Configurar el Web App Firewall
Puede configurar el NetScaler Web App Firewall (Web App Firewall) mediante cualquiera de los siguientes métodos:
- Asistente de Web App Firewall. Un cuadro de diálogo que consta de una serie de pantallas que muestran el proceso de configuración.
- Plantilla AppExpert de la interfaz web de NetScaler. Una plantilla de AppExpert (un conjunto de opciones de configuración) diseñada para proporcionar la protección adecuada a los sitios web. Esta plantilla de AppExpert contiene los ajustes de configuración de Web App Firewall adecuados para proteger muchos sitios web.
- Interfaz gráfica de usuario de NetScaler. La interfaz de configuración basada en la web.
- Interfaz de línea de comandos de NetScaler. La interfaz de configuración de línea de comandos.
Citrix recomienda utilizar el Asistente de Web App Firewall. La mayoría de los usuarios encontrarán que es el método más sencillo para configurar el Web App Firewall, y está diseñado para evitar errores. Si tiene un NetScaler o VPX nuevo que utilizará principalmente para proteger sitios web, puede que la plantilla AppExpert de la interfaz web sea una mejor opción, ya que proporciona una buena configuración predeterminada, no solo para el Web App Firewall, sino para todo el dispositivo. Tanto la GUI como la interfaz de línea de comandos están pensados para usuarios experimentados, principalmente para modificar una configuración existente o utilizar opciones avanzadas.
Asistente de Web App Firewall
El asistente Web App Firewall es un cuadro de diálogo que consta de varias pantallas que le piden que configure cada parte de una configuración sencilla. A continuación, el Web App Firewall crea los elementos de configuración adecuados a partir de la información que usted le proporciona. Esta es la forma más sencilla y, para la mayoría de los propósitos, la mejor de configurar el Web App Firewall.
Para usar el asistente, conéctese a la GUI con el navegador que elija. Cuando se establezca la conexión, compruebe que el Web App Firewall esté activado y, a continuación, ejecute el asistente Web App Firewall, que le solicitará información de configuración. No tiene que proporcionar toda la información solicitada la primera vez que utilice el asistente. En su lugar, puede aceptar la configuración predeterminada, realizar algunas tareas de configuración relativamente sencillas para habilitar las funciones importantes y, a continuación, permitir que el Web App Firewall recopile información importante para ayudarlo a completar la configuración.
Por ejemplo, cuando el asistente le pida que especifique una regla para seleccionar el tráfico que se va a procesar, puede aceptar la opción predeterminada, que selecciona todo el tráfico. Cuando le presente una lista de firmas, puede habilitar las categorías de firmas apropiadas y activar la recopilación de estadísticas para esas firmas. Para esta configuración inicial, puede omitir las protecciones avanzadas (comprobaciones de seguridad). El asistente crea automáticamente la directiva, el objeto de firmas y el perfil adecuados (en conjunto, la configuración de seguridad) y vincula la directiva a la global. A continuación, el Web App Firewall comienza a filtrar las conexiones a los sitios web protegidos, a registrar las conexiones que coincidan con una o más de las firmas que ha activado y a recopilar estadísticas sobre las conexiones con las que coincide cada firma. Una vez que el Web App Firewall procese parte del tráfico, puede volver a ejecutar el asistente y examinar los registros y las estadísticas para ver si alguna de las firmas que ha habilitado coincide con el tráfico legítimo. Tras determinar qué firmas identifican el tráfico que desea bloquear, puede habilitar el bloqueo de esas firmas. Si su sitio web o servicio web no es complejo, no utiliza SQL y no tiene acceso a información privada confidencial, esta configuración de seguridad básica probablemente le brinde la protección adecuada.
Es posible que necesite protección adicional si, por ejemplo, su sitio web es dinámico. El contenido que utiliza secuencias de comandos puede necesitar protección contra los ataques de secuencias de comandos entre sitios. El contenido web que utiliza SQL, como los carritos de compra, muchos blogs y la mayoría de los sistemas de administración de contenido, puede necesitar protección contra los ataques de inyección de SQL. Los sitios web y los servicios web que recopilan información privada confidencial, como números de seguro social o números de tarjetas de crédito, pueden requerir protección contra la exposición involuntaria de esa información. Ciertos tipos de software de servidor web o servidor XML pueden requerir protección contra tipos de ataques diseñados para ese software. Otra consideración es que algunos elementos específicos de sus sitios web o servicios web pueden requerir una protección diferente a la de otros elementos. Examinar los registros y las estadísticas de Web App Firewall puede ayudarlo a identificar las protecciones adicionales que podría necesitar.
Tras decidir qué protecciones avanzadas son necesarias para sus sitios web y servicios web, puede volver a ejecutar el asistente para configurar esas protecciones. Algunas comprobaciones de seguridad requieren que introduzcas excepciones (relajaciones) para evitar que la comprobación bloquee el tráfico legítimo. Puede hacerlo manualmente, pero normalmente es más fácil habilitar la función de aprendizaje adaptativo y permitir que recomiende la relajación necesaria. Puede utilizar el asistente tantas veces como sea necesario para mejorar la configuración de seguridad básica o crear configuraciones de seguridad adicionales.
El asistente automatiza algunas tareas que tendría que realizar manualmente si no lo utilizara. Crea automáticamente una directiva, un objeto de firmas y un perfil, y les asigna el nombre que proporcionó cuando se le preguntó por el nombre de la configuración. El asistente también agrega la configuración de protección avanzada al perfil, vincula el objeto de firmas al perfil, asocia el perfil a la directiva y pone en vigor la directiva vinculándola a Global.
Algunas tareas no se pueden realizar en el asistente. No puede utilizar el asistente para vincular una directiva a un punto de enlace que no sea Global. Si desea que el perfil se aplique solo a una parte específica de la configuración, debe configurar el enlace manualmente. No puede configurar los ajustes del motor ni algunas otras opciones de configuración global en el asistente. Aunque puede configurar cualquiera de las opciones de protección avanzadas en el asistente, si quiere modificar una configuración específica en una única comprobación de seguridad, puede ser más fácil hacerlo en las pantallas de configuración manual de la GUI.
Para obtener más información sobre el uso del Asistente para Web App Firewall, consulte Asistente para Web App Firewall.
La plantilla AppExpert de la interfaz web de NetScaler
Las plantillas de AppExpert son un enfoque diferente y sencillo para configurar y administrar aplicaciones empresariales complejas. La pantalla de AppExpert en la GUI consiste en una tabla. Las aplicaciones aparecen en la columna situada más a la izquierda, y las funciones de NetScaler aplicables a esa aplicación aparecen cada una en su propia columna a la derecha. (En la interfaz de AppExpert, las funciones que están asociadas a una aplicación se denominan unidades de aplicación). En la interfaz de AppExpert, se configura el tráfico interesante para cada aplicación y se activan las reglas de compresión, almacenamiento en caché, reescritura, filtrado, respuesta y el Web App Firewall, en lugar de tener que configurar cada función de forma individual.
La plantilla AppExpert de interfaz web contiene reglas para las siguientes firmas de Web App Firewall y comprobaciones de seguridad:
- Denegar la comprobación de URL. Detecta conexiones con contenido que se sabe que representa un riesgo para la seguridad o con cualquier otra URL que designe.
- Comprobación de desbordamiento de búfer. Detecta los intentos de provocar un desbordamiento de búfer en un servidor web protegido.
- Comprobación de coherencia de cookies. Detecta modificaciones maliciosas en las cookies establecidas por un sitio web protegido.
- Comprobación de coherencia de campos de formulario. Detecta modificaciones en la estructura de un formulario web en un sitio web protegido.
- Comprobación de etiquetado de formularios CSRF. Detecta ataques de falsificación de solicitudes entre sitios.
- Comprobación Formatos de campo. Detecta información inapropiada cargada en formularios web en un sitio web protegido.
- Comprobación de inyección HTML SQL. Detecta intentos de inyectar código SQL no autorizado.
- Comprobación de scripts HTML entre sitios. Detecta ataques de scripts entre sitios.
Para obtener información sobre la instalación y el uso de una plantilla de AppExpert, consulte Aplicaciones y plantillas de AppExpert.
La GUI
La GUI es una interfaz basada en la web que proporciona acceso a todas las opciones de configuración de la función Web App Firewall, incluidas las opciones avanzadas de configuración y administración que no están disponibles en ninguna otra herramienta o interfaz de configuración. En concreto, muchas opciones de firmas avanzadas solo se pueden configurar en la GUI. Puede revisar las recomendaciones generadas por la función de aprendizaje solo en la GUI. Puede enlazar directivas a un punto de enlace distinto de Global solo en la GUI.
Para obtener una descripción de la GUI, consulte Interfaces de configuración de Web App Firewall. Para obtener más información sobre el uso de la GUI para configurar Web App Firewall, consulte Configuración manual mediante la GUI.
Para obtener instrucciones sobre cómo configurar Web App Firewall mediante la GUI, consulte Configuración manual mediante la GUI. Para obtener información sobre la GUI de citrix-adc, consulte Interfaces de configuración de Web App Firewall.
La interfaz de línea de comandos de NetScaler
La interfaz de línea de comandos de NetScaler es un shell de UNIX modificado basado en el shell bash de FreeBSD. Para configurar el Web App Firewall desde la interfaz de línea de comandos, escriba los comandos en la línea de comandos y presione la tecla Enter, tal como lo haría con cualquier otro shell de Unix. Puede configurar la mayoría de los parámetros y opciones del Web App Firewall mediante la línea de comandos de NetScaler. Las excepciones son la función de firmas, muchas de cuyas opciones solo se pueden configurar mediante la interfaz gráfica de usuario o el asistente de Web App Firewall, y la función de aprendizaje, cuyas recomendaciones solo se pueden revisar en la interfaz de usuario.
Para obtener instrucciones sobre cómo configurar el Web App Firewall mediante la línea de comandos de NetScaler, consulte Configuración manual mediante la interfaz de línea de comandos.