El asistente de Web App Firewall
A diferencia de la mayoría de los asistentes, el asistente de firewall de aplicaciones web de Citrix está diseñado no solo para simplificar el proceso de configuración inicial, sino también para modificar las configuraciones creadas anteriormente y mantener la configuración de Web App Firewall. Un usuario típico ejecuta el asistente varias veces, saltándose algunas de las pantallas cada vez.
El asistente de Web App Firewall crea automáticamente perfiles, directivas y firmas.
Abrir el asistente
Para ejecutar el Asistente de Web App Firewall, abra la GUI y siga estos pasos:
- Vaya a Seguridad > Firewall de aplicaciones.
- En el panel de detalles, en Introducción, haga clic en Asistente de firewall de aplicaciones. Se abrirá el asistente.
Para obtener más información sobre la GUI, consulte “Interfaces de configuración de Web App Firewall. “
Pantallas del asistente
El asistente Web App Firewall muestra las siguientes pantallas en una página tabular:
1. Especifique el nombre: en esta pantalla, al crear una nueva configuración de seguridad, especifique un nombre significativo y el tipo apropiado (HTML, XML o WEB 2.0) para su perfil. La directiva y las firmas predeterminadas se generan automáticamente con el mismo nombre.
Nombre del perfil
El nombre puede empezar por una letra, un número o el símbolo de subrayado y puede constar de 1 a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), at (@), iguales (=), dos puntos (:) y subrayado (_). Elija un nombre que permita a los demás determinar fácilmente qué contenido protege su nueva configuración de seguridad.
Nota:
Como el asistente usa este nombre tanto para la directiva como para el perfil, está limitado a 31 caracteres. Las directivas creadas manualmente pueden tener nombres de hasta 127 caracteres de longitud.
Al modificar una configuración existente, seleccione Modificar configuración existente y, a continuación, en la lista desplegable Nombre, seleccione el nombre de la configuración existente que desee modificar.
Nota:
En esta lista solo aparecen las directivas que están enlazadas a una directiva global o a un punto de enlace; no puede modificar una directiva independiente mediante el asistente de firewall de aplicaciones. Debe enlazarlo manualmente a Global o a un punto de enlace, o modificarlo manualmente. (Para modificarla manualmente, en la GUI) Firewall de aplicaciones > Directivas > Panel Firewall, seleccione la directiva y haga clic en Abrir.
Tipo de perfil
También selecciona un tipo de perfil en esta pantalla. El tipo de perfil determina los tipos de protección avanzada (comprobaciones de seguridad) que se pueden configurar. Dado que ciertos tipos de contenido no son vulnerables a ciertos tipos de amenazas de seguridad, restringir la lista de comprobaciones disponibles ahorra tiempo durante la configuración. Los tipos de perfiles de Web App Firewall son:
- Aplicación web (HTML). Cualquier sitio web basado en HTML que no utilice tecnologías XML o Web 2.0.
- Aplicación XML (XML, SOAP). Cualquier servicio web basado en XML.
- Aplicación web 2.0 (HTML, XML, REST). Cualquier sitio web 2.0 que combine contenido basado en HTML y XML, como un sitio basado en ATOM, un blog, una fuente RSS o una wiki.
Nota: Si no está seguro del tipo de contenido que se utiliza en su sitio web, puede elegir la aplicación web 2.0 para asegurarse de proteger todos los tipos de contenido de las aplicaciones web.
2. Especificar regla: en esta pantalla, especifica la regla de directiva (expresión) que define el tráfico que examina la configuración actual. Si crea una configuración inicial para proteger sus sitios web y servicios web, puede aceptar el valor predeterminado, true, que selecciona todo el tráfico web.
Si quiere que esta configuración de seguridad examine no todo el tráfico HTTP que se enruta a través del dispositivo, sino el tráfico específico, puede escribir una regla de directiva que especifique el tráfico que quiere que examine. Las reglas se escriben en el lenguaje de expresiones NetScaler ADC, que es un lenguaje de programación orientado a objetos totalmente funcional.
Nota: Además de la sintaxis de expresiones predeterminada, para obtener compatibilidad con versiones anteriores, el sistema operativo NetScaler ADC admite la sintaxis de expresiones clásicas de NetScaler ADC en dispositivos y dispositivos virtuales NetScaler ADC Classic y nCore. Las expresiones clásicas no se admiten en los dispositivos NetScaler ADC Cluster ni en los dispositivos virtuales. Los usuarios actuales que quieran migrar sus configuraciones existentes al clúster de NetScaler ADC deben migrar las directivas que contengan expresiones clásicas a la sintaxis de expresiones predeterminadas.
- Para obtener una descripción sencilla del uso de la sintaxis de expresiones NetScaler ADC para crear reglas de Web App Firewall y una lista de reglas útiles, consulte Directivas del firewall.
- Para obtener una explicación detallada de cómo crear reglas de directiva en la sintaxis de expresiones NetScaler ADC, consulte Directivas y expresiones.
4. Seleccione Firmas: en esta pantalla, selecciona las categorías de firmas que quiere usar para proteger sus sitios web y servicios web.
Este paso no es obligatorio y puede omitirlo si lo quiere e ir a la pantalla Especificar protecciones profundas. Si se omite la pantalla de selección de firmas, solo se crean un perfil y las directivas asociadas, y no se crean las firmas.
Puede seleccionar Crear nueva firma o Seleccionar firma existente.
Si está creando una nueva configuración de seguridad, las categorías de firmas que seleccione están habilitadas y, de forma predeterminada, se registran en un nuevo objeto de firmas. Al nuevo objeto de firmas se le asigna el mismo nombre que introdujo en la pantalla Especificar nombre como nombre de la configuración de seguridad.
Si ha configurado previamente objetos de firmas y quiere utilizar uno de ellos como objeto de firmas asociado a la configuración de seguridad que está creando, haga clic en Seleccionar firma existente y seleccione un objeto de firmas de la lista de firmas.
Si está modificando una configuración de seguridad existente, puede hacer clic en Seleccionar firma existente y asignar un objeto de firmas diferente a la configuración de seguridad.
Si hace clic en Crear nueva firma, puede elegir el modo de edición simple o avanzado.
- Especificar las protecciones de firma (modo simple)
El modo simple permite configurar fácilmente la firma, con una lista preestablecida de definiciones de protección para aplicaciones comunes como IIS (Internet Information Server), PHP y ActiveX. Las categorías predeterminadas en el modo simple son:
-
CGI. Protección contra los ataques a sitios web que utilizan scripts CGI en cualquier idioma, incluidos los scripts PERL, los scripts de shell de Unix y los scripts de Python.
-
Fusión en frío. Protección contra los ataques a sitios web que utilizan la plataforma de desarrollo web Adobe Systems® ColdFusion®.
-
Portada. Protección contra los ataques a sitios web que utilizan la plataforma de desarrollo web Microsoft® FrontPage®.
-
PHP. Protección contra los ataques a sitios web que utilizan el lenguaje de programación de desarrollo web de código abierto PHP.
-
Del lado del cliente. Protección contra los ataques a las herramientas del lado del cliente que se utilizan para acceder a sus sitios web protegidos, como Microsoft Internet Explorer, Mozilla Firefox, el navegador Opera y el Adobe Acrobat Reader.
-
Microsoft IIS. Protección contra los ataques a los sitios web que ejecutan el Microsoft Internet Information Server (IIS)
-
Miscelánea. Protección contra los ataques a otras herramientas del lado del servidor, como los servidores web y los servidores de bases de datos.
En esta pantalla, selecciona las acciones asociadas a las categorías de firmas que seleccionó en la pantalla de selección de firmas. Las acciones que puede configurar son:
- Bloquear
- Registro
- Estadísticas
De forma predeterminada, las acciones Registro y Estadísticas están habilitadas, pero no la acción Bloquear. Para configurar las acciones, haga clic en Configuración. Puede cambiar la configuración de las acciones de todas las categorías seleccionadas mediante la lista desplegable Acciones.
- Especificar las protecciones de firma (modo avanzado)
El modo avanzado permite un control más detallado de las definiciones de firma y proporciona mucha más información. Utilice el modo avanzado si quiere un control completo sobre la definición de la firma.
El contenido de esta pantalla es el mismo que el contenido del cuadro de diálogo Modificar objeto de firmas, tal y como se describe en Configuración o modificación de un objeto de firmas. En esta pantalla, puede configurar acciones haciendo clic en la lista desplegable Acciones o en el menú Acciones, que aparece como un círculo con tres puntos.
7. Especifique las protecciones profundas: en esta pantalla, usted elige las protecciones avanzadas (también denominadas comprobaciones de seguridad o simplemente comprobaciones) que quiere utilizar para proteger sus sitios web y servicios web. Las comprobaciones disponibles dependen del tipo de perfil que haya elegido en la pantalla Especificar nombre. Todas las comprobaciones están disponibles para perfiles de aplicación web 2.0.
Para obtener más información, consulte Descripción general de las comprobaciones de seguridady consulte Comprobaciones avanzadas de protecciones de formularios.
Configure las acciones para las protecciones avanzadas que ha habilitado.Las acciones que puede configurar son:
- Bloquear: bloquea las conexiones que coinciden con la firma. Inhabilitado de forma predeterminada.
- Registro: registra las conexiones que coinciden con la firma para su posterior análisis. Habilitado de forma predeterminada.
- Estadísticas: mantiene estadísticas, para cada firma, que muestran el número de conexiones que coincidió y proporcionan otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
- Aprende. Observe el tráfico de este sitio web o servicio web y utilice las conexiones que infrinjan esta comprobación repetidamente para generar excepciones recomendadas a la comprobación o nuevas reglas para la comprobación. Disponible solo para algunos cheques. Para obtener más información sobre la función de aprendizaje, consulte Configuración y uso de la funciónde aprendizaje y cómo funciona el aprendizaje y cómo configurar excepciones (relajaciones) o implementar reglas aprendidas para una comprobación, consulte Configuración manual mediante la GUI.
Para configurar acciones, active la protección haciendo clic en la casilla de verificación y, a continuación, haga clic en Configuración de acción para seleccionar las acciones necesarias. Seleccione otros parámetros, si es necesario, y haga clic en Aceptar para cerrar la ventana Configuración de acción.
Para ver todos los registros de una comprobación específica, selecciónela y, a continuación, haga clic en Registros para mostrar el Visor de Syslog, tal y como se describe en Registros de Web App Firewall. Si una comprobación de seguridad bloquea el acceso legítimo a su sitio web protegido o servicio web, puede crear e implementar una relajación para esa comprobación de seguridad seleccionando un registro que muestre el bloqueo no deseado y, a continuación, haga clic en Implementar.
Tras completar la especificación de la configuración de la acción, haga clic en Finalizar para completar el asistente.
A continuación se muestran cuatro procedimientos que muestran cómo realizar tipos específicos de configuración mediante el asistente Web App Firewall.
Crear una nueva configuración
Siga estos pasos para crear una nueva configuración de firewall y objetos de firma mediante el asistente Applicaiton Firewall.
-
Vaya a Seguridad > Firewall de aplicaciones.
-
En el panel de detalles, en Introducción, haga clic en **Application Firewall. Se abrirá el asistente.
-
En la pantalla Especificar nombre, seleccione **Crear nueva configuración.
-
En el campo Nombre, escriba un nombre y, a continuación, haga clic en Siguiente.
-
En la pantalla Especificar regla, vuelva a hacer clic en Siguiente .
-
En la pantalla Seleccionar firmas, seleccione Crear nueva firma y simple como modo de edición y, a continuación, haga clic en Siguiente.
-
En la pantalla Especificar protecciones de firma, configure los valores necesarios. Para obtener más información sobre qué firmas considerar para el bloqueo y cómo determinar cuándo puede habilitar el bloqueo de una firma de forma segura, consulte Firmas.
-
En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.
-
Cuando haya terminado, haga clic en Finalizar para cerrar el asistente de firewall de aplicaciones.
Modificar una configuración existente
Siga estos pasos para modificar una configuración existente y las categorías de firmas existentes.
- Vaya a Seguridad > Firewall de aplicaciones.
- En el panel de detalles, en Introducción, haga clic en Asistente de firewall de aplicaciones. Se abrirá el asistente.
- En la pantalla Especificar nombre, seleccione Modificar configuración existente y, en la lista desplegable Nombre, elija la configuración de seguridad que creó durante la nueva configuración y, a continuación, haga clic en Siguiente.
- En la pantalla Especificar regla, haga clic en Siguiente para mantener el valor predeterminado “true”. Si quiere modificar la regla, siga los pasos descritos en Configurar una expresión de directiva personalizada.
- En la pantalla Seleccionar firmas, haga clic en Seleccionar firma existente. En la lista desplegable Firma existente, seleccione la opción correspondiente y, a continuación, haga clic en Siguiente. Aparece la pantalla de protección avanzada de firmas. Nota: Si selecciona una firma existente, el modo de edición predeterminado para la firma protegida es avanzado.
- En la pantalla Especificar protecciones de firma, configure los valores necesarios y haga clic en Siguiente. Para obtener más información sobre qué firmas se deben tener en cuenta para el bloqueo y cómo determinar cuándo se puede habilitar el bloqueo de una firma de forma segura, consulte Firmas.
- En la pantalla Especificar protecciones profundas, configure los parámetros y haga clic en Siguiente.
- Cuando haya terminado, haga clic en Finalizar para cerrar el Asistente de Web App Firewall.
Crear una nueva configuración sin firmas
Siga estos pasos para usar el asistente de firewall de aplicaciones para omitir la pantalla de selección de firmas y crear una nueva configuración con solo el perfil y las directivas asociadas, pero sin firmas.
- Vaya a Seguridad > Firewall de aplicaciones.
- En el panel de detalles, en Introducción, haga clic en Asistente de firewall de aplicaciones. Se abrirá el asistente.
- En la pantalla Especificar nombre, seleccione Crear nueva configuración.
- En el campo Nombre, escriba un nombre y, a continuación, haga clic en Siguiente.
- En la pantalla Especificar regla, vuelva a hacer clic en Siguiente.
- En la pantalla de selección de firmas, haga clic en Omitir.
- En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.
- Cuando haya terminado, haga clic en Finalizar para cerrar el asistente de firewall de aplicaciones.
Configurar una expresión de directiva personalizada
Siga estos pasos para usar el Asistente de firewall de aplicaciones a fin de crear una configuración de seguridad especializada para proteger solo contenido específico. En este caso, se crea una nueva configuración de seguridad en lugar de modificar la configuración inicial. Este tipo de configuración de seguridad requiere una regla personalizada para que la directiva aplique la configuración únicamente al tráfico web seleccionado.
- Vaya a Seguridad > Firewall de aplicaciones.
- En el panel de detalles, en Introducción, haga clic en Asistente de firewall de aplicaciones.
- En la pantalla Especificar nombre, escriba un nombre para la nueva configuración de seguridad en el cuadro de texto Nombre, seleccione el tipo de configuración de seguridad en la lista desplegable Tipo y, a continuación, haga clic en Siguiente.
- En la pantalla Especificar regla, introduzca una regla que coincida únicamente con el contenido que quiere que proteja esta aplicación web. Utilice la lista desplegable de expresiones utilizadas con frecuencia y el Editor de expresiones para crear una expresión personalizada. Cuando haya terminado, haga clic en Siguiente.
- En la pantalla de selección de firmas, seleccione el modo de edición y, a continuación, haga clic en Siguiente.
- En la pantalla Especificar protecciones de firma, configure los valores necesarios.
- En la pantalla Especificar protecciones profundas, configure las acciones y los parámetros necesarios en Configuración de acción.
- Cuando termine, haga clic en Finalizar para cerrar el Asistente de firewall de aplicaciones.