Configuración de perfiles de Web App Firewall
Para configurar un perfil de Web App Firewall definido por el usuario, primero configure las comprobaciones de seguridad, que se denominan protecciones profundas o protecciones avanzadas en el asistente de Web App Firewall. Determinadas comprobaciones requieren configuración si se van a utilizar. Otros tienen configuraciones predeterminadas que son seguras pero con un alcance limitado; es posible que sus sitios web necesiten o se beneficien de una configuración diferente que aproveche más funciones de ciertas comprobaciones de seguridad.
Después de configurar las comprobaciones de seguridad, también puede configurar otras opciones que controlen el comportamiento, no de una sola comprobación de seguridad, sino de la función Web App Firewall. La configuración predeterminada es suficiente para proteger la mayoría de los sitios web, pero debe revisarlos para asegurarse de que son adecuados para sus sitios web protegidos.
Nota:
La longitud del nombre de perfil y toda la longitud del nombre de objeto de importación se pueden configurar hasta 127 caracteres.
Para obtener más información sobre las comprobaciones de seguridad de Web App Firewall, consulte Protecciones avanzadas.
Para configurar un perfil de Web App Firewall mediante la línea de comandos
En el símbolo del sistema, escriba los comandos siguientes:
-
set appfw profile <name> <arg1> [<arg2> ...]
Donde:
-
<arg1>
= un parámetro y cualquier opción asociada. -
<arg2>
= un segundo parámetro y cualquier opción asociada. - … = parámetros y opciones adicionales.
Para obtener descripciones de los parámetros que se deben utilizar al configurar comprobaciones de seguridad específicas, consulte Protecciones avanzadas.
-
-
save ns config
Ejemplo
El siguiente ejemplo muestra cómo habilitar el bloqueo para las comprobaciones de HTML SQL Injection y HTML Cross-Site Scripting en un perfil denominado pr-basic
. Este comando permite bloquear esas acciones sin realizar otros cambios en el perfil.
set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->
Vincular la regla de relajación a un perfil de Web App Firewall
Cuando un Web App Firewall detecta una infracción, el usuario tiene la capacidad de omitir la acción aplicada mediante reglas de relajación. La regla de relajación es una excepción que se aplica a la infracción de seguridad detectada. Por ejemplo, las reglas de relajación de URL de inicio protegen contra la navegación forzada. Las vulnerabilidades conocidas del servidor web que explotan los piratas informáticos se pueden detectar y bloquear activando un conjunto de reglas predeterminadas de denegar URL. Los ataques lanzados comúnmente, como desbordamiento de búfer, SQL o scripts entre sitios también se pueden detectar fácilmente.
Para vincular reglas de exención o relajación de seguridad mediante la CLI
En la línea de comandos, escriba:
bind appfw profile <name> ((-startURL <expression> [-resourceId <string>]) | -denyURL <expression> | (-fieldConsistency <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->
Para vincular reglas de exención o relajación de seguridad mediante la interfaz gráfica de usuario
- Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
- En el panel de detalles, seleccione un perfil y haga clic en Modificar.
- En la página Perfil de NetScaler Web App Firewall, haga clic en Reglas de relajación en la sección Configuración avanzada.
- En la sección Reglas de relajación, haga clic en StartURL y haga clic en Modificar.
- En la página Iniciar reglas de relajación de URL, haga clic en Agregar.
-
En la página Iniciar regla de relajación de URL, establezca los siguientes parámetros:
- Habilitada. Seleccione la casilla de verificación para activar la regla de relajación
- URL de inicio. Introduzca el valor de la expresión regular
- Comentarios. Proporciona una breve descripción sobre la regla de relajación.
- Haga clic en Crear y Cerrar.
Para configurar un perfil de Web App Firewall mediante la GUI
- Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
- En el panel de detalles, seleccione el perfil que quiere configurar y, a continuación, haga clic en Modificar.
-
En el cuadro de diálogo Configurar perfil de Web App Firewall, en la ficha Comprobaciones de seguridad, configure las comprobaciones de seguridad.
-
Para habilitar o inhabilitar una acción para una verificación, en la lista, active o desactive la casilla de verificación de la acción.
-
Para configurar los parámetros de las comprobaciones de seguridad de la lista, active la casilla de verificación y haga clic en Configuración activa.
-
Para revisar las entradas de registro de la comprobación de seguridad seleccionada, active la casilla de verificación y haga clic en Registros. Puede utilizar esta información para determinar las comprobaciones de seguridad que coinciden con los ataques, de modo que pueda bloquear el tráfico para las comprobaciones de seguridad. También puede usar la información para determinar las comprobaciones que coinciden con el tráfico legítimo, de modo que pueda configurar una exención adecuada para permitir esas conexiones legítimas. Para obtener más información sobre los registros, consulte Registros, estadísticas e informes.
-
Para inhabilitar completamente una comprobación, en la lista, desactive todas las casillas de verificación situadas a la derecha de esa comprobación.
-
- En la ficha Configuración, configure los ajustes del perfil.
-
Para asociar el perfil al conjunto de firmas que creó y configuró anteriormente, en Configuración común, elija ese conjunto de firmas en la lista desplegable Firmas.
Nota:
Debe utilizar la barra de desplazamiento a la derecha del cuadro de diálogo para desplazarse hacia abajo y mostrar la sección Configuración común.
- Para configurar un objeto de error HTML o XML, seleccione el objeto en la lista desplegable apropiada.
Nota:
Primero debe cargar el objeto de error que quiere utilizar en el panel Importaciones. Para obtener más información sobre la importación de objetos de error, consulte Importaciones.
- Para configurar el tipo de contenido XML predeterminado, escriba la cadena de tipo de contenido directamente en los cuadros de texto Solicitud predeterminada y Respuesta predeterminada o haga clic en Administrar tipos de contenido permitidos para administrar la lista de tipos de contenido permitidos. »Más….
-
- Si quiere utilizar la función de aprendizaje, haga clic en Aprendizaje y configure los ajustes de aprendizaje del perfil, tal y como se describe en Configuración y uso de la función de aprendizaje.
- Haga clic en Aceptar para guardar los cambios y volver al panel Perfiles.
Campos confidenciales en el perfil WAF
Nota
Esta función está disponible en la versión 13.1 compilación 27.x y posteriores.
Ahora puede agregar campos confidenciales en un perfil WAF. Estos campos están enmascarados y no se capturan en los registros de ADC cuando se produce una infracción. Anteriormente, podía agregar estos campos solo con la configuración. Para obtener más información sobre cómo agregar campos confidenciales mediante la configuración, consulte Campos confidenciales.
- Vaya a Seguridad > NetScaler Web App Firewall> Perfiles.
- Seleccione un perfil y haga clic en Modificar.
- En Configuración avanzada, haga clic en Campos confidenciales.
- Haga clic en Agregar.
- Introduzca valores para los siguientes parámetros:
- Nombre del campo del formulario*
- URL de acción*
- Comentarios
Un
*
indica un campo obligatorio
- Haga clic en Crear.
- Haga clic en Listo.