ADC

Création de profils de Web App Firewall

Vous pouvez créer un profil de Web App Firewall de deux manières : à l’aide de la ligne de commande et à l’aide de l’interface graphique. Pour créer un profil à l’aide de la ligne de commande, vous devez spécifier des options sur la ligne de commande. Le processus est similaire à celui de la configuration d’un profil et, à quelques exceptions près, les deux commandes prennent les mêmes paramètres.

Pour créer un profil à l’aide de l’interface graphique, vous devez spécifier seulement deux options. Vous spécifiez les paramètres par défautde base ou avancés, la configuration par défaut des différents contrôles de sécurité et paramètres qui font partie d’un profil, puis choisissez le type de profil correspondant au type de contenu que le profil est destiné à protéger. Vous pouvez également ajouter un commentaire. Après avoir créé le profil, vous devez le configurer en le sélectionnant dans le volet de données, puis en cliquant sur Modifier.

Si vous envisagez d’utiliser la fonctionnalité d’apprentissage ou d’activer et de configurer de nombreuses protections avancées, vous devez choisir les paramètres par défaut avancés. En particulier, si vous envisagez de configurer l’une ou l’autre des vérifications d’injection SQL, soit les vérifications de script intersite, toute vérification offrant une protection contre les attaques de formulaires Web ou la vérification de cohérence des cookie, vous devez prévoir d’utiliser la fonctionnalité d’apprentissage. À moins que vous n’incluiez les exceptions appropriées pour vos sites Web protégés lors de la configuration de ces vérifications, ils peuvent bloquer le trafic légitime. Il est difficile d’anticiper toutes les exceptions sans en créer de trop larges. La fonction d’apprentissage facilite grandement cette tâche. Sinon, les valeurs par défaut de base sont rapides et doivent fournir la protection dont vos applications Web ont besoin.

Il existe trois types de profils :

  • HTML. Protège les sites Web HTML standard.
  • XML. Protège les services Web et les sites Web XML.
  • Web 2.0 (HTML XML). Protège les sites Web qui contiennent des éléments HTML et XML, tels que des flux ATOM, des blogs et des flux RSS.

Il existe également quelques restrictions sur le nom que vous pouvez attribuer à un profil. Un nom de profil ne peut pas être identique au nom attribué à un autre profil ou action dans une fonctionnalité du dispositif NetScaler. Certains noms d’actions ou de profils sont attribués à des actions ou profils intégrés et ne peuvent jamais être utilisés pour des profils utilisateur. Vous trouverez une liste complète des noms non autorisés dans les informations supplémentairesdu profil du pare-feu Web App Firewall. Si vous tentez de créer un profil avec un nom qui a déjà été utilisé pour une action ou un profil, un message d’erreur s’affiche et le profil n’est pas créé.

Pour créer un profil de Web App Firewall à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes :

  • add appfw profile <name> [-defaults ( **basic** | **advanced** )]
  • set appfw profile <name> -type ( **HTML** | **XML** | **HTML XML** )
  • set appfw profile <name> -comment "<comment>"
  • save ns config

Exemple

L’exemple suivant ajoute un profil nommé pr-basic, avec des valeurs par défaut de base, et affecte un type de profil HTML. Il s’agit de la configuration initiale appropriée pour un profil afin de protéger un site Web HTML.

add appfw profile pr-basic -defaults basic -comment "Simple profile for websites."
set appfw profile pr-basic -type HTML
save ns config
<!--NeedCopy-->

Pour créer un profil de Web App Firewall à l’aide de l’interface graphique

Suivez la procédure suivante pour créer un profil de Web App Firewall :

  1. Accédez à Sécurité > Citrix Web App Firewall > Profils.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Créer un profil de Web App Firewall, définissez les paramètres de base suivants :

    1. Nom
    2. Type de profil
    3. Commentaires
    4. Valeurs par défaut
    5. Description
  4. Cliquez sur OK.
  5. Dans la section Paramètres avancés, effectuez les configurations suivantes :

    1. Contrôles de sécurité
    2. Paramètres du profil
    3. Profilage dynamique
    4. Règles de relaxation
    5. Règles de refus
    6. Règle apprise
    7. Journalisation étendue
  6. Dans la section Contrôles de sécurité, sélectionnez une protection de sécurité et cliquez sur Paramètres d’action.
  7. Dans la page de vérification de sécurité, définissez les paramètres.

    Remarque : Le paramètre Active Rule n’est disponible que pour la vérification par injection HTML SQL afin d’autoriser > ou de refuser les règles de signature.

  8. Cliquez sur OK et Fermer.

  9. Dans la section Paramètres du profil, définissez les paramètres du profil. Pour plus d’informations, consultez la rubrique Configurer les paramètres du profil de Web App Firewall.
  10. Dans la section Profilage dynamique, sélectionnez une vérification de sécurité pour ajouter des paramètres de profil dynamique. Pour plus d’informations, consultez la rubrique Profil dynamique.
  11. Dans la section Règles de relaxation, cliquez sur Modifier pour ajouter une règle de relaxation pour un contrôle de sécurité. Pour plus d’informations, consultez la section Règle de relaxation pour plus de détails.
  12. Dans la section Règles de refus, ajoutez une règle de refus pour la vérification HTML SQL Injection. Pour plus d’informations, consultez la rubrique Règles de refus HTML.
  13. Dans la section Règle apprise, définissez les paramètres d’apprentissage. Pour plus d’informations, consultez la rubrique d’ apprentissage sur le Web App Firewall.
  14. Dans la section Journalisation étendue, cliquez sur Ajouter pour masquer les données sensibles. Pour plus d’informations, consultez la rubrique de journalisation étendue.
  15. Cliquez sur Terminé, puis cliquez sur Fermer.
Création de profils de Web App Firewall