Este artículo ha sido traducido automáticamente. (Aviso legal)
Configuración manual mediante la interfaz de línea de comandos
Nota:
Si necesita configurar manualmente la función Web App Firewall, Citrix recomienda utilizar el procedimiento de interfaz gráfica de usuario de NetScaler.
Puede configurar las funciones de Web App Firewall desde la interfaz de comandos de NetScaler. Sin embargo, hay excepciones importantes. No puede habilitar las firmas desde la interfaz de comandos. Hay alrededor de 1000 firmas predeterminadas en siete categorías y la tarea es demasiado compleja para la interfaz de comandos. Puede habilitar o inhabilitar las funciones y configurar los parámetros desde la línea de comandos, pero no puede configurar las relajaciones manuales. Si bien puede configurar la función de aprendizaje adaptativo y habilitar el aprendizaje desde la línea de comandos, no puede revisar las relajaciones o reglas aprendidas y aprobarlas u omitirlas. La interfaz de línea de comandos está destinada a usuarios avanzados que estén familiarizados con el dispositivo NetScaler y el Web App Firewall.
Para configurar manualmente el Web App Firewall mediante la línea de comandos de NetScaler, utilice un cliente telnet o Secure Shell de su elección para iniciar sesión en la línea de comandos de NetScaler.
Para crear un perfil mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los comandos siguientes:
add appfw profile <name> [-defaults ( basic | advanced )]set appfw profile <name> -type ( HTML | XML | HTML XML )save ns config
Ejemplo
En el ejemplo siguiente se agrega un perfil denominado pr-basic, con valores predeterminados básicos, y se asigna un tipo de perfil HTML. Esta es la configuración inicial adecuada para que un perfil proteja un sitio web HTML.
add appfw profile pr-basic -defaults basic
set appfw profile pr-basic -type HTML
save ns config
Para configurar un perfil mediante la interfaz de línea de comandos
En el símbolo del sistema, escriba los comandos siguientes:
-
set appfw profile <name> <arg1> [<arg2> ...]donde<arg1>representa un parámetro y<arg2>representa otro parámetro o el valor a asignar al parámetro representado por<arg1>. Para obtener descripciones de los parámetros que se deben utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas y sus subtemas. Para obtener descripciones de los otros parámetros, consulte “Parámetros para la creación de un perfil”. save ns config
Ejemplo
El siguiente ejemplo muestra cómo configurar un perfil HTML creado con valores predeterminados básicos para empezar a proteger un sitio web sencillo basado en HTML. En este ejemplo, se activa el registro y el mantenimiento de las estadísticas para la mayoría de las comprobaciones de seguridad, pero solo se habilita el bloqueo de las comprobaciones que tienen una baja tasa de falsos positivos y no requieren una configuración especial. También activa la transformación de HTML y SQL no seguros, lo que evita los ataques pero no bloquea las solicitudes a sus sitios web. Con el registro y las estadísticas habilitados, puede revisar los registros más adelante para determinar si desea habilitar el bloqueo para una comprobación de seguridad específica.
set appfw profile -startURLAction log stats
set appfw profile -denyURLAction block log stats
set appfw profile -cookieConsistencyAction log stats
set appfw profile -crossSiteScriptingAction log stats
set appfw profile -crossSiteScriptingTransformUnsafeHTML ON
set appfw profile -fieldConsistencyAction log stats
set appfw profile -SQLInjectionAction log stats
set appfw profile -SQLInjectionTransformSpecialChars ON
set appfw profile -SQLInjectionOnlyCheckFieldsWithSQLChars ON
set appfw profile -SQLInjectionParseComments checkall
set appfw profile -fieldFormatAction log stats
set appfw profile -bufferOverflowAction block log stats
set appfw profile -CSRFtagAction log stats
save ns config
Para crear y configurar una directiva
En el símbolo del sistema, escriba los comandos siguientes:
add appfw policy <name> <rule> <profile>save ns config
Ejemplo
El siguiente ejemplo agrega una directiva denominada pl-blog, con una regla que intercepta todo el tráfico hacia o desde el host blog.example.com y asocia esa directiva al perfil pr-blog.
add appfw policy pl-blog "HTTP.REQ.HOSTNAME.DOMAIN.EQ("blog.example.com")" pr-blog
Para vincular una directiva de firewall de aplicaciones web
En el símbolo del sistema, escriba los comandos siguientes:
bind appfw global <policyName> <priority>save ns config
Ejemplo
El siguiente ejemplo enlaza la directiva denominada pl-blog y le asigna una prioridad de 10.
bind appfw global pl-blog 10
save ns config
Para configurar el límite de sesión por PE
En el símbolo del sistema, escriba los comandos siguientes:
set appfw settings <session limit>
Ejemplo
El siguiente ejemplo configura el límite de sesión por PE.
> set appfw settings -sessionLimit 500000`
Done
Default value:100000 Max value:500000 per PE