Liaison des stratégies de Web App Firewall
Après avoir configuré vos stratégies de Web App Firewall, vous les liez à Global ou à un point de liaison pour les mettre en œuvre. Après la liaison, toute demande ou réponse qui correspond à une stratégie de Web App Firewall est transformée par le profil associé à cette stratégie.
Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel nombre entier positif. Dans le système d’exploitation NetScaler, les priorités stratégies fonctionnent dans l’ordre inverse : plus le chiffre est élevé, plus la priorité est faible.
Étant donné que la fonctionnalité de pare-feu d’application Web n’implémente que la première stratégie correspondant à une demande, et non les stratégies supplémentaires qu’elle pourrait également correspondre, la priorité de stratégie est importante pour obtenir les résultats que vous souhaitez obtenir. Si vous attribuez à votre première stratégie une priorité faible (par exemple 1000), vous configurez le Web App Firewall pour l’exécuter uniquement si d’autres stratégies avec une priorité supérieure ne correspondent pas à une demande. Si vous attribuez à votre première stratégie une priorité élevée (telle que 1), vous configurez le Web App Firewall pour qu’il l’exécute en premier et ignorez toutes les autres stratégies qui peuvent également correspondre. Vous pouvez vous laisser beaucoup de place pour ajouter d’autres stratégies dans n’importe quel ordre, sans avoir à réaffecter des priorités, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez vos stratégies.
Pour plus d’informations sur les stratégies de liaison sur l’appliance NetScaler, consultez« Stratégies et expressions ».
Pour lier une stratégie de Web App Firewall à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes :
bind appfw global <policyName>
bind appfw profile <profile_name> -crossSiteScripting data
Exemple
L’exemple suivant lie la stratégie nommée pl-blog et lui attribue une priorité de 10.
bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->
Configuration des expressions de journal
La prise en charge des expressions de journal pour lier le Web App Firewall est ajoutée pour consigner les informations d’en-tête HTTP en cas de violation.
L’expression du journal est liée au profil de l’application, et la liaison contient l’expression qui doit être évaluée et envoyée aux frameworks de journalisation en cas de violation.
L’enregistrement du journal des violations du Web App Firewall avec les informations d’en-tête HTTP est enregistré. Vous pouvez spécifier une expression de journal personnalisée qui facilite l’analyse et le diagnostic lorsque des violations sont générées pour le flux actuel (demande/réponse).
Exemple de configuration
bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"
<!--NeedCopy-->
Exemples de journaux
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Remarque
Seul le support Auditlog est disponible. La prise en charge du logstream et la visibilité dans Security Insight seront ajoutées dans les prochaines versions.
Si des journaux d’audit sont générés, seuls 1024 octets de données peuvent être générés par message de journal.
Si le streaming de journaux est utilisé, les limites sont basées sur la taille maximale prise en charge par les limites de taille du protocole Log Stream et IPFIX. La taille maximale de prise en charge pour le flux de journaux est supérieure à 1024 octets.
Pour lier une stratégie Web App Firewall à l’aide de l’interface graphique
- Procédez comme suit :
- Accédez à Sécurité > Web App Firewall et, dans le volet d’informations, cliquez sur Gestionnaire de stratégies de pare-feu des applications Web.
- Accédez à Sécurité > Web App Firewall > Stratégies > Stratégiesde pare-feu, puis dans le volet d’informations, cliquez surGestionnaire de stratégies.
- Dans la boîte de dialogue Gestionnaire de stratégies de Web App Firewall, choisissez le point de liaison auquel vous souhaitez lier la stratégie dans la liste déroulante. Les choix sont les suivants :
- Remplacer Global. Les stratégies liées à ce point de liaison traitent tout le trafic provenant de toutes les interfaces de l’appliance NetScaler et sont appliquées avant toute autre stratégie.
- Serveur virtuel LB. Les stratégies liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné Serveur virtuel LB, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette stratégie.
- Serveur virtuel CS. Les stratégies liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette stratégie.
- Global par défaut. Les stratégies liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance NetScaler.
- Étiquette de stratégie. Les stratégies liées à un trafic de traitement d’étiquette de stratégie que l’étiquette de stratégie leur achemine. L’étiquette de stratégie contrôle l’ordre dans lequel les stratégies sont appliquées à ce trafic.
- None. Ne liez pas la stratégie à un point de liaison.
- Cliquez sur Continuer. Une liste des stratégies de Web App Firewall existantes s’affiche.
- Sélectionnez la stratégie que vous souhaitez lier en cliquant dessus.
- Apportez tous les ajustements supplémentaires à la reliure.
- Pour modifier la priorité de la stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités de manière uniforme.
- Pour modifier l’expression de stratégie, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la stratégie de Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
- Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de la colonne Goto Expression pour afficher la liste déroulante dans laquelle vous pouvez choisir une expression.
- Pour définir l’option Invoke, double-cliquez sur le champ dans l’en-tête de colonne Invoke pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression
- Répétez les étapes 3 à 6 pour ajouter les stratégies de Web App Firewall supplémentaires que vous souhaitez lier globalement.
- Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.