Documentación de productos
NetScaler VPX 14.1
14.1-Aktuelle Version 13.1 12.1
Ver PDF

Implementar NetScaler Web App Firewall en AWS

June 8, 2026
Contribución de: 
C C

El NetScaler Web App Firewall se puede instalar como un dispositivo de red de capa 3 o un puente de red de capa 2 entre los servidores del cliente y los usuarios del cliente, normalmente detrás del enrutador o firewall de la empresa del cliente. NetScaler Web App Firewall debe instalarse en una ubicación donde pueda interceptar el tráfico entre los servidores web y el concentrador o conmutador a través del cual los usuarios acceden a esos servidores web. Luego, los usuarios configuran la red para enviar solicitudes al firewall de aplicaciones web en lugar de directamente a sus servidores web, y las respuestas al firewall de aplicaciones web en lugar de directamente a sus usuarios. El firewall de aplicaciones web filtra ese tráfico antes de reenviarlo a su destino final, utilizando tanto su conjunto de reglas internas como las adiciones y modificaciones del usuario. Bloquea o neutraliza cualquier actividad que detecte como dañina y luego reenvía el tráfico restante al servidor web. La imagen anterior proporciona una descripción general del proceso de filtrado.

Para obtener más información, consulte Cómo funciona NetScaler Web App Firewall.

Arquitectura de NetScaler Web App Firewall en AWS para implementación en producción

La imagen muestra una nube privada virtual (VPC) con parámetros predeterminados que crea un entorno de NetScaler Web App Firewall en la nube de AWS.

Arquitectura de NetScaler Web App Firewall en AWS para implementación en producción

En una implementación de producción, se configuran los siguientes parámetros para el entorno de NetScaler Web App Firewall:

  • Esta arquitectura asume el uso de una plantilla de AWS CloudFormation.

  • Una VPC que abarca dos zonas de disponibilidad, configurada con dos subredes públicas y cuatro privadas, de acuerdo con las mejores prácticas de AWS, para proporcionarle su propia red virtual en AWS con un bloque de enrutamiento entre dominios sin clases (CIDR) /16 (una red con 65 536 direcciones IP privadas).

  • Dos instancias de NetScaler Web App Firewall (primaria y secundaria), una en cada zona de disponibilidad.

  • Tres grupos de seguridad, uno para cada interfaz de red (administración, cliente, servidor), que actúan como firewalls virtuales para controlar el tráfico de sus instancias asociadas.

  • Tres subredes, para cada instancia: una para administración, una para cliente y otra para el servidor de back-end.

  • Una pasarela de Internet conectada a la VPC y una tabla de rutas de subredes públicas asociada a las subredes públicas para permitir el acceso a Internet. Esta pasarela es utilizada por el host del firewall de aplicaciones web para enviar y recibir tráfico. Para obtener más información sobre las pasarelas de Internet, consulte: Pasarelas de Internet.

  • 5 tablas de rutas: una tabla de rutas pública asociada a las subredes de cliente del firewall de aplicaciones web principal y secundario. Las 4 tablas de rutas restantes se vinculan a cada una de las 4 subredes privadas (subredes de administración y del lado del servidor del firewall de aplicaciones web principal y secundario).

  • AWS Lambda en Web App Firewall se encarga de lo siguiente:

    • Configuración de dos Web App Firewall en cada zona de disponibilidad en modo HA

    • Creación de un perfil de Web App Firewall de ejemplo y, por lo tanto, aplicar esta configuración con respecto a Web App Firewall

  • AWS Identity and Access Management (IAM) para controlar de forma segura el acceso a los servicios y recursos de AWS para sus usuarios. De forma predeterminada, la plantilla de CloudFormation (CFT) crea el rol de IAM necesario. Sin embargo, los usuarios pueden proporcionar su propio rol de IAM para las instancias de NetScaler ADC.

  • En las subredes públicas, dos puertas de enlace de traducción de direcciones de red (NAT) administradas para permitir el acceso saliente a Internet para los recursos en las subredes públicas.

Nota:

La plantilla de CFT Web App Firewall que implementa NetScaler Web App Firewall en una VPC existente omite los componentes marcados con asteriscos y solicita a los usuarios su configuración de VPC existente.

Los servidores back-end no son implementados por la CFT.

Costo y licencias

Los usuarios son responsables del costo de los servicios de AWS utilizados al ejecutar implementaciones de AWS. Las plantillas de AWS CloudFormation que se pueden usar para esta implementación incluyen parámetros de configuración que los usuarios pueden personalizar según sea necesario. Algunas de esas configuraciones, como el tipo de instancia, afectan el costo de la implementación. Para estimaciones de costos, los usuarios deben consultar las páginas de precios de cada servicio de AWS que estén utilizando. Los precios están sujetos a cambios.

Un NetScaler Web App Firewall en AWS requiere una licencia. Para licenciar NetScaler Web App Firewall, los usuarios deben colocar la clave de licencia en un bucket de S3 y especificar su ubicación al iniciar la implementación.

Nota:

Cuando los usuarios eligen el modelo de licencias Bring your own license (BYOL), deben asegurarse de tener habilitada una función de AppFlow. Para obtener más información sobre las licencias BYOL, consulte: AWS Marketplace/Citrix VPX - Customer Licensed.

Las siguientes opciones de licencia están disponibles para Citrix® ADC Web App Firewall que se ejecuta en AWS. Los usuarios pueden elegir una AMI (Amazon Machine Image) basada en un único factor, como el rendimiento.

  • Modelo de licencia: Pago por uso (PAYG, para las licencias de producción) o Traiga su propia licencia (BYOL, para la AMI con licencia de cliente - Citrix ADC Pooled Capacity). Para obtener más información sobre Citrix ADC Pooled Capacity, consulte: Citrix ADC Pooled Capacity.

    • Para BYOL, hay 3 modos de licencia:

      • Configurar la capacidad agrupada de NetScaler: (/es-es/citrix-application-delivery-management-software/current-release/license-server/adc-pooled-capacity/configuring-adc-pooled-capacity.html#configure-citrix-adm-as-a-license-server)

      • Licencias de entrada y salida (CICO) de NetScaler VPX: (/es-es/citrix-application-delivery-management-software/current-release/license-server/adc-vpx-check-in-check-out)

      Sugerencia:

      Si los usuarios eligen las licencias CICO con el tipo de plataforma de aplicación VPX-200, VPX-1000, VPX-3000, VPX-5000 o VPX-8000, deben asegurarse de que tienen la misma licencia de rendimiento presente en su servidor de licencias de NetScaler Console.

      • Licencias de CPU virtual de NetScaler: (/es-es/citrix-application-delivery-management-software/13/license-server/adc-virtual-cpu-licensing.html)

Nota:

Si los usuarios desean modificar dinámicamente el ancho de banda de una instancia VPX, deben elegir una opción BYOL, por ejemplo, NetScaler pooled capacity, donde pueden asignar las licencias desde NetScaler Console, o pueden retirar las licencias de NetScaler según la capacidad mínima y máxima de la instancia bajo demanda y sin reiniciar. Solo se requiere un reinicio si los usuarios desean cambiar la edición de la licencia.

  • Rendimiento: 200 Mbps o 1 Gbps

  • Paquete: Premium

Opciones de implementación

Esta guía de implementación proporciona dos opciones de implementación:

  • La primera opción es implementar utilizando un formato de Guía de inicio rápido y las siguientes opciones:

    • Implementar NetScaler Web App Firewall en una nueva VPC (implementación de extremo a extremo). Esta opción crea un nuevo entorno de AWS que consta de la VPC, subredes, grupos de seguridad y otros componentes de infraestructura, y luego implementa NetScaler Web App Firewall en esta nueva VPC.

    • Implementar NetScaler Web App Firewall en una VPC existente. Esta opción aprovisiona NetScaler Web App Firewall en la infraestructura de AWS existente del usuario.

  • La segunda opción es implementar utilizando StyleBooks de Web App Firewall con NetScaler Console

Inicio rápido de AWS

Paso 1: Inicie sesión en la cuenta de AWS del usuario

  • Inicie sesión en la cuenta de usuario en AWS: AWS con un rol de usuario de IAM (Identity and Access Management) que tenga los permisos necesarios para crear una cuenta de Amazon (si es necesario) o para iniciar sesión en una cuenta de Amazon.

  • Utilice el selector de región en la barra de navegación para elegir la región de AWS donde los usuarios desean implementar alta disponibilidad en todas las zonas de disponibilidad de AWS.

  • Asegúrese de que la cuenta de AWS del usuario esté configurada correctamente; consulte la sección Requisitos técnicos de este documento para obtener más información.

Paso 2: Suscribirse a la AMI de NetScaler Web App Firewall

  • Esta implementación requiere una suscripción a la AMI de NetScaler Web App Firewall en AWS Marketplace.

  • Inicie sesión en la cuenta de AWS del usuario.

  • Abra la página de la oferta de NetScaler Web App Firewall eligiendo uno de los enlaces de la siguiente tabla.

    • Cuando los usuarios inicien la Guía de inicio rápido para implementar NetScaler Web App Firewall en el Paso 3 a continuación, utilizarán el parámetro NetScaler Web App Firewall Image para seleccionar el paquete y la opción de rendimiento que coincidan con su suscripción a la AMI. La siguiente lista muestra las opciones de AMI y la configuración de parámetros correspondiente. La instancia de AMI VPX requiere un mínimo de 2 CPU virtuales y 2 GB de memoria.

Nota:

Para recuperar el ID de AMI, consulte la página de productos de NetScaler en AWS Marketplace en GitHub: Productos de Citrix en AWS Marketplace.

  • AMI de AWS Marketplace

  • En la página de la AMI, elija Continuar con la suscripción.

    Página de AWS Marketplace para un firewall de aplicaciones web de NetScaler (Web App Firewall)

  • Revise los términos y condiciones de uso del software y, a continuación, elija Aceptar términos.

    Aceptar los términos del Contrato de licencia de usuario del firewall de aplicaciones web de NetScaler

    Nota:

    Los usuarios reciben una página de confirmación y se envía una confirmación por correo electrónico al propietario de la cuenta. Para obtener instrucciones detalladas sobre la suscripción, consulte Introducción en la documentación de AWS Marketplace: Introducción.

  • Cuando el proceso de suscripción se haya completado, salga de AWS Marketplace sin realizar ninguna otra acción. No aprovisione el software desde AWS Marketplace; los usuarios implementarán la AMI con la Guía de inicio rápido.

Paso 3: Iniciar el Inicio rápido de AWS

Importante:

Si los usuarios implementan NetScaler Web App Firewall en una VPC existente, deben asegurarse de que su VPC abarque dos zonas de disponibilidad, con una subred pública y dos privadas en cada zona de disponibilidad para las instancias de carga de trabajo, y de que las subredes no se compartan. Esta guía de implementación no admite subredes compartidas; consulte Trabajar con VPC compartidas: Trabajar con VPC compartidas. Estas subredes requieren puertas de enlace NAT en sus tablas de enrutamiento para permitir que las instancias descarguen paquetes y software sin exponerlos a Internet. Para obtener más información sobre las puertas de enlace NAT, consulte Puertas de enlace NAT. Configure las subredes para que no haya superposición de subredes.

Además, los usuarios deben asegurarse de que la opción de nombre de dominio en las opciones de DHCP esté configurada como se explica en la documentación de Amazon VPC que se encuentra aquí: Conjuntos de opciones de DHCP Conjuntos de opciones de DHCP. Se solicitarán a los usuarios sus configuraciones de VPC cuando inicien la Guía de inicio rápido.

  • Cada implementación tarda unos 15 minutos en completarse.

  • Compruebe la región de AWS que se muestra en la esquina superior derecha de la barra de navegación y cámbiela si es necesario. Aquí es donde se construirá la infraestructura de red para Citrix Web App Firewall. La plantilla se inicia en la región Este de EE. UU. (Ohio) de forma predeterminada.

Nota:

Esta implementación incluye NetScaler Web App Firewall, que actualmente no es compatible con todas las regiones de AWS. Para obtener una lista actual de las regiones admitidas, consulte los puntos de conexión de servicio de AWS: Puntos de conexión de servicio de AWS.

  • En la página Seleccionar plantilla, mantenga la configuración predeterminada para la URL de la plantilla y, a continuación, elija Siguiente.

  • En la página Especificar detalles, especifique el nombre de la pila según la conveniencia del usuario. Revise los parámetros de la plantilla. Proporcione valores para los parámetros que requieren entrada. Para todos los demás parámetros, revise la configuración predeterminada y personalícela según sea necesario.

  • En la siguiente tabla, los parámetros se enumeran por categoría y se describen por separado para la opción de implementación:

  • Parámetros para implementar NetScaler Web App Firewall en una VPC nueva o existente (Opción de implementación 1)

  • Cuando los usuarios terminen de revisar y personalizar los parámetros, deben elegir Siguiente.

Parámetros para implementar NetScaler Web App Firewall en una nueva VPC

Configuración de red de VPC

Etiqueta de parámetro (nombre) Predeterminado Descripción
Zona de disponibilidad principal (PrimaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación principal de NetScaler Web App Firewall
Zona de disponibilidad secundaria (SecondaryAvailabilityZone) Requiere entrada La zona de disponibilidad para la implementación secundaria de NetScaler Web App Firewall
CIDR de VPC (VPCCIDR) 10.0.0.0/16 El bloque CIDR para la VPC. Debe ser un rango CIDR de IP válido con el formato x.x.x.x/x.
IP CIDR de SSH remoto (Administración) (RestrictedSSHCIDR) Requiere entrada El rango de direcciones IP que pueden acceder por SSH a la instancia EC2 (puerto: 22).
IP CIDR de HTTP remoto (Cliente) (RestrictedWebAppCIDR) 0.0.0.0/0 El rango de direcciones IP que pueden acceder por HTTP a la instancia EC2 (puerto: 80)
IP CIDR HTTP remoto (cliente) (RestrictedWebAppCIDR) 0.0.0.0/0 El rango de direcciones IP que puede hacer HTTP a la instancia EC2 (puerto: 80)
CIDR de subred privada de administración principal (PrimaryManagementPrivateSubnetCIDR) 10.0.1.0/24 El bloque CIDR para la subred de administración principal ubicada en la zona de disponibilidad 1.
IP privada de administración principal (PrimaryManagementPrivateIP) IP privada asignada a la ENI de administración principal (el último octeto debe estar entre 5 y 254) del CIDR de la subred de administración principal.
CIDR de subred pública de cliente principal (PrimaryClientPublicSubnetCIDR) 10.0.2.0/24 El bloque CIDR para la subred de cliente principal ubicada en la zona de disponibilidad 1.
IP privada de cliente principal (PrimaryClientPrivateIP) IP privada asignada a la ENI de cliente principal (el último octeto debe estar entre 5 y 254) de la IP de cliente principal del CIDR de la subred de cliente principal.
CIDR de subred privada del servidor principal (PrimaryServerPrivateSubnetCIDR) 10.0.3.0/24 El bloque CIDR para el servidor principal ubicado en la zona de disponibilidad 1.
IP privada del servidor principal (PrimaryServerPrivateIP) IP privada asignada a la ENI del servidor principal (el último octeto debe estar entre 5 y 254) del CIDR de la subred del servidor principal.
CIDR de subred privada de administración secundaria (SecondaryManagementPrivateSubnetCIDR) 10.0.4.0/24 El bloque CIDR para la subred de administración secundaria ubicada en la zona de disponibilidad 2.
IP privada de administración secundaria (SecondaryManagementPrivateIP) IP privada asignada a la ENI de administración secundaria (el último octeto debe estar entre 5 y 254). Asignaría la IP de administración secundaria del CIDR de la subred de administración secundaria.
CIDR de subred pública de cliente secundaria (SecondaryClientPublicSubnetCIDR) 10.0.5.0/24 El bloque CIDR para la subred de cliente secundaria ubicada en la zona de disponibilidad 2.
IP privada de cliente secundario (SecondaryClientPrivateIP) IP privada asignada a la ENI del cliente secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del cliente secundario desde el CIDR de la subred del cliente secundario.
CIDR de subred privada de servidor secundario (SecondaryServerPrivateSubnetCIDR) 10.0.6.0/24 El bloque CIDR para la subred del servidor secundario ubicada en la Zona de disponibilidad 2.
IP privada de servidor secundario (SecondaryServerPrivateIP) IP privada asignada a la ENI del servidor secundario (el último octeto debe estar entre 5 y 254). Asignaría la IP del servidor secundario desde el CIDR de la subred del servidor secundario.
Atributo de tenencia de VPC (VPCTenancy) predeterminado La tenencia permitida de las instancias lanzadas en la VPC. Elija la tenencia dedicada para lanzar instancias EC2 dedicadas a un único cliente.

Configuración del host bastión

Etiqueta de parámetro (nombre) Predeterminado Descripción
Host bastión requerido (LinuxBastionHostEIP) No De forma predeterminada, no se configurará ningún host bastión. Pero si los usuarios desean optar por la implementación de sandbox, seleccione en el menú, lo que implementaría un host bastión Linux en la subred pública con una EIP que daría a los usuarios acceso a los componentes en la subred privada y pública.

Configuración de NetScaler Web App Firewall

Etiqueta de parámetro (nombre) Predeterminado Descripción
Nombre del par de claves (KeyPairName) Requiere entrada Un par de claves pública/privada, que permite a los usuarios conectarse de forma segura a la instancia de usuario después de su lanzamiento. Este es el par de claves que los usuarios crearon en su región de AWS preferida; consulte la sección Requisitos técnicos.
Tipo de instancia de NetScaler (CitrixADCInstanceType) m4.xlarge El tipo de instancia EC2 que se utilizará para las instancias de ADC. Asegúrese de que el tipo de instancia elegido se alinee con los tipos de instancia disponibles en el mercado de AWS, de lo contrario, el CFT podría fallar.
ID de AMI de NetScaler ADC (CitrixADCImageID) La AMI de AWS Marketplace que se utilizará para la implementación de NetScaler Web App Firewall. Debe coincidir con la AMI a la que los usuarios se suscribieron en el paso 2.
Rol de IAM de NetScaler ADC VPX (iam:GetRole) Esta plantilla: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates crea el rol de IAM y el perfil de instancia necesarios para NetScaler VPX. Si se deja vacío, CFT crea el rol de IAM necesario.
IP pública del cliente (EIP) (ClientPublicEIP) No Seleccione «Sí» si los usuarios desean asignar una EIP pública a la interfaz de red del cliente. De lo contrario, incluso después de la implementación, los usuarios aún tienen la opción de asignarla más tarde si es necesario.

Configuración de licencias agrupadas

Etiqueta de parámetro (nombre) Predeterminado Descripción
Licencias agrupadas de NetScaler Console No Si elige la opción BYOL para las licencias, seleccione de la lista. Esto permite a los usuarios cargar sus licencias ya adquiridas. Antes de empezar, los usuarios deben configurar la capacidad agrupada de NetScaler ADC para asegurarse de que las licencias agrupadas de NetScaler Console estén disponibles; consulte Configurar la capacidad agrupada de NetScaler
IP de NetScaler Console / Agente de NetScaler Console accesible Requiere entrada Para la opción de licencia de cliente, tanto si los usuarios implementan NetScaler Console localmente como un agente en la nube, asegúrese de tener una IP de NetScaler Console accesible que se utilizará como parámetro de entrada.
Modo de licencia


Opcional


Los usuarios pueden elegir entre los 3 modos de licencia:
  • Configurar NetScaler Pooled Capacity. Para obtener más información, consulte Configurar Citrix ADC Pooled Capacity
  • Licencias de entrada y salida (CICO) de NetScaler VPX. Para obtener más información, consulte Citrix ADC VPX Check-in and Check-out Licensing
  • Licencias de CPU virtual de NetScaler. Para obtener más información, consulte Citrix ADC virtual CPU Licensing
    • Ancho de banda de la licencia en Mbps 0 Mbps Solo si el modo de licencia es Pooled-Licensing, este campo entra en juego. Asigna un ancho de banda inicial de la licencia en Mbps que se asignará después de crear los ADC BYOL. Debe ser un múltiplo de 10 Mbps.
    Edición de la licencia Premium La edición de la licencia para el modo de licencia de capacidad agrupada es Premium.
    Tipo de plataforma del dispositivo Opcional Elija el tipo de plataforma de dispositivo requerido, solo si los usuarios optan por el modo de licencia CICO. Los usuarios obtienen las opciones enumeradas: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000.
    Edición de la licencia Premium La edición de la licencia basada en vCPU es Premium.

    Configuración de AWS Quick Start

    Nota:

    Recomendamos que los usuarios mantengan la configuración predeterminada para los dos parámetros siguientes, a menos que estén personalizando las plantillas de la Guía de inicio rápido para sus propios proyectos de implementación. Cambiar la configuración de estos parámetros actualizará automáticamente las referencias de código para que apunten a una nueva ubicación de la Guía de inicio rápido. Para obtener más detalles, consulte la Guía del colaborador de la Guía de inicio rápido de AWS aquí: AWS Quick Starts/Option 1 - Adopt a Quick Start.

    Etiqueta de parámetro (nombre) Predeterminado Descripción
    Nombre del bucket S3 de la Guía de inicio rápido (QSS3BucketName) aws-quickstart El bucket S3 que los usuarios crearon para su copia de los activos de la Guía de inicio rápido, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. El nombre del bucket puede incluir números, letras minúsculas, letras mayúsculas y guiones, pero no debe empezar ni terminar con un guion.
    Prefijo de clave S3 de la Guía de inicio rápido (QSS3KeyPrefix) quickstart-citrix-adc-vpx/ El prefijo del nombre de clave S3, de la clave de objeto y los metadatos: Clave de objeto y metadatos, se utiliza para simular una carpeta para la copia de los activos de la Guía de inicio rápido del usuario, si los usuarios deciden personalizar o ampliar la Guía de inicio rápido para su propio uso. Este prefijo puede incluir números, letras minúsculas, letras mayúsculas, guiones y barras diagonales.

    • En la página Opciones, los usuarios pueden especificar una etiqueta de recurso o un par clave-valor para los recursos de su pila y establecer opciones avanzadas. Para obtener más información sobre las etiquetas de recursos, consulte Etiqueta de recurso. Para obtener más información sobre cómo configurar las opciones de pila de AWS CloudFormation, consulte Configuración de las opciones de pila de AWS CloudFormation. Cuando los usuarios hayan terminado, deben elegir Siguiente.

    • En la página Revisar, revise y confirme la configuración de la plantilla. En Capacidades, seleccione las dos casillas de verificación para reconocer que la plantilla crea recursos de IAM y que podría requerir la capacidad de expandir macros automáticamente.

    • Elija Crear para implementar la pila.

    • Supervise el estado de la pila. Cuando el estado sea CREATE_COMPLETE, la instancia de NetScaler Web App Firewall estará lista.

    • Utilice las URL que se muestran en la pestaña Salidas de la pila para ver los recursos que se crearon.

    Salidas de NetScaler Web App Firewall después de una implementación correcta

    Paso 4: Probar la implementación

    Nos referimos a las instancias en esta implementación como principal y secundaria. Cada instancia tiene diferentes direcciones IP asociadas. Cuando el Quick Start se ha implementado correctamente, el tráfico pasa a través de la instancia principal de NetScaler Web App Firewall configurada en la Zona de disponibilidad 1. Durante las condiciones de conmutación por error, cuando la instancia principal no responde a las solicitudes del cliente, la instancia secundaria de Web App Firewall toma el control.

    La dirección IP elástica de la dirección IP virtual de la instancia principal migra a la instancia secundaria, que asume el rol de nueva instancia principal.

    En el proceso de conmutación por error, NetScaler Web App Firewall realiza lo siguiente:

    • NetScaler Web App Firewall comprueba los servidores virtuales que tienen conjuntos de IP asociados.

    • NetScaler Web App Firewall encuentra la dirección IP que tiene una dirección IP pública asociada de las dos direcciones IP en las que el servidor virtual está escuchando. Una que está directamente conectada al servidor virtual y otra que está conectada a través del conjunto de IP.

    • NetScaler Web App Firewall reasocia la dirección IP elástica pública a la dirección IP privada que pertenece a la nueva dirección IP virtual principal.

    Para validar la implementación, realice lo siguiente:

    • Conéctese a la instancia principal

    Por ejemplo, con un servidor proxy, un jump host (una instancia Linux/Windows/FW que se ejecuta en AWS, o el host bastión), u otro dispositivo accesible a esa VPC o una conexión directa si se trata de conectividad local.

    • Realice una acción de activación para forzar la conmutación por error y compruebe si la instancia secundaria toma el control.

    Sugerencia:

    Para validar aún más la configuración con respecto a NetScaler Web App Firewall, ejecute el siguiente comando después de conectarse a la instancia principal de NetScaler Web App Firewall:

    Sh appfw profile QS-Profile

    Conectarse al par HA de NetScaler Web App Firewall mediante un host bastión

    Si los usuarios optan por la implementación de Sandbox (por ejemplo, como parte de CFT, los usuarios optan por configurar un Bastion Host), se configurará un host bastión de Linux implementado en una subred pública para acceder a las interfaces del Firewall de aplicaciones web.

    En la consola de AWS CloudFormation, a la que se accede iniciando sesión aquí: Iniciar sesión, elija la pila maestra y, en la pestaña Outputs, busque el valor de LinuxBastionHostEIP1.

    Recursos de implementación del par HA de NetScaler Web App Firewall

    • Valor de la clave PrivateManagementPrivateNSIP y PrimaryADCInstanceID que se utilizará en los pasos posteriores para acceder al ADC mediante SSH.

    • Elija Services.

    • En la pestaña Compute, seleccione EC2.

      • En Resources, elija Running Instances.

      • En la pestaña Description de la instancia principal del Firewall de aplicaciones web, anote la dirección IPv4 public IP. Los usuarios necesitan esa dirección IP para construir el comando SSH.

    Consola de Amazon EC2 con descripción de la instancia principal

    • Para almacenar la clave en el llavero del usuario, ejecute el comando ssh-add -K [your-key-pair].pem

    En Linux, es posible que los usuarios deban omitir el indicador -K.

    • Inicie sesión en el host bastión utilizando el siguiente comando, usando el valor de LinuxBastionHostEIP1 que anotó en el paso 1.

    ssh -A ubuntu@[LinuxBastionHostEIP1]

    • Desde el host bastión, los usuarios pueden conectarse a la instancia principal del Firewall de aplicaciones web mediante SSH.

    ssh nsroot@[Primary Management Private NSIP]

    Contraseña: [Primary ADC Instance ID]

    Conectando a la instancia principal de NetScaler Web App Firewall

    Ahora los usuarios están conectados a la instancia principal de NetScaler Web App Firewall. Para ver los comandos disponibles, los usuarios pueden ejecutar el comando help. Para ver la configuración HA actual, los usuarios pueden ejecutar el comando show HA node.

    NetScaler Console

    El servicio NetScaler Application Delivery Management proporciona una solución fácil y escalable para administrar implementaciones de NetScaler que incluyen dispositivos NetScaler MPX, NetScaler VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler SDX, NetScaler ADC CPX y NetScaler SD-WAN que se implementan en las instalaciones o en la nube.

    La documentación del servicio NetScaler Console incluye información sobre cómo empezar a usar el servicio, una lista de las funciones compatibles con el servicio y la configuración específica de esta solución de servicio.

    Para obtener más información, consulte NetScaler Console Overview.

    Implementación de instancias de NetScaler VPX en AWS mediante NetScaler Console

    Cuando los clientes mueven sus aplicaciones a la nube, los componentes que forman parte de su aplicación aumentan, se distribuyen más y necesitan ser administrados dinámicamente.

    Para obtener más información, consulte Provisioning NetScaler VPX Instances on AWS.

    NetScaler Web App Firewall y OWASP Top 10 – 2017

    El Proyecto Abierto de Seguridad de Aplicaciones Web: OWASP publicó el OWASP Top 10 de 2017 para la seguridad de aplicaciones web. Esta lista documenta las vulnerabilidades más comunes de las aplicaciones web y es un excelente punto de partida para evaluar la seguridad web. Aquí detallamos cómo configurar el NetScaler Web App Firewall (Web App Firewall) para mitigar estas fallas. Web App Firewall está disponible como un módulo integrado en NetScaler (Premium Edition), así como en una gama completa de dispositivos.

    El documento completo de OWASP Top 10 está disponible en OWASP Top Ten.

    Las firmas proporcionan las siguientes opciones de implementación para ayudar a los usuarios a optimizar la protección de las aplicaciones de los usuarios:

    • Modelo de seguridad negativo: Con el modelo de seguridad negativo, los usuarios emplean un amplio conjunto de reglas de firma preconfiguradas para aplicar el poder de la coincidencia de patrones para detectar ataques y proteger contra vulnerabilidades de aplicaciones. Los usuarios bloquean solo lo que no quieren y permiten el resto. Los usuarios pueden agregar sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de los usuarios, para diseñar sus propias soluciones de seguridad personalizadas.

    • Modelo de seguridad híbrido: Además de usar firmas, los usuarios pueden usar comprobaciones de seguridad positivas para crear una configuración idealmente adecuada para las aplicaciones de usuario. Use firmas para bloquear lo que los usuarios no quieren y use comprobaciones de seguridad positivas para aplicar lo que está permitido.

    Para proteger las aplicaciones de usuario mediante firmas, los usuarios deben configurar uno o más perfiles para usar su objeto de firmas. En una configuración de seguridad híbrida, los patrones de inyección SQL y de scripts entre sitios, y las reglas de transformación SQL, en el objeto de firmas de usuario se utilizan no solo por las reglas de firma, sino también por las comprobaciones de seguridad positivas configuradas en el perfil de Web Application Firewall que utiliza el objeto de firmas.

    El Web Application Firewall examina el tráfico a los sitios web y servicios web protegidos por el usuario para detectar el tráfico que coincide con una firma. Una coincidencia se activa solo cuando cada patrón de la regla coincide con el tráfico. Cuando se produce una coincidencia, se invocan las acciones especificadas para la regla. Los usuarios pueden mostrar una página de error o un objeto de error cuando se bloquea una solicitud. Los mensajes de registro pueden ayudar a los usuarios a identificar los ataques que se lanzan contra las aplicaciones de usuario. Si los usuarios habilitan las estadísticas, el Web Application Firewall mantiene datos sobre las solicitudes que coinciden con una firma o comprobación de seguridad del Web Application Firewall.

    Si el tráfico coincide con una firma y una comprobación de seguridad positiva, se aplican las acciones más restrictivas de las dos. Por ejemplo, si una solicitud coincide con una regla de firma para la que la acción de bloqueo está inhabilitada, pero la solicitud también coincide con una comprobación de seguridad positiva de inyección SQL para la que la acción es bloquear, la solicitud se bloquea. En este caso, la infracción de firma podría registrarse como [not blocked], aunque la solicitud sea bloqueada por la comprobación de inyección SQL.

    Personalización: Si es necesario, los usuarios pueden agregar sus propias reglas a un objeto de firmas. Los usuarios también pueden personalizar los patrones SQL/XSS. La opción de agregar sus propias reglas de firma, basadas en las necesidades de seguridad específicas de las aplicaciones de usuario, brinda a los usuarios la flexibilidad de diseñar sus propias soluciones de seguridad personalizadas. Los usuarios bloquean solo lo que no quieren y permiten el resto. Un patrón de coincidencia rápida específico en una ubicación especificada puede reducir significativamente la sobrecarga de procesamiento para optimizar el rendimiento. Los usuarios pueden agregar, modificar o eliminar patrones de inyección SQL y de scripts entre sitios. Los editores de expresiones y RegEx integrados ayudan a los usuarios a configurar patrones de usuario y verificar su precisión.

    NetScaler Web App Firewall

    El Firewall de aplicaciones web es una solución de nivel empresarial que ofrece protecciones de vanguardia para aplicaciones modernas. NetScaler Firewall de aplicaciones web mitiga las amenazas contra los activos de cara al público, incluidos sitios web, aplicaciones web y API. Este incluye filtrado basado en la reputación de IP, mitigación de bots, protecciones contra las 10 principales amenazas de aplicaciones de OWASP, protección DDoS de capa 7 y mucho más. También se incluyen opciones para aplicar autenticación, cifrados SSL/TLS seguros, TLS 1.3, limitación de velocidad y políticas de reescritura. Utilizando protecciones básicas y avanzadas de firewall de aplicaciones web, este proporciona una protección integral para sus aplicaciones con una facilidad de uso inigualable. Ponerlo en marcha es cuestión de minutos. Además, mediante un modelo de aprendizaje automatizado, denominado creación de perfiles dinámicos, NetScaler Firewall de aplicaciones web ahorra un tiempo valioso a los usuarios. Al aprender automáticamente cómo funciona una aplicación protegida, el Firewall de aplicaciones web se adapta a la aplicación incluso cuando los desarrolladores implementan y modifican las aplicaciones. NetScaler Firewall de aplicaciones web ayuda con el cumplimiento de todas las principales normas y organismos reguladores, incluidos PCI-DSS, HIPAA y otros. Con nuestras plantillas de CloudFormation, nunca ha sido tan fácil empezar a trabajar rápidamente. Con el autoescalado, los usuarios pueden estar seguros de que sus aplicaciones permanecen protegidas incluso cuando su tráfico aumenta.

    Estrategia de implementación de Web App Firewall

    El primer paso para implementar el firewall de aplicaciones web es evaluar qué aplicaciones o datos específicos necesitan la máxima protección de seguridad, cuáles son menos vulnerables y cuáles pueden omitir la inspección de seguridad de forma segura. Esto ayuda a los usuarios a obtener una configuración óptima y a diseñar políticas y puntos de enlace adecuados para segregar el tráfico. Por ejemplo, los usuarios pueden querer configurar una política para omitir la inspección de seguridad de las solicitudes de contenido web estático, como imágenes, archivos MP3 y películas, y configurar otra política para aplicar comprobaciones de seguridad avanzadas a las solicitudes de contenido dinámico. Los usuarios pueden usar varias políticas y perfiles para proteger diferentes contenidos de la misma aplicación.

    El siguiente paso es establecer la línea base de la implementación. Comience creando un servidor virtual y ejecute tráfico de prueba a través de él para hacerse una idea de la velocidad y la cantidad de tráfico que fluye a través del sistema del usuario.

    Luego, implemente el Web App Firewall. Use la consola de NetScaler y el StyleBook de Web App Firewall para configurar el Web App Firewall. Consulte la sección StyleBook a continuación en esta guía para obtener más detalles.

    Una vez que el Web App Firewall esté implementado y configurado con el StyleBook de Web App Firewall, un siguiente paso útil sería implementar el NetScaler ADC Web App Firewall y OWASP Top 10.

    Finalmente, tres de las protecciones de Web App Firewall son especialmente efectivas contra tipos comunes de ataques web y, por lo tanto, se usan con más frecuencia que cualquier otra. Por lo tanto, deben implementarse en la implementación inicial.

    Consola de NetScaler

    La consola de NetScaler proporciona una solución escalable para administrar implementaciones de NetScaler ADC que incluyen NetScaler ADC MPX, NetScaler ADC VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler ADC SDX, NetScaler ADC CPX y dispositivos NetScaler SD-WAN implementados en las instalaciones o en la nube.

    Funciones de análisis y administración de la consola de NetScaler

    Las funciones compatibles con la consola de NetScaler son clave para el rol de la consola de NetScaler en la seguridad de las aplicaciones.

    Para obtener más información sobre las funciones, consulte Funciones y soluciones.

    Requisitos previos

    Antes de intentar crear una instancia VPX en AWS, los usuarios deben asegurarse de que se cumplen los requisitos previos. Para obtener más información, consulte Requisitos previos:

    Limitaciones y directrices de uso

    Las limitaciones y directrices de uso disponibles en Limitaciones y directrices de uso se aplican al implementar una instancia de Citrix ADC VPX en AWS.

    Requisitos técnicos

    Antes de que los usuarios inicien la Guía de inicio rápido para comenzar una implementación, la cuenta de usuario debe configurarse como se especifica en la siguiente tabla de recursos. De lo contrario, la implementación podría fallar.

    Recursos

    Si es necesario, inicie sesión en la cuenta de Amazon del usuario y solicite aumentos de límites de servicio para los siguientes recursos aquí: AWS/Iniciar sesión. Es posible que deba hacerlo si ya tiene una implementación existente que utiliza estos recursos y cree que podría exceder los límites predeterminados con esta implementación. Para conocer los límites predeterminados, consulte las Cuotas de servicio de AWS en la documentación de AWS: Cuotas de servicio de AWS.

    AWS Trusted Advisor, que se encuentra aquí: AWS/Iniciar sesión, ofrece una comprobación de límites de servicio que muestra el uso y los límites para algunos aspectos de algunos servicios.

    Recurso Esta implementación utiliza
    VPCs 1
    Direcciones IP elásticas 0/1 (para host Bastion)
    Grupos de seguridad de IAM 3
    Roles de IAM 1
    Subredes 6 (3/Zona de disponibilidad)
    Gateway de Internet 1
    Tablas de rutas 5
    Instancias VPX de Web App Firewall 2
    Host bastión 0/1
    Pasarela NAT 2

    Regiones

    NetScaler Web App Firewall en AWS no es compatible actualmente con todas las regiones de AWS. Para obtener una lista actual de las regiones compatibles, consulte Puntos de conexión de servicio de AWS en la documentación de AWS: Puntos de conexión de servicio de AWS.

    Para obtener más información sobre las regiones de AWS y por qué la infraestructura en la nube es importante, consulte: Infraestructura global.

    Par de claves

    Asegúrese de que existe al menos un par de claves de Amazon EC2 en la cuenta de AWS del usuario en la región donde los usuarios planean implementar mediante la Guía de inicio rápido. Anote el nombre del par de claves. Se solicitará esta información a los usuarios durante la implementación. Para crear un par de claves, siga las instrucciones para Pares de claves de Amazon EC2 e instancias de Linux en la documentación de AWS: Pares de claves de Amazon EC2 e instancias de Linux.

    Si los usuarios están implementando la Guía de inicio rápido con fines de prueba o de prueba de concepto, recomendamos que creen un nuevo par de claves en lugar de especificar un par de claves que ya esté siendo utilizado por una instancia de producción.

    Referencias

    • Comprobación de inyección SQL HTML

    • Comprobación de inyección SQL XML

    • Uso de la línea de comandos para configurar la comprobación de scripts de sitios cruzados HTML

    • Comprobación de scripts de sitios cruzados XML

    • Uso de la línea de comandos para configurar la comprobación de seguridad de desbordamiento de búfer(/es-es/citrix-adc/current-release/application-firewall/top-level-protections/buffer-over-flow-check.html#using-the-command-line-to-configure-the-buffer-overflow-security-check)

    • Adición o eliminación de un objeto de firma(/es-es/citrix-adc/current-release/application-firewall/signatures/add-remove-signatures.html)

    • Configuración o modificación de un objeto de firmas(/es-es/citrix-adc/current-release/application-firewall/signatures/modifying-signatures.html)

    • Actualización de un objeto de firma(/es-es/citrix-adc/current-release/application-firewall/signatures/updating-signatures.html)

    • Integración de reglas de Snort(/es-es/citrix-adc/current-release/application-firewall/signatures/snort-rule-integration.html)

    • Detección de bots(/es-es/citrix-adc/current-release/bot-management/bot-detection.html#configure-bot-management)

    • Implementar una instancia de NetScaler VPX en Microsoft Azure(/es-es/vpx/current-release/deploy-vpx-on-azure)

    Implementar NetScaler Web App Firewall en AWS
    June 8, 2026
    Contribución de: 
    C C
    June 8, 2026
    Contribución de: 
    C C

    En este artículo

    Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
    © 1999- Cloud Software Group, Inc. All rights reserved.