ADC

Configuration manuelle à l’aide de l’interface graphique Citrix ADC

Si vous devez configurer manuellement la fonctionnalité Web App Firewall, Citrix vous recommande d’utiliser la procédure d’interface graphique Citrix ADC.

Pour créer et configurer un objet de signatures

Avant de configurer les signatures, vous devez créer un objet de signatures à partir du modèle d’objet de signatures par défaut approprié. Attribuez un nouveau nom à la copie, puis configurez la copie. Vous ne pouvez pas configurer ou modifier directement les objets de signatures par défaut. La procédure suivante fournit des instructions de base pour configurer un objet signatures. Pour obtenir des instructions plus détaillées, voir Configuration manuelle de la fonctionnalité Signatures.

  1. Accédez à Sécurité > Citrix Web App Firewall > Signatures.
  2. Dans le volet de détails, sélectionnez l’objet de signatures que vous souhaitez utiliser comme modèle, puis cliquez sur Ajouter.

    Vos choix sont les suivants :

    • Signatures par défaut. Contient les règles de signature, les règles d’injection SQL et les règles de script intersite.
    • Injection XPath. Contient tous les éléments des signatures par défaut et contient également les règles d’injection XPath.
  3. Dans la boîte de dialogue Ajouter un objet de signatures, tapez le nom de votre nouvel objet de signatures, cliquez sur OK, puis sur Fermer. Le nom peut commencer par une lettre, un chiffre ou le symbole du trait de soulignement et peut être composé de 1 à 31 lettres, chiffres et tiret (-), point (.) livre (#), espace (), at (@), égal (=) et trait de soulignement (_).
  4. Sélectionnez l’objet de signatures que vous avez créé, puis cliquez sur Ouvrir.
  5. Dans la boîte de dialogue Modifier l’objet des signatures, définissez les options Afficher les critères de filtre sur la gauche pour afficher les éléments de filtre que vous souhaitez configurer.

    Lorsque vous modifiez ces options, les résultats que vous spécifiez sont affichés dans la fenêtre Résultats filtrés située à droite. Pour plus d’informations sur les catégories de signatures, voir Signatures.

  6. Dans la zone Résultats filtrés, configurez les paramètres d’une signature en cochant et en désactivant les cases à cocher appropriées.
  7. Lorsque vous avez terminé, cliquez sur Fermer.

Pour créer un profil de Web App Firewall à l’aide de l’interface graphique

Pour créer un profil de Web App Firewall, vous ne devez spécifier que quelques détails de configuration.

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Create Web App Firewall Profile, saisissez le nom de votre profil.

    Le nom peut commencer par une lettre, un chiffre ou le symbole de soulignement et peut comprendre de 1 à 31 lettres, chiffres et le tiret (-), le point (.), la livre (#), l’espace (), l’arobase (@), l’égal (=), les deux points (:) et le trait de soulignement (_).

  4. Choisissez le type de profil dans la liste déroulante.
  5. Cliquez sur Créer, puis sur Fermer.

Pour configurer un profil Web App Firewall à l’aide de l’interface graphique

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, sélectionnez le profil que vous souhaitez configurer, puis cliquez sur Modifier.
  3. Dans la boîte de dialogue Configurer le profil de Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les contrôles de sécurité.
    • Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à cette action.
    • Pour configurer d’autres paramètres pour les contrôles qui en disposent, dans la liste, cliquez sur le chevron bleu situé à l’extrême droite de cette vérification. Dans la boîte de dialogue qui s’affiche, configurez les paramètres. Celles-ci varient d’un chèque à l’autre.

      Vous pouvez également sélectionner une coche et, au bas de la boîte de dialogue, cliquer sur Ouvrir pour afficher la boîte de dialogue Configurer la relaxation ou Configurer la règle pour cette vérification. Ces boîtes de dialogue varient également d’une vérification à l’autre. La plupart d’entre eux incluent un onglet Vérifications et un onglet Général. Si la vérification prend en charge les assouplissements ou les règles définies par l’utilisateur, l’onglet Vérifications inclut un bouton Ajouter, qui ouvre une autre boîte de dialogue, dans laquelle vous pouvez spécifier un assouplissement ou une règle pour la vérification. (Un assouplissement est une règle visant à exempter du contrôle le trafic spécifié.) Si les relaxations ont déjà été configurées, vous pouvez en sélectionner une et cliquer sur Ouvrir pour la modifier.

    • Pour consulter les exceptions ou les règles apprises pour une vérification, sélectionnez-la, puis cliquez sur Violations apprises. Dans la boîte de dialogue Gérer les règles apprises, sélectionnez chaque exception ou règle apprise à tour de rôle.

      • Pour modifier l’exception ou la règle, puis l’ajouter à la liste, cliquez sur Modifier et déployer.
      • Pour accepter l’exception ou la règle sans modification, cliquez sur Déployer.
      • Pour supprimer l’exception ou la règle de la liste, cliquez sur Ignorer.
    • Pour actualiser la liste des exceptions ou des règles à examiner, cliquez sur Actualiser.
    • Pour ouvrir le visualiseur d’apprentissage et l’utiliser pour consulter les règles apprises, cliquez sur Visualiseur.
    • Pour consulter les entrées du journal pour les connexions qui correspondent à une vérification, sélectionnez la vérification, puis cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer quels contrôles correspondent à des attaques afin de pouvoir activer le blocage de ces contrôles. Vous pouvez également utiliser ces informations pour déterminer quelles vérifications correspondent au trafic légitime, de sorte que vous pouvez configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, consultez Journaux, statistiques et rapports.
    • Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.
  4. Dans l’onglet Paramètres, configurez les paramètres du profil.
    • Pour associer le profil à l’ensemble de signatures que vous avez créé et configuré précédemment, sous Paramètres communs, sélectionnez cet ensemble de signatures dans la liste déroulante Signatures.

      Remarque :

      Vous pouvez utiliser la barre de défilement située à droite de la boîte de dialogue pour faire défiler vers le bas et afficher la section Paramètres communs.

    • Pour configurer un objet d’erreur HTML ou XML, sélectionnez-le dans la liste déroulante appropriée.

      Remarque :

      Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importer.

    • Pour configurer le type de contenu XML par défaut, saisissez la chaîne du type de contenu directement dans les zones de texte Demande par défaut et Réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés.

  5. Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Formation et configurez les paramètres d’apprentissage du profil. Pour plus d’informations, voir Fonctionnalité Configurer et apprendre.

  6. Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils.

Configuration d’une règle ou d’une relaxation du Web App Firewall

Vous pouvez configurer deux types d’informations différents dans cette boîte de dialogue, en fonction du contrôle de sécurité que vous configurez. Dans la plupart des cas, vous configurez une exception (ou une relaxation) au contrôle de sécurité. Si vous configurez la vérification de l’URL refusée ou la vérification des formats de champs, vous configurez un ajout (ou une règle). Le processus pour l’un ou l’autre est le même.

Pour configurer une règle de relaxation à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet Profils, sélectionnez le profil à configurer, puis cliquez sur Modifier.
  3. Sur la page Configurer le profil du Web App Firewall, cliquez sur Règle de relaxationdans la section Paramètres avancés. La sectionRègles de relaxation contient la liste complète des règles de relaxation du Web App Firewall.
  4. Cliquez sur la règle de sécurité que vous souhaitez configurer, puis cliquez sur Modifier.
  5. La page Règles de relaxation des URL contient une liste d’actions que vous pouvez configurer pour cette règle ainsi qu’une liste d’assouplissements ou de règles existants. La liste est peut-être vide si vous n’avez pas ajouté manuellement de relaxations ni approuvé de relaxations recommandées par le moteur d’apprentissage. Sous la liste se trouve une rangée de boutons qui vous permettent d’ajouter, de modifier, de supprimer, d’activer ou de désactiver les relaxations de la liste.
  6. Pour ajouter ou modifier un assouplissement ou une règle, effectuez l’une des opérations suivantes :

    • Pour ajouter une nouvelle relaxation, cliquez sur Ajouter.
    • Pour modifier une relaxation existante, sélectionnez la relaxation que vous souhaitez modifier, puis cliquez sur Ouvrir.

    La page Start URL Relaxation Rule s’affiche. À l’exception du titre, ces boîtes de dialogue sont identiques.

  7. Remplissez la boîte de dialogue comme décrit ci-dessous. Les boîtes de dialogue de chaque vérification sont différentes. La liste ci-dessous couvre tous les éléments qui peuvent apparaître dans n’importe quelle boîte de dialogue.

    • Case àcocher activée : cochezcette case pour activer cette relaxation ou cette règle ; désactivez-la pour la désactiver.
    • Type de contenu de pièce jointe : attribut de type de contenu d’une pièce jointe XML. Dans la zone de texte, entrez une expression régulière qui correspond à l’attribut Content-Type des pièces jointes XML à autoriser.
    • URL de l’action—Dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL vers laquelle les données saisies dans le formulaire Web sont envoyées.
    • Cookie—Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le cookie.
    • Nom du champ : un élément de nom de champ de formulaire Web peut être intitulé Nom du champ, Champ du formulaire ou un autre nom similaire. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le nom du champ de formulaire.
    • À partir de l’URL d’origine : dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL qui héberge le formulaire Web.
    • À partir de l’URL de l’action : dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL vers laquelle les données saisies dans le formulaire Web sont envoyées.
    • Nom—Un nom d’élément ou d’attribut XML. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit le nom de l’élément ou de l’attribut.
    • URL : un élément d’URL peut être intitulé URL d’action, URL de refus, URL d’action du formulaire, URL d’origine du formulaire, URL de début ou simplement URL. Dans la zone de texte, entrez une expression régulière au format PCRE qui définit l’URL.
    • Format : la section Format contient plusieurs paramètres, notamment des zones de liste et des zones de texte. L’un des éléments suivants peut apparaître :

      • Type—Sélectionnez un type de champ dans la liste déroulante Type. Pour ajouter une nouvelle définition de type de champ, cliquez sur Gérer—
      • Longueur minimale—Entrez un entier positif qui représente la longueur minimale en caractères si vous souhaitez obliger les utilisateurs à remplir ce champ. Par défaut : 0 (permet de laisser le champ vide.)
      • Longueur maximale—Pour limiter la longueur des données dans ce champ, tapez un entier positif qui représente la longueur maximale en caractères. Par défaut : 65535
    • Lieu—Choisissez l’élément de la demande auquel s’applique votre relaxation dans la liste déroulante. Pour les contrôles de sécurité HTML, les choix sont les suivants :

      • FormField : champs de formulaire dans les formulaires Web.
      • En-tête : en-têtes de demande.
      • Cookie : en-têtes Set-Cookie.

      Pour les contrôles de sécurité XML, les choix sont les suivants :

      • ELEMENT : élément XML.
      • ATTRIBUT : attribut XML.
    • Taille maximale de la pièce jointe : taille maximale en octets autorisée pour une pièce jointe XML.
    • Commentaires—Dans la zone de texte, tapez un commentaire. Facultatif.

    Remarque : Pour tout élément nécessitant une expression régulière, vous pouvez saisir l’expression régulière, utiliser le menu Regex Tokens pour insérer des éléments d’expression régulière et des symboles directement dans la zone de texte, ou cliquer sur Regex Editor pour ouvrir la boîte de dialogue Ajouter une expression régulière et l’utiliser pour créer l’expression.

  8. Pour supprimer une relaxation ou une règle, sélectionnez-la, puis cliquez sur Supprimer.
  9. Pour activer une relaxation ou une règle, sélectionnez-la, puis cliquez sur Activer.
  10. Pour désactiver une relaxation ou une règle, sélectionnez-la, puis cliquez sur Désactiver.
  11. Pour configurer les paramètres et les relations de toutes les relaxations existantes dans un affichage graphique interactif intégré, cliquez sur Visualizeret utilisez les outils d’affichage.

    Remarque :

    Le bouton Visualiseur n’apparaît pas dans toutes les boîtes de dialogue de relaxation de vérification.

  12. Pour consulter les règles apprises pour cette vérification, cliquez sur Apprentissage et effectuez les étapes de la section Pour configurer et utiliser la fonctionnalité d’apprentissage.
  13. Cliquez sur OK.

Pour configurer les règles apprises à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet Profils, sélectionnez le profil, puis cliquez sur Modifier.
  3. Sur la page de profil de Citrix Web App Firewall, cliquez sur Règles apprisesdans les paramètres avancés. Dans la section Règles apprises, vous pouvez voir la liste des vérifications de sécurité disponibles dans le profil actuel et qui prennent en charge la fonctionnalité d’apprentissage.
  4. Pour configurer les seuils d’apprentissage, sélectionnez un contrôle de sécurité, puis cliquez sur Paramètres.
  5. Dans la page Paramètres des règles de profilage dynamique et d’apprentissage, vous pouvez définir les paramètres. Pour plus d’informations, voir Paramètres de profil dynamique.

    • Seuil de nombre minimum. Selon les paramètres d’apprentissage du contrôle de sécurité que vous configurez, le seuil minimal peut faire référence au nombre minimum de sessions utilisateur totales qui doivent être observées, au nombre minimum de demandes à respecter ou au nombre minimum de fois qu’un champ de formulaire spécifique doit être observé, avant qu’une relaxation apprise ne soit générée. Par défaut : 1

    • Pourcentage de fois le seuil. Selon les paramètres d’apprentissage du contrôle de sécurité que vous configurez, le seuil de pourcentage de fois peut faire référence au pourcentage du nombre total de sessions utilisateur observées qui ont enfreint le contrôle de sécurité, au pourcentage de demandes ou au pourcentage de fois qu’un champ de formulaire correspondait à un type de champ particulier, avant un une relaxation apprise est générée. Par défaut : 0

  6. Pour supprimer toutes les données apprises et réinitialiser la fonction d’apprentissage afin qu’elle doive recommencer ses observations depuis le début, sélectionnez l’action Supprimer toutes les données apprises.

    Remarque :

    Ce bouton supprime uniquement les recommandations apprises qui n’ont pas été examinées, approuvées ou ignorées. Il ne supprime pas les relaxations apprises qui ont été acceptées et déployées.

  7. Pour limiter le moteur d’apprentissage au trafic provenant d’un ensemble spécifique d’adresses IP, cliquez sur Trusted Learning Clients, puis ajoutez les adresses IP que vous souhaitez utiliser à la liste.
    1. Pour ajouter une adresse IP ou une plage d’adresses IP à la liste Trusted Learning Clients, cliquez sur Ajouter.
    2. Sur la page AppFirewall Profile to Trusted Clint Binding, cliquez sur Ajouter.
    3. Cochez la case Activé pour activer la fonctionnalité.
    4. Dans la zone Trusted Learning Client,** tapez l’adresse IP ou une plage d’adresses IP au format CIDR.
    5. Dans la zone de texte Commentaires, saisissez un commentaire décrivant cette adresse IP ou cette plage.
    6. Cliquez sur Créer et Fermer.
  8. Pour modifier une adresse IP ou une plage existante, cliquez sur l’adresse IP ou la plage, puis cliquez sur Modifier. À l’exception du nom, la boîte de dialogue qui s’affiche est identique à la boîte de dialogue Ajouter des clients de formation approuvés.
  9. Pour désactiver ou activer une adresse IP ou une plage tout en la laissant dans la liste, cliquez sur l’adresse IP ou la plage, puis sur Désactiver ou Activer, selon le cas.
  10. Pour supprimer complètement une adresse IP ou une plage, cliquez sur l’adresse IP ou la plage, puis sur Supprimer.

  11. Cliquez sur Fermer pour revenir à la page de profil de Citrix Web App Firewall.

Pour créer une politique Citrix Web App Firewall à l’aide de l’interface graphique Citrix ADC

  1. Accédez à Sécurité > Citrix Web App firewall > Stratégies.

  2. Dans la page Stratégies, cliquez sur le lien Politique de Citrix Web App Firewall.
  3. Sur la page Politiques de Citrix Web App Firewall, cliquez sur Ajouter.
  4. Sur la page Créer une politique de Citrix Web App Firewall, définissez les paramètres suivants.

    1. Nom. Le nom peut commencer par une lettre, un chiffre ou le symbole de soulignement et peut comprendre de 1 à 128 lettres, chiffres et le tiret (-), le point (.), la livre (#), l’espace (), l’arobase (@), l’égal (=), les deux points (:) et le trait de soulignement (_).
    2. Profil. Sélectionnez le profil à associer à cette stratégie dans la liste déroulante Profil. Vous pouvez créer un profil à associer à votre politique en cliquant sur Nouveau, et vous pouvez modifier un profil existant en cliquant sur Modifier.
    3. Expression. Dans la zone de texte Expression, créez une règle pour votre stratégie.
    4. Action de journalisation. Ajoutez une action de journal ou vous pouvez modifier une action de journal existante.
    5. Commentaires. Une brève description de la stratégie.
  5. Cliquez sur Créer ou sur OK, puis sur Fermer.

Pour créer ou configurer une règle de Web App Firewall (expression)

La règle de stratégie, également appelée expression, définit le trafic Web que le Web App Firewall filtre à l’aide du profil associé à la stratégie. Comme les autres règles (ou expressions) de stratégie Citrix ADC, les règles du Web App Firewall utilisent la syntaxe des expressions Citrix ADC. Cette syntaxe est puissante, flexible et extensible. C’est trop complexe pour être décrit complètement dans cet ensemble d’instructions. Vous pouvez utiliser la procédure suivante pour créer une règle de stratégie de pare-feu simple, ou vous pouvez la lire pour obtenir une vue d’ensemble du processus de création de stratégie.

  1. Si ce n’est pas déjà fait, accédez à l’emplacement approprié dans l’assistant Web App Firewall ou dans l’interface graphique Citrix ADC pour créer votre règle de politique :

    • Si vous configurez une politique dans l’assistant Web App Firewall, dans le volet de navigation, cliquez sur Citrix Web App Firewall Wizard, puis dans le volet d’informations, cliquez sur Citrix Web App Firewall Wizard, puis accédez à l’onglet Spécifier la règle.
    • Dans la page Spécifier une règle, choisissez le préfixe de votre expression dans la liste déroulante. Vos choix sont les suivants :

    • HTTP. Le protocole HTTP. Choisissez cette option si vous souhaitez examiner certains aspects de la demande qui se rapportent au protocole HTTP.
    • SYS. Un ou plusieurs sites Web protégés. Sélectionnez cette option si vous souhaitez examiner certains aspects de la demande qui concernent le destinataire de la demande.
    • CLIENT. L’ordinateur qui a envoyé la demande. Choisissez cette option si vous souhaitez examiner certains aspects de l’expéditeur de la demande.
    • SERVER. L’ordinateur auquel la demande a été envoyée. Choisissez cette option si vous souhaitez examiner certains aspects du destinataire de la demande.

    Une fois que vous avez choisi un préfixe, le Web App Firewall affiche une fenêtre d’invite en deux parties qui affiche les choix suivants possibles en haut et une brève explication de la signification du choix sélectionné en bas.

  2. Choisissez votre prochain mandat.

    Si vous avez choisi HTTP comme préfixe, votre seul choix est REQ, qui spécifie la paire Requête/Réponse. (Le Web App Firewall fonctionne sur la demande et la réponse comme une unité plutôt que séparément.) Si vous choisissez un autre préfixe, vos choix sont plus variés. Pour obtenir de l’aide sur un choix spécifique, cliquez une fois sur ce choix pour afficher les informations le concernant dans la fenêtre contextuelle inférieure.

    Lorsque vous avez choisi le terme que vous souhaitez utiliser, double-cliquez dessus pour l’insérer dans la fenêtre Expression.

  3. Tapez un point après le terme que vous venez de choisir. Vous êtes ensuite invité à choisir votre prochain terme, comme décrit à l’étape précédente. Lorsqu’un terme nécessite que vous saisissiez une valeur, renseignez la valeur appropriée. Par exemple, si vous choisissez HTTP.REQ.HEADER (« »), saisissez le nom de l’en-tête entre guillemets.

  4. Continuez à choisir des termes à partir des instructions et à saisir les valeurs nécessaires jusqu’à ce que votre expression soit terminée.

    Vous trouverez ci-dessous quelques exemples d’expressions destinées à des fins spécifiques.

    • Hébergeur Web spécifique. Pour faire correspondre le trafic provenant d’un hébergeur en particulier :

HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Pour shopping.example.com, remplacez le nom de l’hébergeur auquel vous souhaitez faire correspondre le nom.

  • Dossier Web ou répertoire spécifique. Pour faire correspondre le trafic provenant d’un dossier ou d’un répertoire spécifique sur un hôte Web, procédez comme suit :

HTTP.REQ.URL.STARTSWITH("https//www.example.com/folder")

Pour www.example.com, remplacez le nom de l’hébergeur Web. Par dossier, remplacez le dossier ou le chemin d’accès au contenu auquel vous souhaitez faire correspondre. Par exemple, si votre panier se trouve dans un dossier nommé /solutions/orders, vous remplacez cette chaîne par dossier.

  • Type de contenu spécifique : images GIF. Pour faire correspondre des images au format GIF :

HTTP.REQ.URL.ENDSWITH(".gif")

Pour faire correspondre des images d’un autre format, remplacez .gif par une autre chaîne.

  • Type de contenu spécifique : scripts. Pour faire correspondre tous les scripts CGI situés dans le répertoire CGI-BIN :

HTTP.REQ.URL.STARTSWITH("https//www.example.com/CGI-BIN")

Pour faire correspondre tous les Javascripts avec les extensions .js :

HTTP.REQ.URL.ENDSWITH(".js")

Pour plus d’informations sur la création d’expressions de stratégie, voir Stratégies et expressions.

Remarque :

Si vous utilisez la ligne de commande pour configurer une politique, n’oubliez pas d’éviter les guillemets doubles dans les expressions Citrix ADC. Par exemple, l’expression suivante est correcte si elle est saisie dans l’interface graphique :

HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

Toutefois, si vous le saisissez sur la ligne de commande, vous devez plutôt taper ceci :

HTTP.REQ.HEADER("Host").EQ("shopping.example.com")

![Policy expression configuration](/en-us/citrix-adc/media/waf-rule.png)

Pour ajouter une règle de pare-feu (expression) à l’aide de la boîte de dialogue Ajouter une expression

La boîte de dialogue Ajouter une expression (également appelée éditeur d’expression) aide les utilisateurs qui ne sont pas familiarisés avec le langage d’expressions Citrix ADC à élaborer une politique correspondant au trafic qu’ils souhaitent filtrer.

  1. Si ce n’est pas déjà fait, accédez à l’emplacement approprié dans l’assistant Web App Firewall ou dans l’interface graphique Citrix ADC :
    • Si vous configurez une stratégie dans l’Assistant Web App Firewall, dans le volet de navigation, cliquez sur Pare-feu Web App, puis dans le volet de détails sur Assistant Pare-feu Web App, puis accédez à l’écran Spécifier une règle.
    • Si vous configurez une politique manuellement, dans le volet de navigation, développez Web App Firewall, puis Policies, puis Firewall. Dans le volet d’informations, pour créer une politique, cliquez sur Ajouter. Pour modifier une stratégie existante, sélectionnez-la, puis cliquez sur Ouvrir.
  2. Sur l’écran Spécifier la règle, dans la boîte de dialogue Créer un profil de pare-feu Web App ou dans la boîte de dialogue Configurer le profil de pare-feu Web App, cliquez sur Ajouter.
  3. Dans la boîte de dialogue Ajouter une expression, dans la zone Créer une expression, dans la première zone de liste, choisissez l’un des préfixes suivants :
    • HTTP. Le protocole HTTP. Choisissez cette option si vous souhaitez examiner certains aspects de la demande qui se rapportent au protocole HTTP. Le choix par défaut.
    • SYS. Un ou plusieurs sites Web protégés. Sélectionnez cette option si vous souhaitez examiner certains aspects de la demande qui concernent le destinataire de la demande.
    • CLIENT. L’ordinateur qui a envoyé la demande. Choisissez cette option si vous souhaitez examiner certains aspects de l’expéditeur de la demande.
    • SERVER. L’ordinateur auquel la demande a été envoyée. Choisissez cette option si vous souhaitez examiner certains aspects du destinataire de la demande.
  4. Dans la deuxième zone de liste, choisissez votre prochain terme. Les termes disponibles varient en fonction du choix que vous avez fait à l’étape précédente, car la boîte de dialogue ajuste automatiquement la liste pour ne contenir que les termes qui sont valides pour le contexte. Par exemple, si vous avez sélectionné HTTP dans la zone de liste précédente, le seul choix est REQ, pour les requêtes. Étant donné que le Web App Firewall traite les demandes et les réponses associées comme une seule unité et filtre les deux, vous n’avez pas besoin de réponses spécifiques séparément. Une fois que vous avez choisi votre deuxième terme, une troisième zone de liste apparaît à droite du second. La fenêtre d’aide affiche la description du deuxième terme et la fenêtre Aperçu de l’expression affiche votre expression.
  5. Dans la troisième zone de liste, choisissez le terme suivant. Une nouvelle zone de liste apparaît sur la droite et la fenêtre d’aide change pour afficher la description du nouveau terme. La fenêtre Aperçu de l’expression se met à jour pour afficher l’expression telle que vous l’avez spécifiée jusqu’à présent.
  6. Continuez à choisir des termes et, lorsque vous y êtes invité, à saisir des arguments, jusqu’à ce que votre expression soit complète. Si vous faites une erreur ou souhaitez modifier votre expression alors que vous avez déjà sélectionné un terme, vous pouvez simplement en choisir un autre. L’expression est modifiée et tous les arguments ou autres termes que vous avez ajoutés après le terme que vous avez modifié sont effacés.
  7. Lorsque vous avez fini de créer votre expression, cliquez sur OK pour fermer la boîte de dialogue Ajouter une expression. Votre expression est insérée dans la zone de texte Expression.

Pour lier une politique de Web App Firewall à l’aide de l’interface graphique Citrix ADC

  1. Procédez comme suit :
    • Accédez à Sécurité > Web App Firewall, puis dans le volet d’informations, cliquez sur Gestionnaire de stratégies de pare-feu d’application.
    • Accédez à Security > Citrix Web App Firewall > Policies > Firewall, puis dans le volet « Politiques de Citrix Web App Firewall », cliquez sur Policy Manager.
  2. Dans la boîte de dialogue Application Firewall Policy Manager, choisissez le point de liaison auquel vous souhaitez lier la stratégie dans la liste déroulante. Les choix sont les suivants :
    • Remplacer Global. Les stratégies liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance Citrix ADC et sont appliquées avant toute autre stratégie.
    • Serveur virtuel LB. Les stratégies liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné LB Virtual Server, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette stratégie.
    • Serveur virtuel CS. Les stratégies liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute stratégie globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette stratégie.
    • Global par défaut. Les politiques liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance Citrix ADC.
    • Étiquette de stratégie. Les stratégies liées à une étiquette de stratégie traitent le trafic que l’étiquette de stratégie leur achemine. L’étiquette de stratégie contrôle l’ordre dans lequel les stratégies sont appliquées à ce trafic.
    • None. Ne liez la stratégie à aucun point de liaison.
  3. Cliquez sur Continuer. La liste des stratégies existantes du Web App Firewall s’affiche.
  4. Sélectionnez la stratégie que vous souhaitez lier en cliquant dessus.
  5. Apportez tous les ajustements supplémentaires à la reliure.
    • Pour modifier la priorité de la stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités de manière uniforme.
    • Pour modifier l’expression de stratégie, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la stratégie de Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
    • Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de la colonne Goto Expression pour afficher la liste déroulante dans laquelle vous pouvez choisir une expression.
    • Pour définir l’option Invoquer, double-cliquez sur le champ dans l’en-tête de la colonne Invoquer pour afficher la liste déroulante dans laquelle vous pouvez choisir une expression.
  6. Répétez les étapes 3 à 6 pour ajouter les stratégies de Web App Firewall supplémentaires que vous souhaitez lier globalement.
  7. Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.