Politiques de Web App Firewall contraignantes
Après avoir configuré vos politiques de Web App Firewall, vous les liez à Global ou à un point de liaison pour les mettre en œuvre. Après la liaison, toute demande ou réponse correspondant à une politique de Web App Firewall est transformée par le profil associé à cette politique.
Lorsque vous liez une stratégie, vous lui attribuez une priorité. La priorité détermine l’ordre dans lequel les stratégies que vous définissez sont évaluées. Vous pouvez définir la priorité sur n’importe quel nombre entier positif. Dans le système d’exploitation NetScaler, les priorités des politiques fonctionnent dans l’ordre inverse : plus le nombre est élevé, plus la priorité est faible.
Étant donné que la fonctionnalité Web App Firewall met en œuvre uniquement la première politique à laquelle une demande correspond, et non les politiques supplémentaires auxquelles elle pourrait également correspondre, la priorité des politiques est importante pour obtenir les résultats souhaités. Si vous attribuez à votre première politique une faible priorité (par exemple 1000), vous configurez le Web App Firewall pour qu’il ne l’exécute que si d’autres politiques ayant une priorité plus élevée ne correspondent pas à une demande. Si vous accordez à votre première politique une priorité élevée (par exemple, 1), vous configurez le Web App Firewall pour qu’il l’exécute en premier, et vous ignorez toutes les autres politiques qui pourraient également correspondre. Vous pouvez vous laisser beaucoup de place pour ajouter d’autres stratégies dans n’importe quel ordre, sans avoir à réaffecter des priorités, en définissant des priorités avec des intervalles de 50 ou 100 entre chaque stratégie lorsque vous liez vos stratégies.
Pour plus d’informations sur les politiques de liaison sur l’appliance NetScaler, consultez « Politiques et expressions ». «
Pour lier une stratégie de Web App Firewall à l’aide de l’interface de ligne de commande
À l’invite de commandes, tapez les commandes suivantes :
bind appfw global <policyName>bind appfw profile <profile_name> -crossSiteScripting data
Exemple
L’exemple suivant lie la politique nommée pl-blog et lui attribue une priorité de 10.
bind appfw global pl-blog 10
save ns config
<!--NeedCopy-->
Configuration des expressions de journal
La prise en charge des expressions de journal pour lier le Web App Firewall est ajoutée pour consigner les informations d’en-tête HTTP en cas de violation.
L’expression du journal est liée au profil de l’application, et la liaison contient l’expression qui doit être évaluée et envoyée aux frameworks de journalisation en cas de violation.
L’enregistrement du journal des violations du Web App Firewall avec les informations d’en-tête HTTP est enregistré. Vous pouvez spécifier une expression de journal personnalisée qui facilite l’analyse et le diagnostic lorsque des violations sont générées pour le flux actuel (demande/réponse).
Exemple de configuration
bind appfw profile <profile> -logexpression <string> <expression>
add policy expression headers "" HEADERS(100):"+HTTP.REQ.FULL_HEADER"
add policy expression body_100 ""BODY:"+HTTP.REQ.BODY(100)"
bind appfw profile test -logExpression log_body body_100
bind appfw profile test -logExpression log_headers headers
bind appfw profile test -logExpression ""URL:"+HTTP.REQ.URL+" IP:"+CLIENT.IP.SRC"
<!--NeedCopy-->
Exemples de journaux
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg= HEADERS(100):POST /test/credit.html HTTP/1.1^M User-Agent: curl/7.24.0 (amd64-portbld-freebsd8.4) libcurl/7.24.0 OpenSSL/0.9.8y zlib/1.2.3^M Host: 10.217.222.44^M Accept: /^M Content-Length: 33^M Content-Type: application/x-www-form-urlencoded^M ^M cn1=58 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=BODY:ata=asdadasdasdasdddddddddddddddd cn1=59 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_LOGEXPRESSION|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=URL:/test/credit.html IP:10.217.222.128 cn1=60 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Other violation logs
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_STARTURL|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Disallow Illegal URL. cn1=61 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Dec 8 16:55:33 <local0.info> 10.87.222.145 CEF:0|Citrix|NetScaler|NS12.1|APPFW|APPFW_SAFECOMMERCE|6|src=10.217.222.128 spt=26409 method=POST request=http://10.217.222.44/test/credit.html msg=Maximum number of potential credit card numbers seen cn1=62 cn2=174 cs1=test cs2=PPE1 cs4=ALERT cs5=2017 act=not blocked
<!--NeedCopy-->
Remarque
Seul le support Auditlog est disponible. La prise en charge du logstream et la visibilité dans Security Insight seront ajoutées dans les prochaines versions.
Si des journaux d’audit sont générés, seuls 1024 octets de données peuvent être générés par message de journal.
Si le streaming de journaux est utilisé, les limites sont basées sur la taille maximale prise en charge par les limites de taille du protocole Log Stream et IPFIX. La taille maximale de prise en charge pour le flux de journaux est supérieure à 1024 octets.
Pour lier une politique de Web App Firewall à l’aide de l’interface graphique
- Procédez comme suit :
- Accédez à Sécurité > Web App Firewall, puis dans le volet de détails, cliquez sur Gestionnaire de politiques du Web App Firewall.
- Accédez à Sécurité > Web App Firewall > Politiques > Politiquesde pare-feu, puis dans le volet de détails, cliquez surPolicy Manager.
- Dans la boîte de dialogue du gestionnaire de politiques du Web App Firewall, choisissez le point de liaison auquel vous souhaitez lier la politique dans la liste déroulante. Les choix sont les suivants :
- Remplacez Global. Les politiques liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance NetScaler et sont appliquées avant toute autre politique.
- Serveur virtuel LB. Les politiques liées à un serveur virtuel d’équilibrage de charge sont appliquées uniquement au trafic traité par ce serveur virtuel d’équilibrage de charge et sont appliquées avant toute politique globale par défaut. Après avoir sélectionné le serveur virtuel LB, vous devez également sélectionner le serveur virtuel d’équilibrage de charge spécifique auquel vous souhaitez lier cette politique.
- Serveur virtuel CS. Les politiques liées à un serveur virtuel de commutation de contenu sont appliquées uniquement au trafic traité par ce serveur virtuel de commutation de contenu et sont appliquées avant toute politique globale par défaut. Après avoir sélectionné CS Virtual Server, vous devez également sélectionner le serveur virtuel de commutation de contenu spécifique auquel vous souhaitez lier cette politique.
- Global par défaut. Les politiques liées à ce point de liaison traitent l’ensemble du trafic provenant de toutes les interfaces de l’appliance NetScaler.
- Libellé de politique. Les politiques liées à une étiquette de stratégie traitent le trafic que l’étiquette de stratégie leur achemine. L’étiquette de politique contrôle l’ordre dans lequel les politiques sont appliquées à ce trafic.
- None. Ne liez la politique à aucun point de liaison.
- Cliquez sur Continuer. La liste des politiques de Web App Firewall existantes s’affiche.
- Sélectionnez la politique que vous souhaitez lier en cliquant dessus.
- Apportez tous les ajustements supplémentaires à la reliure.
- Pour modifier la priorité de la stratégie, cliquez sur le champ pour l’activer, puis tapez une nouvelle priorité. Vous pouvez également sélectionner Régénérer les priorités pour renuméroter les priorités uniformément.
- Pour modifier l’expression de politique, double-cliquez sur ce champ pour ouvrir la boîte de dialogue Configurer la politique de Web App Firewall, dans laquelle vous pouvez modifier l’expression de stratégie.
- Pour définir l’expression Goto, double-cliquez sur le champ dans l’en-tête de la colonne Goto Expression pour afficher la liste déroulante dans laquelle vous pouvez choisir une expression.
- Pour définir l’option Invoke, double-cliquez sur le champ dans l’en-tête de colonne Invoke pour afficher la liste déroulante, dans laquelle vous pouvez choisir une expression
- Répétez les étapes 3 à 6 pour ajouter les politiques de Web App Firewall supplémentaires que vous souhaitez lier globalement.
- Cliquez sur OK. Un message apparaît dans la barre d’état indiquant que la stratégie a été liée avec succès.