Administre listas globales para omitir el WAF o denegar las solicitudes
Una aplicación puede recibir solicitudes de fuentes confiables y no confiables. Es posible que desee omitir el NetScaler Web App Firewall para las solicitudes de una fuente confiable. Además, cuando las solicitudes provienen de ciertas fuentes que no son de confianza, debes bloquearlas estrictamente.
En un perfil de NetScaler Web App Firewall, puede configurar listas globales para omitir Web App Firewall o denegar las solicitudes. Si las solicitudes entrantes coinciden con la lista de omisiones global, omiten Web App Firewall de NetScaler. Si las solicitudes entrantes coinciden con la lista global de denegaciones, NetScaler Web App Firewall bloquea esas solicitudes y aplica la acción definida.
Las listas de omisión y denegación admiten direcciones URL, IPv4 e IPv6. Puede especificarlos mediante literales, PCRE y expresiones.
Configure la lista global de omisión y denegación mediante la CLI
Antes de empezar, cree un perfil de Web App Firewall y habilite las listas de omisión y denegación en la configuración del perfil.
-
Cree un perfil de Web App Firewall.
add appfw profile <profile-name> <!--NeedCopy-->
Ejemplo
add appfw profile example-profile <!--NeedCopy-->
Nota:
De forma predeterminada, la lista de omitidos y la lista de denegación están inhabilitadas. Para ver la configuración del perfil, ejecute el siguiente comando:
sh appfw profile <profile-name>
-
Ejecute el siguiente comando para habilitar la lista de omisión y la lista de denegación.
set appfw profile <profile-name> -bypasslist on -denylist on <!--NeedCopy-->
Enlazar el perfil de Web App Firewall con una lista de omisión global
Ejecute el siguiente comando para vincular las reglas a una lista de omisión global:
bind appfw profile <profile-name> -bypasslist <String|PCRE|Expression|IP-address> -valuetype <literal|PCRE|expression> -ruleaction log -location <url|ipv4|ipv6>
<!--NeedCopy-->
-
Ejemplo 1:
bind appfw profile example-profile -bypasslist http://www.example.com -valuetype literal -ruleaction log -location url <!--NeedCopy-->
En este ejemplo se utiliza un valor literal. Cuando la URL de la solicitud entrante contiene
http://www.example.com
, la solicitud omite las comprobaciones de WAF y registra un evento en el dispositivo NetScaler. -
Ejemplo-2:
bind appfw profile example-profile -bypasslist http://www.example[n] -valuetype PCRE -ruleaction log -location url <!--NeedCopy-->
En este ejemplo se utiliza un valor de PCRE. Cuando la URL de la solicitud entrante contiene
http://www.example
y sigue la letran
, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler. -
Ejemplo-3:
bind appfw profile example-profile -bypasslist http.req.url.contains("example") -valuetype expression -ruleaction log <!--NeedCopy-->
En este ejemplo se usa una expresión. Cuando la URL de la solicitud entrante
example
contiene alguna parte de la URL, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler.- Importante
-
No introduzca el valor de ubicación al especificar el tipo de valor de expresión.
-
Ejemplo 4:
bind appfw profile example-profile -bypasslist 10.10.10.10 -valuetype expression -ruleaction log -location ipv4 <!--NeedCopy-->
En este ejemplo se usa una dirección IPv4. Cuando la URL de la solicitud entrante contiene una dirección IP
10.10.10.10
, la solicitud omite las comprobaciones del WAF y registra un evento en el dispositivo NetScaler.Del mismo modo, puede especificar la dirección IPv6. Para ello, defina el valor de ubicación
ipv6
en este comando. -
Ejemplo-5:
bind appfw profile example-profile -bypasslist cookie -valuetype literal -ruleaction log -location headervalue <!--NeedCopy-->
En este ejemplo se usa un valor de encabezado. Cuando la solicitud entrante contiene un valor de encabezado como
cookie
, la solicitud omite las comprobaciones del Web App Firewall y registra un evento en NetScaler. -
Ejemplo-6:
bind appfw profile example-profile -bypasslist token -valuetype literal -ruleaction log -location headername <!--NeedCopy-->
En este ejemplo se usa un nombre de encabezado. Cuando la URL de la solicitud entrante contiene un nombre de encabezado como
token
, la solicitud omite las comprobaciones del Web App Firewall y registra un evento en NetScaler.
Enlazar el perfil de Web App Firewall con una lista de denegación global
Ejecute el siguiente comando para vincular las reglas a una lista de denegación global:
bind appfw profile <profile-name> -bypasslist <String|PCRE|Expression|IP-address> -valuetype <literal|PCRE|expression> -ruleaction <log|none|REDIRECT|RESET> -location <url|ipv4|ipv6>
<!--NeedCopy-->
-
Ejemplo 1:
bind appfw profile example-profile -denylist http://www.example.com -valuetype literal -ruleaction log -location url <!--NeedCopy-->
En este ejemplo se utiliza un valor literal. Cuando la URL de la solicitud entrante contiene
http://www.example.com
, NetScaler Web App Firewall bloquea la solicitud y registra un evento en el dispositivo NetScaler. -
Ejemplo-2:
bind appfw profile example-profile -denylist http://www.example[n] -valuetype PCRE -ruleaction none -location url <!--NeedCopy-->
En este ejemplo se utiliza un valor de PCRE. Cuando la URL de la solicitud entrante contiene
http://www.example
y sigue la letran
, el NetScaler Web App Firewall bloquea la solicitud.- Importante
-
Al especificar
-ruleaction
comonone
, NetScaler Web App Firewall realiza la acción predeterminada.
-
Ejemplo-3:
bind appfw profile example-profile -denylist http.req.url.contains("example") -valuetype expression -ruleaction REDIRECT <!--NeedCopy-->
En este ejemplo se usa una expresión. Cuando la URL de la solicitud entrante contiene
example
en alguna parte de la URL, NetScaler Web App Firewall bloquea y redirige la solicitud. -
Ejemplo 4:
bind appfw profile example-profile -denylist 10.10.10.10 -valuetype expression -ruleaction RESET -location ipv4 <!--NeedCopy-->
En este ejemplo se usa una dirección IPv4. Cuando la URL de la solicitud entrante contiene una dirección IP
10.10.10.10
, NetScaler Web App Firewall bloquea la solicitud y restablece la conexión.Del mismo modo, puede especificar la dirección IPv6. Para ello, defina el valor de ubicación
ipv6
en este comando. -
Ejemplo-5:
bind appfw profile example-profile -denylist cookie -valuetype literal -ruleaction log -location headervalue <!--NeedCopy-->
En este ejemplo se usa un valor de encabezado. Cuando la solicitud entrante contiene un valor de encabezado como
cookie
, NetScaler Web App Firewall bloquea la solicitud. -
Ejemplo-6:
bind appfw profile example-profile -denylist token -valuetype literal -ruleaction log -location headername <!--NeedCopy-->
En este ejemplo se usa un nombre de encabezado. Cuando la solicitud entrante contiene un nombre de encabezado como
token
, NetScaler Web App Firewall bloquea la solicitud.
Configure la lista global de omisión y denegación mediante la GUI
Antes de empezar, cree un perfil de Web App Firewall y habilite las listas de omisión y denegación en la configuración del perfil.
- Vaya a Seguridad > NetScaler Web App Firewall > Perfiles.
- Seleccione el perfil para el que desee agregar las listas globales de omisión y denegación.
- En la página Perfil de NetScaler Web App Firewall, haga clic en Configuración de perfil en Configuración avanzada.
-
En Configuración común, seleccione las siguientes opciones:
- Habilitar lista de omitidos
- Habilitar lista de denegaciones
- Haga clic en Aceptar y Listo.
Agregar una lista de omisión global
Complete los siguientes pasos para agregar una lista de omisiones global:
- Vaya a Seguridad > NetScaler Web App Firewall > Perfiles.
- Seleccione el perfil para el que desee agregar una lista de omisión global.
- En la página del perfil de NetScaler Web App Firewall, haga clic en la Lista global de omisiones o denegaciones en Configuración avanzada.
- En Lista global de omitidos, haga clic en Agregar.
-
Especifique lo siguiente en la página Crear enlace de listas de omisión de AppFirewall :
- Tipo de valor de lista de omisión: Admite literales, PCRE y expresiones.
- Valor de lista omiso: Especifique un valor según el tipo de valor.
- Omitir la acción de la lista: Una vez que la solicitud haya omitido las comprobaciones del WAF, se aplica la acción definida a la solicitud. Si la acción está configurada en Registrar, registra un evento en el dispositivo NetScaler.
- Ubicación de la lista de omisiones: Defina el valor de ubicación. Si especifica IPv4, el perfil busca la dirección IPv4 en la solicitud entrante.
- Haga clic en Crear.
Agregar una lista global de denegaciones
Complete los siguientes pasos para agregar una lista global de denegaciones:
- Vaya a Seguridad > NetScaler Web App Firewall > Perfiles.
- Seleccione el perfil para el que desea agregar una lista de denegación global.
- En la página del perfil de NetScaler Web App Firewall, haga clic en la Lista global de omisiones o denegaciones en Configuración avanzada.
- En Lista global de denegaciones, haga clic en Agregar.
-
Especifique lo siguiente en la página Crear enlace a la lista de denegación de AppFirewall :
- Tipo de valor de lista denegada: admite literales, PCRE y expresiones.
- Denegar valor de lista: especifique un valor según el tipo de valor.
- Acción de denegación de lista: Una vez que NetScaler Web App Firewall haya bloqueado la solicitud, se aplica la acción definida a la solicitud. Si la acción se establece en Restablecer, el Web App Firewall restablece la conexión.
- Registro: registra un evento en el dispositivo NetScaler cada vez que el NetScaler Web App Firewall bloquea la solicitud.
- Ubicación de la lista de denegación: defina el valor de ubicación. Si especifica IPv4, el perfil busca la dirección IPv4 en la solicitud entrante.
- Haga clic en Crear.