L’assistant de Web App Firewall
Contrairement à la plupart des assistants, l’assistant Citrix Web App Firewall est conçu non seulement pour simplifier le processus de configuration initial, mais également pour modifier les configurations précédemment créées et pour maintenir la configuration de votre Web App Firewall. Un utilisateur type exécute l’assistant plusieurs fois en sautant certains écrans à chaque fois.
L’assistant Web App Firewall crée automatiquement des profils, des stratégies et des signatures.
Ouverture de l’assistant
Pour exécuter l’assistant Web App Firewall, ouvrez l’interface graphique et procédez comme suit :
- Accédez à Sécurité > Pare-feu d’applications.
- Dans le volet d’informations, sous Mise en route, cliquez sur Application Firewall Wizard. L’Assistant s’ouvre.
Pour plus d’informations sur l’interface graphique, voir « Interfaces de configuration du Web App Firewall. »
Les écrans de l’Assistant
L’assistant Web App Firewall affiche les écrans suivants sur une page tabulaire :
1. Spécifiez le nom : sur cet écran, lorsque vous créez une nouvelle configuration de sécurité, spécifiez un nom significatif et le type approprié (HTML, XML ou WEB 2.0) pour votre profil. La stratégie et les signatures par défaut sont générées automatiquement en utilisant le même nom.
Nom du profil
Le nom peut commencer par une lettre, un chiffre ou le symbole de soulignement et peut comprendre de 1 à 31 lettres, des chiffres et les symboles tiret (-), point (.), livre (#), espace (), at (@), égal (=), deux-points (:) et trait de soulignement (_). Choisissez un nom qui permet aux autres utilisateurs de déterminer facilement le contenu protégé par votre nouvelle configuration de sécurité.
Remarque :
Comme l’assistant utilise ce nom à la fois pour la stratégie et le profil, il est limité à 31 caractères. Les stratégies créées manuellement peuvent avoir des noms d’une longueur maximale de 127 caractères.
Lorsque vous modifiez une configuration existante, vous sélectionnez Modifier la configuration existante puis, dans la liste déroulante Nom, sélectionnez le nom de la configuration existante que vous souhaitez modifier.
Remarque :
Seules les stratégies liées à un point de liaison global ou à un point de liaison apparaissent dans cette liste ; vous ne pouvez pas modifier une stratégie indépendante à l’aide de l’assistant Application Firewall. Vous devez soit le lier manuellement à Global ou à un point de liaison, soit le modifier manuellement. (Pour une modification manuelle, dans l’interface graphique) Application Firewall > Stratégies > Panneau Pare-feu, sélectionnez la stratégie et cliquez sur Ouvrir.
Type de profil
Vous pouvez également sélectionner un type de profil sur cet écran. Le type de profil détermine les types de protection avancée (contrôles de sécurité) qui peuvent être configurés. Comme certains types de contenu ne sont pas vulnérables à certains types de menaces de sécurité, la limitation de la liste des vérifications disponibles permet de gagner du temps lors de la configuration. Les types de profils de Web App Firewall sont les suivants :
- Application Web (HTML). Tout site Web HTML qui n’utilise pas les technologies XML ou Web 2.0.
- Application XML (XML, SOAP). Tout service Web basé sur XML.
- Application Web 2.0 (HTML, XML, REST). Tout site Web 2.0 qui combine du contenu HTML et XML, tel qu’un site Atom, un blog, un flux RSS ou un wiki.
Remarque : Si vous ne savez pas quel type de contenu est utilisé sur votre site Web, vous pouvez choisir l’application Web 2.0 pour vous assurer de protéger tous les types de contenu d’applications Web.
2. Spécifier la règle : sur cet écran, vous spécifiez la règle de stratégie (expression) qui définit le trafic examiné par la configuration actuelle. Si vous créez une configuration initiale pour protéger vos sites Web et services Web, vous pouvez accepter la valeur par défaut, true, qui sélectionne tout le trafic Web.
Si vous souhaitez que cette configuration de sécurité examine, non pas tout le trafic HTTP acheminé via l’appliance, mais le trafic spécifique, vous pouvez écrire une règle de stratégie spécifiant le trafic que vous souhaitez examiner. Les règles sont écrites dans le langage d’expressions Citrix ADC, qui est un langage de programmation orienté objet entièrement fonctionnel.
Remarque : Outre la syntaxe des expressions par défaut, le système d’exploitation Citrix ADC prend en charge la syntaxe des expressions classiques Citrix ADC sur les appliances Citrix ADC Classic et nCore et les appliances virtuelles. Les expressions classiques ne sont pas prises en charge sur les appliances Citrix ADC Cluster et les appliances virtuelles. Les utilisateurs actuels qui souhaitent migrer leurs configurations existantes vers le cluster Citrix ADC doivent migrer toutes les stratégies contenant des expressions classiques vers la syntaxe des expressions par défaut.
- Pour obtenir une description simple de l’utilisation de la syntaxe des expressions Citrix ADC pour créer des règles de Web App Firewall et une liste de règles utiles, voir Stratégies de pare-feu.
- Pour obtenir une explication détaillée de la création de règles de stratégie dans la syntaxe des expressions Citrix ADC, consultez Stratégies et expressions.
4. Sélectionnez Signatures : sur cet écran, vous sélectionnez les catégories de signatures que vous souhaitez utiliser pour protéger vos sites Web et services Web.
Cette étape n’est pas obligatoire et vous pouvez l’ignorer si vous le souhaitez et accéder à l’écran Spécifier les protections profondes . Si l’écran Sélectionner les signatures est ignoré, seuls un profil et les stratégies associées sont créés, et les signatures ne sont pas créées.
Vous pouvez sélectionner Créer une nouvelle signature ou Sélectionner une signature existante.
Si vous créez une nouvelle configuration de sécurité, les catégories de signatures que vous sélectionnez sont activées et, par défaut, elles sont enregistrées dans un nouvel objet de signature. Le nouvel objet de signatures se voit attribuer le même nom que celui que vous avez saisi dans l’écran Spécifier le nom comme nom de la configuration de sécurité.
Si vous avez déjà configuré des objets de signature et que vous souhaitez utiliser l’un d’entre eux comme objet de signature associé à la configuration de sécurité que vous créez, cliquez sur Sélectionner une signature existante et sélectionnez un objet de signature dans la liste des signatures.
Si vous modifiez une configuration de sécurité existante, vous pouvez cliquer sur Sélectionner une signature existante et attribuer un objet de signature différent à la configuration de sécurité.
Si vous cliquez sur Créer une nouvelle signature, vous pouvez choisir le mode d’édition Simple ou Avancé.
- Spécifier les protections de signature (mode simple)
Le mode simple permet de configurer facilement la signature, avec une liste prédéfinie de définitions de protection pour les applications courantes telles que IIS (Internet Information Server), PHP et ActiveX. Les catégories par défaut en mode Simple sont les suivantes :
-
CGI. Protection contre les attaques contre les sites Web qui utilisent des scripts CGI dans n’importe quel langage, y compris les scripts PERL, les scripts shell Unix et les scripts Python.
-
Cold Fusion. Protection contre les attaques visant les sites Web qui utilisent la plateforme de développement Web Adobe Systems® ColdFusion®.
-
FrontPage. Protection contre les attaques visant les sites Web qui utilisent la plateforme de développement Web Microsoft® FrontPage®.
-
PHP. Protection contre les attaques contre les sites Web qui utilisent le langage de script de développement Web open source PHP.
-
Client side. Protection contre les attaques visant les outils côté client utilisés pour accéder à vos sites Web protégés, tels que Microsoft Internet Explorer, Mozilla Firefox, le navigateur Opera et Adobe Acrobat Reader.
-
Microsoft IIS. Protection contre les attaques contre les sites Web qui exécutent Microsoft Internet Information Server (IIS)
-
Miscellaneous. Protection contre les attaques visant d’autres outils côté serveur, tels que les serveurs Web et les serveurs de base de données.
Sur cet écran, vous sélectionnez les actions associées aux catégories de signatures que vous avez sélectionnées sur l’écran Sélectionner les signatures. Les actions que vous pouvez configurer sont les suivantes :
- Bloquer
- Journal
- Statistiques
Par défaut, les actions Journal et Statistiques sont activées, mais pas l’action Bloquer. Pour configurer les actions, cliquez sur Paramètres. Vous pouvez modifier les paramètres d’action de toutes les catégories sélectionnées à l’aide de la liste déroulante Action .
- Spécifier les protections de signature (mode avancé)
Le mode avancé permet un contrôle plus précis des définitions de signature et fournit beaucoup plus d’informations. Utilisez le mode avancé si vous souhaitez contrôler complètement la définition de signature.
Le contenu de cet écran est identique au contenu de la boîte de dialogue Modifier un objet Signatures, comme décrit dans Configuration ou modification d’un objet Signatures. Dans cet écran, vous pouvez configurer des actions en cliquant sur la liste déroulante Actions ou sur le menu Actions, qui apparaît sous la forme d’un cercle avec trois points.
7. Spécifiez les protections approfondies : sur cet écran, vous choisissez les protections avancées (également appelées contrôles de sécurité ou simplement contrôles) que vous souhaitez utiliser pour protéger vos sites Web et services Web. Les vérifications disponibles dépendent du type de profil que vous avez choisi sur l’écran Spécifier le nom. Toutes les vérifications sont disponibles pour les profils d’application Web 2.0.
Pour plus d’informations, voir Vue d’ensemble des contrôles de sécuritéet voir Contrôles avancés de protection des formulaires.
Vous configurez les actions pour les protections avancées que vous avez activées.Les actions que vous pouvez configurer sont les suivantes :
- Bloquer : bloque les connexions qui correspondent à la signature. Désactivé par défaut.
- Journal : enregistre les connexions qui correspondent à la signature pour une analyse ultérieure. Activé par défaut.
- Statistiques : conserve des statistiques, pour chaque signature, qui indiquent le nombre de connexions correspondantes et fournissent certaines autres informations sur les types de connexions bloquées. Désactivé par défaut.
- Apprenez. Observez le trafic vers ce site Web ou ce service Web et utilisez les connexions qui enfreignent régulièrement cette vérification pour générer des exceptions recommandées à la vérification ou de nouvelles règles pour la vérification. Disponible uniquement pour certains chèques. Pour plus d’informations sur la fonctionnalité d’apprentissage, voir Configuration et utilisation de la fonctionnalité d’apprentissage, et comment l’apprentissage fonctionne et comment configurer des exceptions (relaxations) ou déployer des règles apprises pour une vérification, voir Configuration manuelle à l’aide de l’interface graphique.
Pour configurer des actions, activez la protection en cochant la case à cocher, puis cliquez sur Paramètres d’action pour sélectionner les actions requises. Sélectionnez d’autres paramètres, si nécessaire, puis cliquez sur OK pour fermer la fenêtre Paramètres d’action.
Pour afficher tous les journaux d’une vérification spécifique, sélectionnez-la, puis cliquez sur Journaux pour afficher la visionneuse Syslog, comme décrit dans Journaux du Web App Firewall. Si une vérification de sécurité bloque l’accès légitime à votre site Web ou service Web protégé, vous pouvez créer et implémenter une relaxation pour cette vérification de sécurité en sélectionnant un journal affichant le blocage indésirable, puis en cliquant sur Déployer.
Après avoir défini les paramètres d’action, cliquez sur Terminer pour terminer l’assistant.
Les quatre procédures suivantes montrent comment effectuer des types de configuration spécifiques à l’aide de l’assistant Web App Firewall.
Création d’une nouvelle configuration
Procédez comme suit pour créer une nouvelle configuration de pare-feu et des objets de signature à l’aide de l’assistant de pare-feu d’application.
-
Accédez à Sécurité > Pare-feu d’applications.
-
Dans le volet d’informations, sous Mise en route, cliquez sur Pare-feu **d’applications. L’Assistant s’ouvre.
-
Sur l’écran Spécifier le nom, sélectionnez **Créer une nouvelle configuration.
-
Dans le champ Nom, tapez un nom, puis cliquez sur Suivant.
-
Dans l’écran Spécifier une règle, cliquez à nouveau sur Suivant .
-
Dans l’écran Sélectionner les signatures, sélectionnez Créer une nouvelle signature et Simple comme mode d’édition, puis cliquez sur Suivant.
-
Dans l’écran Spécifier les protections de signature, configurez les paramètres requis. Pour plus d’informations sur les signatures à prendre en compte pour le blocage et sur la manière de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, consultez la section Signatures.
-
Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.
-
Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’assistant de pare-feu d’applications.
Modifier une configuration existante
Suivez ces étapes pour modifier une configuration existante et des catégories de signatures existantes.
- Accédez à Sécurité > Pare-feu d’applications.
- Dans le volet d’informations, sous Mise en route, cliquez sur Application Firewall Wizard. L’Assistant s’ouvre.
- Sur l’écran Spécifier le nom, sélectionnez Modifier la configuration existante et, dans la liste déroulante Nom, choisissez la configuration de sécurité que vous avez créée lors de la nouvelle configuration, puis cliquez sur Suivant.
- Dans l’écran Spécifier la règle, cliquez sur Suivant pour conserver la valeur par défaut « true ». Si vous souhaitez modifier la règle, suivez les étapes décrites dans Configurer une expression de stratégie personnalisée.
- Dans l’écran Sélectionner les signatures, cliquez sur Sélectionner une signature existante. Dans la liste déroulante Signature existante, sélectionnez l’option appropriée, puis cliquez sur Suivant. L’écran de protection avancée des signatures s’affiche. Remarque : Si vous sélectionnez une signature existante, le mode d’édition par défaut pour la protection des signatures est avancé.
- Dans l’écran Spécifier les protections de signature, configurez les paramètres requis et cliquez sur Suivant. Pour plus d’informations sur les signatures à bloquer et sur la manière de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, voir Signatures.
- Dans l’écran Spécifier les protections profondes, configurez les paramètres et cliquez sur Suivant.
- Une fois que vous avez terminé, cliquez sur Terminer pour fermer l’ assistant Web App Firewall.
Création d’une nouvelle configuration sans signatures
Suivez ces étapes pour utiliser l’assistant Application Firewall afin d’ignorer l’écran de sélection des signatures et de créer une nouvelle configuration avec uniquement le profil et les stratégies associées, mais sans aucune signature.
- Accédez à Sécurité > Pare-feu d’applications.
- Dans le volet d’informations, sous Mise en route, cliquez sur Application Firewall Wizard. L’Assistant s’ouvre.
- Sur l’écran Spécifier le nom, sélectionnez Créer une nouvelle configuration.
- Dans le champ Nom, tapez un nom, puis cliquez sur Suivant.
- Dans l’écranSpécifier une règle, cliquez à nouveau sur Suivant.
- Dans l’écran Sélectionner les signatures, cliquez sur Ignorer.
- Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.
- Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’assistant Application Firewall.
Configuration d’une expression de stratégie personnalisée
Suivez ces étapes pour utiliser l’assistant de pare-feu d’application afin de créer une configuration de sécurité spécialisée afin de protéger uniquement un contenu spécifique. Dans ce cas, vous créez une nouvelle configuration de sécurité au lieu de modifier la configuration initiale. Ce type de configuration de sécurité nécessite une règle personnalisée, de sorte que la stratégie applique la configuration uniquement au trafic Web sélectionné.
- Accédez à Sécurité > Pare-feu d’applications.
- Dans le volet d’informations, sous Mise en route, cliquez sur Application Firewall Wizard.
- Sur l’écran Spécifier le nom, tapez le nom de votre nouvelle configuration de sécurité dans la zone de texte Nom, sélectionnez le type de configuration de sécurité dans la liste déroulante Type, puis cliquez sur Suivant.
- Sur l’écran Spécifier une règle, entrez une règle correspondant uniquement au contenu que vous souhaitez que cette application Web protège. Utilisez la liste déroulante Expressions fréquemment utilisées et l’ éditeur d’ expressions pour créer une expression personnalisée. Lorsque vous avez terminé, cliquez sur Suivant.
- Dans l’écran Sélectionner les signatures, sélectionnez le mode d’édition, puis cliquez sur Suivant.
- Dans l’écran Spécifier les protections de signature, configurez les paramètres requis.
- Dans l’écran Spécifier les protections approfondies, configurez les actions et les paramètres requis dans Paramètres d’action.
- Lorsque vous avez terminé, cliquez sur Terminer pour fermer l’ assistant de pare-feu d’application.