Configuration de Web App Firewall
Vous pouvez configurer le pare-feu Citrix Web App (pare-feu Web App) à l’aide de l’une des méthodes suivantes :
- Assistant Web App Firewall. Boîte de dialogue composée d’une série d’écrans qui vous guident tout au long du processus de configuration.
- Modèle AppExpert Interface Web Citrix. Modèle AppExpert (un ensemble de paramètres de configuration) conçus pour fournir une protection appropriée aux sites Web. Ce modèle AppExpert contient les paramètres de configuration du Web App Firewall appropriés pour protéger de nombreux sites Web.
- GUI Citrix ADC. Interface de configuration basée sur le Web.
- Interface de ligne de commande Citrix ADC. Interface de configuration de ligne de commande.
Citrix vous recommande d’utiliser l’Assistant Web App Firewall. La plupart des utilisateurs trouveront qu’il s’agit de la méthode la plus simple pour configurer le Web App Firewall, et il est conçu pour éviter les erreurs. Si vous disposez d’un nouveau Citrix ADC ou VPX que vous utiliserez principalement pour protéger des sites Web, le modèle AppExpert Interface Web peut être une meilleure option car il fournit une bonne configuration par défaut, non seulement pour le Web App Firewall, mais pour l’ensemble de l’appliance. L’interface graphique et l’interface de ligne de commande sont toutes deux destinées aux utilisateurs expérimentés, principalement pour modifier une configuration existante ou utiliser des options avancées.
Assistant Web App Firewall
L’Assistant Web App Firewall est une boîte de dialogue composée de plusieurs écrans qui vous invitent à configurer chaque partie d’une configuration simple. Le Web App Firewall crée ensuite les éléments de configuration appropriés à partir des informations que vous lui fournissez. C’est le moyen le plus simple et, à la plupart des fins, le meilleur pour configurer le Web App Firewall.
Pour utiliser l’assistant, connectez-vous à l’interface graphique avec le navigateur de votre choix. Lorsque la connexion est établie, vérifiez que le Web App Firewall est activé, puis exécutez l’Assistant Web App Firewall, qui vous invite à fournir des informations de configuration. Vous n’avez pas à fournir toutes les informations demandées la première fois que vous utilisez l’Assistant. Au lieu de cela, vous pouvez accepter les paramètres par défaut, effectuer quelques tâches de configuration relativement simples pour activer des fonctionnalités importantes, puis autoriser le Web App Firewall à collecter des informations importantes pour vous aider à terminer la configuration.
Par exemple, lorsque l’Assistant vous invite à spécifier une règle pour sélectionner le trafic à traiter, vous pouvez accepter la valeur par défaut, qui sélectionne tout le trafic. Lorsqu’il vous présente une liste de signatures, vous pouvez activer les catégories de signatures appropriées et activer la collecte de statistiques pour ces signatures. Pour cette configuration initiale, vous pouvez ignorer les protections avancées (vérifications de sécurité). L’Assistant crée automatiquement la stratégie, l’objet signatures et le profil appropriés (collectivement, la configuration de sécurité) et lie la stratégie à globale. Le Web App Firewall commence alors à filtrer les connexions à vos sites Web protégés, à enregistrer toutes les connexions qui correspondent à une ou plusieurs des signatures que vous avez activées et à collecter des statistiques sur les connexions correspondant à chaque signature. Une fois que le Web App Firewall traite un certain trafic, vous pouvez exécuter à nouveau l’Assistant et examiner les journaux et les statistiques pour voir si l’une des signatures que vous avez activées correspond au trafic légitime. Après avoir déterminé quelles signatures identifient le trafic que vous souhaitez bloquer, vous pouvez activer le blocage de ces signatures. Si votre site Web ou service Web n’est pas complexe, n’utilise pas SQL et n’a pas accès à des informations confidentielles, cette configuration de sécurité de base offrira probablement une protection adéquate.
Vous pourriez avoir besoin d’une protection supplémentaire si, par exemple, votre site Web est dynamique. Le contenu qui utilise des scripts peut avoir besoin d’une protection contre les attaques de scripts intersites. Le contenu Web qui utilise SQL (par exemple les paniers d’achat, de nombreux blogs et la plupart des systèmes de gestion de contenu) peut nécessiter une protection contre les attaques par injection SQL. Les sites Web et les services Web qui recueillent des informations confidentielles telles que les numéros de sécurité sociale ou les numéros de carte de crédit peuvent nécessiter une protection contre l’exposition involontaire de ces informations. Certains types de logiciels serveur Web ou serveur XML peuvent nécessiter une protection contre les types d’attaques adaptés à ce logiciel. Une autre considération est que certains éléments de vos sites Web ou services Web peuvent nécessiter une protection différente de celle d’autres éléments. L’examen des journaux et des statistiques du Web App Firewall peut vous aider à identifier les protections supplémentaires dont vous pourriez avoir besoin.
Après avoir décidé quelles protections avancées sont nécessaires pour vos sites Web et services Web, vous pouvez exécuter à nouveau l’Assistant pour configurer ces protections. Certaines vérifications de sécurité exigent que vous saisissiez des exceptions (relaxations) pour empêcher la vérification de bloquer le trafic légitime. Vous pouvez le faire manuellement, mais il est généralement plus facile d’activer la fonction d’apprentissage adaptatif et de lui permettre de recommander la relaxation nécessaire. Vous pouvez utiliser l’Assistant autant de fois que nécessaire pour améliorer votre configuration de sécurité de base et/ou créer des configurations de sécurité supplémentaires.
L’Assistant automatise certaines tâches que vous devrez effectuer manuellement si vous n’avez pas utilisé l’Assistant. Il crée automatiquement une stratégie, un objet signatures et un profil, et leur attribue le nom que vous avez fourni lorsque vous êtes invité à entrer le nom de votre configuration. L’Assistant ajoute également vos paramètres de protection avancée au profil, lie l’objet signatures au profil, associe le profil à la stratégie et met la stratégie en vigueur en le liant à Global.
Quelques tâches ne peuvent pas être exécutées dans l’Assistant. Vous ne pouvez pas utiliser l’Assistant pour lier une stratégie à un point de liaison autre que Global. Si vous souhaitez que le profil s’applique uniquement à une partie spécifique de votre configuration, vous devez configurer manuellement la liaison. Vous ne pouvez pas configurer les paramètres du moteur ou certaines autres options de configuration globales dans l’Assistant. Bien que vous puissiez configurer l’un des paramètres de protection avancés de l’Assistant, si vous souhaitez modifier un paramètre spécifique dans une seule vérification de sécurité, il peut être plus facile de le faire sur les écrans de configuration manuelle de l’interface graphique.
Pour plus d’informations sur l’utilisation de l’assistant Web App Firewall Wizard, consultez l’assistant Web App Firewall Wizard.
Modèle AppExpert Interface Web Citrix
Les modèles AppExpert sont une approche différente et plus simple pour configurer et gérer des applications d’entreprise complexes. L’affichage AppExpert dans l’interface graphique est constitué d’une table. Les applications sont répertoriées dans la colonne la plus à gauche, les fonctionnalités de Citrix ADC applicables à cette application apparaissant chacune dans sa propre colonne à droite. (Dans l’interface AppExpert, les fonctionnalités associées à une application sont appelées unités d’application.) Dans l’interface AppExpert, vous configurez le trafic intéressant pour chaque application et activez les règles de compression, de mise en cache, de réécriture, de filtrage, de répondeur et de Web App Firewall, au lieu d’avoir à configurer chaque fonctionnalité individuellement.
Le modèle AppExpert Interface Web contient des règles pour les signatures de Web App Firewall et les vérifications de sécurité suivantes :
- Refuser la vérification d’URL. Détecte les connexions au contenu qui pose un risque de sécurité ou à toute autre URL que vous désignez.
- Vérification du dépassement de tampon. Détecte les tentatives de provoquer un dépassement de tampon sur un serveur Web protégé.
- Vérification de la cohérence des cookies. Détecte les modifications malveillantes des cookies définis par un site Web protégé.
- Vérification de la cohérence des champs de formulaire. Détecte les modifications apportées à la structure d’un formulaire Web sur un site Web protégé.
- Vérification du marquage de formulaire CSRF. Détecte les attaques de falsification de requêtes intersites.
- Vérification des formats de champ. Détecte les informations inappropriées téléchargées dans les formulaires Web sur un site Web protégé.
- Vérification HTML SQL Injection. Détecte les tentatives d’injection de code SQL non autorisé.
- Contrôle HTML Cross-Site Scripting. Détecte les attaques de script inter-sites.
Pour plus d’informations sur l’installation et l’utilisation d’un modèle AppExpert, consultez Applications et modèles AppExpert.
L’interface graphique Citrix
L’interface graphique est une interface Web qui permet d’accéder à toutes les options de configuration de la fonctionnalité de pare-feu de l’application Web, y compris les options de configuration et de gestion avancées qui ne sont disponibles à partir d’aucun autre outil ou interface de configuration. Plus précisément, de nombreuses options de signatures avancées peuvent être configurées uniquement dans l’interface graphique. Vous ne pouvez consulter les recommandations générées par la fonctionnalité d’apprentissage que dans l’interface graphique. Vous pouvez lier des stratégies à un point de liaison autre que Global uniquement dans l’interface graphique.
Pour obtenir une description de l’interface graphique, reportez-vous à la section Interfaces de configuration du Web App Firewall. Pour plus d’informations sur l’utilisation de l’interface graphique pour configurer le Web App Firewall, voir Configuration manuelle à l’aide de l’interface graphique.
Pour obtenir des instructions sur la configuration du Web App Firewall à l’aide de l’interface graphique, voir Configuration manuelle à l’aide de l’interface graphique. Pour plus d’informations sur l’interface graphique de citrix-adc, reportez-vous à la section Interfaces de configuration du Web App Firewall.
Interface de ligne de commande Citrix ADC
L’interface de ligne de commande Citrix ADC est un shell UNIX modifié basé sur le shell bash FreeBSD. Pour configurer le Web App Firewall à partir de l’interface de ligne de commande, tapez des commandes à l’invite et appuyez sur la touche Entrée, comme vous le faites avec tout autre shell Unix. Vous pouvez configurer la plupart des paramètres et options pour le Web App Firewall à l’aide de la ligne de commande NetScaler. Les exceptions sont la fonctionnalité de signatures, dont la plupart des options peuvent être configurées uniquement à l’aide de l’interface graphique ou de l’assistant de Web App Firewall, et la fonctionnalité d’apprentissage, dont les recommandations ne peuvent être examinées que dans l’interface graphique.
Pour obtenir des instructions sur la configuration du Web App Firewall à l’aide de la ligne de commande Citrix ADC, reportez-vous à la section Configuration manuelle à l’aide de l’interface de ligne de commande.