Configuration des profils Web App Firewall
Pour configurer un profil Web App Firewall défini par l’utilisateur, configurez d’abord les contrôles de sécurité, appelés protections profondes ou protections avancées dans l’Assistant Web App Firewall. Certaines vérifications nécessitent une configuration si vous voulez les utiliser. D’autres ont des configurations par défaut qui sont sûres mais dont la portée est limitée ; vos sites Web peuvent avoir besoin ou bénéficier d’une configuration différente qui tire parti des fonctionnalités supplémentaires de certains contrôles de sécurité.
Après avoir configuré les contrôles de sécurité, vous pouvez également configurer d’autres paramètres qui contrôlent le comportement, non pas d’un seul contrôle de sécurité, mais de la fonctionnalité Web App Firewall. La configuration par défaut est suffisante pour protéger la plupart des sites Web, mais vous devez les consulter pour vous assurer qu’ils conviennent à vos sites Web protégés.
Remarque :
La longueur du nom du profil et toute la longueur du nom d’objet d’importation peuvent être définies à 127 caractères.
Pour plus d’informations sur les contrôles de sécurité Web App Firewall, voir Protections avancées.
Pour configurer un profil de Web App Firewall à l’aide de la ligne de commande
À l’invite de commandes, tapez les commandes suivantes :
-
set appfw profile <name> <arg1> [<arg2> ...]
où :
-
<arg1>
= un paramètre et toutes les options associées. -
<arg2>
= un second paramètre et toutes les options associées. - … = paramètres et options supplémentaires.
Pour obtenir une description des paramètres à utiliser lors de la configuration de contrôles de sécurité spécifiques, voir Protections avancées.
-
-
save ns config
Exemple
L’exemple suivant montre comment activer le blocage pour les vérifications d’injection HTML SQL et de script intersite HTML dans un profil nommé pr-basic. Cette commande permet de bloquer ces actions tout en n’apportant aucune autre modification au profil.
set appfw profile pr-basic -crossSiteScriptingAction block -SQLInjectionAction block
<!--NeedCopy-->
Règle de relaxation de liaison à un profil Web App Firewall
Lorsque le Web App Firewall détecte une violation, l’utilisateur a la possibilité de contourner l’action appliquée par le biais de règles de relaxation. La règle d’assouplissement est une exception appliquée à la violation de sécurité détectée. Par exemple, les règles de relaxation de l’URL de démarrage protègent contre la navigation forcée. Les vulnérabilités connues des serveurs Web exploitées par des pirates peuvent être détectées et bloquées en activant un ensemble de règles de refus d’URL par défaut. Les attaques lancées couramment, telles que Buffer Overflow, SQL ou cross-site scripting peuvent également être facilement détectées.
Pour lier des règles d’exemption ou d’assouplissement de sécurité à l’aide de
À l’invite de commandes, tapez :
bind appfw profile <name> ((-startURL <expression> [-resourceId <string>]) | -denyURL <expression> | (-fieldConsistency <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )]) | (-cookieConsistency <string> [-isRegex ( REGEX | NOTREGEX )]) | (-SQLInjection <string> <formActionURL> [-isRegex ( REGEX | NOTREGEX )] [-location <location>] [-valueType <valueType> <valueExpression>....
<!--NeedCopy-->
Pour lier les règles d’exemption ou de relaxation de sécurité à l’aide de l’interface
- Accédez à Sécurité > Citrix Web App Firewall > Profils.
- Dans le volet d’informations, sélectionnez un profil et cliquez sur Modifier.
- Dans la page Profil de Citrix Web App Firewall, cliquez sur Règles de relaxation dans la section Paramètres avancés.
- Dans la section Règles de relaxation, cliquez sur StartURL, puis sur Modifier.
- Dans la page Règles de relaxation de l’URL de démarrage, cliquez sur Ajouter.
-
Dans la page Règle de relaxation d’URL de démarrage, définissez les paramètres suivants :
- Activé. Cochez la case pour activer la règle de relaxation
- URL de démarrage. Entrez la valeur d’expression régulière
- Commentaires. Fournissez une brève description de la règle de relaxation.
- Cliquez sur Créer et Fermer.
Pour configurer un profil Web App Firewall à l’aide de l’interface graphique
- Accédez à Sécurité > Citrix Web App Firewall > Profils.
- Dans le volet d’informations, sélectionnez le profil que vous souhaitez configurer, puis cliquez sur Modifier.
-
Dans la boîte de dialogue Configurer le profil de Web App Firewall, sous l’onglet Vérifications de sécurité, configurez les contrôles de sécurité.
-
Pour activer ou désactiver une action pour une vérification, dans la liste, activez ou désactivez la case à cocher correspondant à cette action.
-
Pour configurer d’autres paramètres pour les contrôles qui en disposent, dans la liste, cliquez sur le chevron bleu situé à l’extrême droite de cette vérification. Dans la boîte de dialogue qui s’affiche, configurez les paramètres. Celles-ci varient d’un chèque à l’autre.
Vous pouvez également sélectionner une coche et, au bas de la boîte de dialogue, cliquer sur Ouvrir pour afficher la boîte de dialogue Configurer la relaxation ou Configurer la règle pour cette vérification. Ces boîtes de dialogue varient également d’une vérification à l’autre. La plupart d’entre eux incluent un onglet Vérifications et un onglet Général. Si la vérification prend en charge les assouplissements ou les règles définies par l’utilisateur, l’onglet Vérifications inclut un bouton Ajouter, qui ouvre une autre boîte de dialogue, dans laquelle vous pouvez spécifier un assouplissement ou une règle pour la vérification. (Un assouplissement est une règle visant à exempter du contrôle le trafic spécifié.) Si les relaxations ont déjà été configurées, vous pouvez en sélectionner une et cliquer sur Ouvrir pour la modifier.
-
Pour consulter les exceptions ou les règles apprises pour une vérification, sélectionnez-la, puis cliquez sur Violations apprises. Dans la boîte de dialogue Gérer les règles apprises, sélectionnez chaque exception ou règle apprise à tour de rôle.
- Pour modifier l’exception ou la règle, puis l’ajouter à la liste, cliquez sur Modifier et déployer.
- Pour accepter l’exception ou la règle sans modification, cliquez sur Déployer.
- Pour supprimer l’exception ou la règle de la liste, cliquez sur Ignorer.
-
Pour actualiser la liste des exceptions ou des règles à examiner, cliquez sur Actualiser.
-
ouvrez le Visualiseur d’apprentissage et utilisez-le pour consulter les règles apprises, cliquez sur Visualiseur.
-
passez en revue les entrées de journal pour les connexions qui correspondent à une vérification, sélectionnez la vérification, puis cliquez sur Journaux. Vous pouvez utiliser ces informations pour déterminer quels contrôles correspondent à des attaques, afin d’activer le blocage de ces contrôles. Vous pouvez également utiliser ces informations pour déterminer quelles vérifications correspondent au trafic légitime, de sorte que vous pouvez configurer une exemption appropriée pour autoriser ces connexions légitimes. Pour plus d’informations sur les journaux, consultez Journaux, statistiques et rapports.
-
Pour désactiver complètement une coche, dans la liste, désactivez toutes les cases à droite de cette coche.
-
- Dans l’onglet Paramètres, configurez les paramètres du profil.
-
Pour associer le profil à l’ensemble de signatures que vous avez précédemment créé et configuré, sous Paramètres communs, choisissez cet ensemble de signatures dans la liste déroulante Signatures.
Remarque :
Vous pouvez utiliser la barre de défilement située à droite de la boîte de dialogue pour faire défiler vers le bas et afficher la section Paramètres communs.
- Pour configurer un objet d’erreur HTML ou XML, sélectionnez-le dans la liste déroulante appropriée.
Remarque :
Vous devez d’abord charger l’objet d’erreur que vous souhaitez utiliser dans le volet Importations. Pour plus d’informations sur l’importation d’objets d’erreur, voir Importations.
- Pour configurer le type de contenu XML par défaut, tapez la chaîne de type de contenu directement dans les zones de texte Demande par défaut et réponse par défaut, ou cliquez sur Gérer les types de contenu autorisés pour gérer la liste des types de contenu autorisés. »Plus….
-
- Si vous souhaitez utiliser la fonctionnalité d’apprentissage, cliquez sur Apprentissage et configurez les paramètres d’apprentissage du profil, comme décrit dans Configuration et utilisation de la fonctionnalité d’apprentissage.
- Cliquez sur OK pour enregistrer vos modifications et revenir au volet Profils.