrix-adc, consulte Interfaces de configuración de Web App Firewall.
La interfaz de línea de comandos de Citrix ADC
La interfaz de línea de comandos Citrix ADC es un shell UNIX modificado basado en el shell bash de FreeBSD. Para configurar Web App Firewall desde la interfaz de línea de comandos, escriba comandos en el símbolo del sistema y presione la tecla Intro, tal como lo hace con cualquier otro shell Unix. Puede configurar la mayoría de los parámetros y opciones para Web App Firewall mediante la línea de comandos de NetScaler. Las excepciones son la función de firmas, muchas de cuyas opciones solo se pueden configurar mediante la interfaz gráfica de usuario o el asistente de Web App Firewall, y la función de aprendizaje, cuyas recomendaciones solo se pueden revisar en la interfaz de usuario.
Para obtener instrucciones sobre cómo configurar Web App Firewall mediante la línea de comandos de Citrix ADC, consulte Configuración manual mediante la interfaz de línea de comandos.