NetScaler VPX 14.1

Déployer NetScaler Web App Firewall sur AWS

June 8, 2026

Contributeur:

C C

Le NetScaler Web App Firewall peut être installé soit comme un périphérique réseau de couche 3, soit comme un pont réseau de couche 2 entre les serveurs et les utilisateurs du client, généralement derrière le routeur ou le pare-feu de l’entreprise cliente. Le NetScaler Web App Firewall doit être installé à un endroit où il peut intercepter le trafic entre les serveurs web et le concentrateur ou le commutateur par lequel les utilisateurs accèdent à ces serveurs web. Les utilisateurs configurent ensuite le réseau pour envoyer les requêtes au pare-feu d’application web au lieu de les envoyer directement à leurs serveurs web, et les réponses au pare-feu d’application web au lieu de les envoyer directement à leurs utilisateurs. Le pare-feu d’application web filtre ce trafic avant de le transmettre à sa destination finale, en utilisant à la fois son ensemble de règles internes et les ajouts et modifications de l’utilisateur. Il bloque ou rend inoffensive toute activité qu’il détecte comme nuisible, puis transmet le trafic restant au serveur web. L’image précédente fournit un aperçu du processus de filtrage.

Pour plus d’informations, consultez Fonctionnement de NetScaler Web App Firewall.

Architecture de NetScaler Web App Firewall sur AWS pour un déploiement en production

L’image montre un cloud privé virtuel (VPC) avec des paramètres par défaut qui construit un environnement NetScaler Web App Firewall dans le cloud AWS.

Architecture de NetScaler Web App Firewall sur AWS pour un déploiement en production

Dans un déploiement en production, les paramètres suivants sont configurés pour l’environnement NetScaler Web App Firewall :

Cette architecture suppose l’utilisation d’un modèle AWS CloudFormation.
Un VPC qui s’étend sur deux zones de disponibilité, configuré avec deux sous-réseaux publics et quatre sous-réseaux privés, conformément aux meilleures pratiques AWS, pour vous fournir votre propre réseau virtuel sur AWS avec un bloc CIDR (Classless Inter-Domain Routing) /16 (un réseau avec 65 536 adresses IP privées).
Deux instances de NetScaler Web App Firewall (principale et secondaire), une dans chaque zone de disponibilité.
Trois groupes de sécurité, un pour chaque interface réseau (gestion, client, serveur), qui agissent comme des pare-feu virtuels pour contrôler le trafic de leurs instances associées.
Trois sous-réseaux, pour chaque instance : un pour la gestion, un pour le client et un pour le serveur back-end.
Une passerelle Internet attachée au VPC, et une table de routage des sous-réseaux publics qui est associée aux sous-réseaux publics afin de permettre l’accès à Internet. Cette passerelle est utilisée par l’hôte Web App Firewall pour envoyer et recevoir du trafic. Pour plus d’informations sur les passerelles Internet, consultez : Passerelles Internet.
5 tables de routage - une table de routage publique associée aux sous-réseaux clients des pare-feu d’application web principal et secondaire. Les 4 tables de routage restantes sont liées à chacun des 4 sous-réseaux privés (sous-réseaux de gestion et côté serveur des pare-feu d’application web principal et secondaire).
AWS Lambda dans Web App Firewall prend en charge les éléments suivants :
- Configuration de deux pare-feu d’applications web dans chaque zone de disponibilité en mode HA
- Création d’un exemple de profil de pare-feu d’applications web et déploiement de cette configuration pour le pare-feu d’applications web
AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour vos utilisateurs. Par défaut, le modèle CloudFormation (CFT) crée le rôle IAM requis. Cependant, les utilisateurs peuvent fournir leur propre rôle IAM pour les instances NetScaler ADC.
Dans les sous-réseaux publics, deux passerelles de traduction d’adresses réseau (NAT) gérées pour permettre l’accès sortant à Internet aux ressources des sous-réseaux publics.

Remarque :

Le modèle CFT de pare-feu d’applications web qui déploie le pare-feu d’applications web NetScaler dans un VPC existant ignore les composants marqués d’astérisques et invite les utilisateurs à fournir leur configuration VPC existante.

Les serveurs backend ne sont pas déployés par le CFT.

Coût et licences

Les utilisateurs sont responsables du coût des services AWS utilisés lors de l’exécution des déploiements AWS. Les modèles AWS CloudFormation qui peuvent être utilisés pour ce déploiement incluent des paramètres de configuration que les utilisateurs peuvent personnaliser si nécessaire. Certains de ces paramètres, tels que le type d’instance, affectent le coût du déploiement. Pour les estimations de coûts, les utilisateurs doivent se référer aux pages de tarification de chaque service AWS qu’ils utilisent. Les prix sont sujets à modification.

Un pare-feu d’applications web NetScaler sur AWS nécessite une licence. Pour licencier le pare-feu d’applications web NetScaler, les utilisateurs doivent placer la clé de licence dans un compartiment S3 et spécifier son emplacement lors du lancement du déploiement.

Remarque :

Lorsque les utilisateurs choisissent le modèle de licence Bring your own license (BYOL), ils doivent s’assurer qu’une fonctionnalité AppFlow est activée. Pour plus d’informations sur les licences BYOL, consultez : AWS Marketplace/Citrix VPX - Customer Licensed.

Les options de licence suivantes sont disponibles pour Citrix® ADC Web App Firewall exécuté sur AWS. Les utilisateurs peuvent choisir une AMI (Amazon Machine Image) basée sur un seul facteur tel que le débit.

Modèle de licence : Paiement à l’utilisation (PAYG, pour les licences de production) ou Bring Your Own License (BYOL, pour l’AMI sous licence client - Citrix ADC Pooled Capacity). Pour plus d’informations sur Citrix ADC Pooled Capacity, consultez : Citrix ADC Pooled Capacity.
- Pour BYOL, il existe 3 modes de licence :
  - Configurer la capacité groupée NetScaler : Configurer la capacité groupée Citrix ADC
  - Licences d’enregistrement et de retrait NetScaler VPX (CICO) : Licences d’enregistrement et de retrait Citrix ADC VPX
  Conseil :
  
  Si les utilisateurs choisissent la licence CICO avec le type de plateforme d’application VPX-200, VPX-1000, VPX-3000, VPX-5000 ou VPX-8000, ils doivent s’assurer qu’ils disposent de la même licence de débit sur leur serveur de licences NetScaler Console.
  - Licences de processeur virtuel NetScaler : Licences de processeur virtuel NetScaler

Remarque :

Si les utilisateurs souhaitent modifier dynamiquement la bande passante d’une instance VPX, ils doivent choisir une option BYOL, par exemple la capacité groupée NetScaler, où ils peuvent allouer les licences depuis NetScaler Console, ou ils peuvent retirer les licences de NetScaler en fonction de la capacité minimale et maximale de l’instance à la demande et sans redémarrage. Un redémarrage n’est requis que si les utilisateurs souhaitent modifier l’édition de la licence.

Débit : 200 Mbps ou 1 Gbps
Offre groupée : Premium

Options de déploiement

Ce guide de déploiement propose deux options de déploiement :

La première option consiste à déployer en utilisant un format de guide de démarrage rapide et les options suivantes :
- Déployer NetScaler Web App Firewall dans un nouveau VPC (déploiement de bout en bout). Cette option crée un nouvel environnement AWS composé du VPC, des sous-réseaux, des groupes de sécurité et d’autres composants d’infrastructure, puis déploie NetScaler Web App Firewall dans ce nouveau VPC.
- Déployer NetScaler Web App Firewall dans un VPC existant. Cette option provisionne NetScaler Web App Firewall dans l’infrastructure AWS existante de l’utilisateur.
La deuxième option consiste à déployer en utilisant les StyleBooks de Web App Firewall via NetScaler Console

Démarrage rapide AWS

Étape 1 : Connectez-vous au compte AWS de l’utilisateur

Connectez-vous au compte utilisateur sur AWS : AWS avec un rôle utilisateur IAM (Identity and Access Management) disposant des autorisations nécessaires pour créer un compte Amazon (si nécessaire) ou vous connecter à un compte Amazon.
Utilisez le sélecteur de région dans la barre de navigation pour choisir la région AWS où les utilisateurs souhaitent déployer la haute disponibilité sur plusieurs zones de disponibilité AWS.
Assurez-vous que le compte AWS de l’utilisateur est correctement configuré ; reportez-vous à la section Exigences techniques de ce document pour plus d’informations.

Étape 2 : Abonnez-vous à l’AMI NetScaler Web App Firewall

Ce déploiement nécessite un abonnement à l’AMI pour NetScaler Web App Firewall sur AWS Marketplace.
Connectez-vous au compte AWS de l’utilisateur.
Ouvrez la page de l’offre NetScaler Web App Firewall en choisissant l’un des liens du tableau suivant.
- Lorsque les utilisateurs lancent le Guide de démarrage rapide pour déployer NetScaler Web App Firewall à l’étape 3 ci-dessous, ils utilisent le paramètre NetScaler Web App Firewall Image pour sélectionner l’offre groupée et l’option de débit qui correspondent à leur abonnement AMI. La liste suivante présente les options AMI et les paramètres correspondants. L’instance AMI VPX nécessite un minimum de 2 CPU virtuels et 2 Go de mémoire.

Remarque :

Pour récupérer l’ID AMI, reportez-vous à la page NetScaler Products on AWS Marketplace sur GitHub : Citrix Products on AWS Marketplace.

AMI AWS Marketplace
- NetScaler Web Application Firewall (Web App Firewall) - 200 Mbps : Citrix Web App Firewall (Web App Firewall) - 200 Mbps
- NetScaler Web Application Firewall (Web App Firewall) - 1000 Mbps : Citrix Web App Firewall (Web App Firewall) - 1000 Mbps
Sur la page AMI, choisissez Continuer à s’abonner.
Examinez les conditions générales d’utilisation du logiciel, puis choisissez Accepter les conditions.

Remarque :

Les utilisateurs reçoivent une page de confirmation, et une confirmation par e-mail est envoyée au propriétaire du compte. Pour des instructions d’abonnement détaillées, consultez la section Démarrage dans la documentation AWS Marketplace : Démarrage.
Une fois le processus d’abonnement terminé, quittez AWS Marketplace sans autre action. Ne provisionnez pas le logiciel depuis AWS Marketplace — les utilisateurs déploieront l’AMI avec le Guide de démarrage rapide.

Étape 3 : Lancer le démarrage rapide AWS

Connectez-vous au compte AWS de l’utilisateur et choisissez l’une des options suivantes pour lancer le modèle AWS CloudFormation. Pour obtenir de l’aide sur le choix d’une option, consultez les options de déploiement plus haut dans ce guide.
- Déployez NetScaler VPX dans un nouveau VPC sur AWS en utilisant l’un des modèles AWS CloudFormation situés ici :
  - Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Across-Availability-Zone
  - Citrix/Citrix-ADC-AWS-CloudFormation/Templates/High-Availability/Same-Availability-Zone

Important :

Si les utilisateurs déploient NetScaler Web App Firewall dans un VPC existant, ils doivent s’assurer que leur VPC s’étend sur deux zones de disponibilité, avec un sous-réseau public et deux sous-réseaux privés dans chaque zone de disponibilité pour les instances de charge de travail, et que les sous-réseaux ne sont pas partagés. Ce guide de déploiement ne prend pas en charge les sous-réseaux partagés ; consultez Utilisation des VPC partagés : Utilisation des VPC partagés. Ces sous-réseaux nécessitent des passerelles NAT dans leurs tables de routage pour permettre aux instances de télécharger des paquets et des logiciels sans les exposer à Internet. Pour plus d’informations sur les passerelles NAT, consultez Passerelles NAT. Configurez les sous-réseaux de manière à éviter tout chevauchement.

De plus, les utilisateurs doivent s’assurer que l’option de nom de domaine dans les options DHCP est configurée comme expliqué dans la documentation Amazon VPC disponible ici : Ensembles d’options DHCP Ensembles d’options DHCP. Les utilisateurs sont invités à saisir leurs paramètres VPC lorsqu’ils lancent le Guide de démarrage rapide.

Chaque déploiement prend environ 15 minutes.
Vérifiez la région AWS affichée dans le coin supérieur droit de la barre de navigation et modifiez-la si nécessaire. C’est là que l’infrastructure réseau pour Citrix Web App Firewall sera construite. Le modèle est lancé par défaut dans la région USA Est (Ohio).

Remarque :

Ce déploiement inclut NetScaler Web App Firewall, qui n’est pas actuellement pris en charge dans toutes les régions AWS. Pour une liste à jour des régions prises en charge, consultez les points de terminaison des services AWS : Points de terminaison des services AWS.

Sur la page Sélectionner le modèle, conservez le paramètre par défaut pour l’URL du modèle, puis choisissez Suivant.
Sur la page Spécifier les détails, indiquez le nom de la pile selon la convenance de l’utilisateur. Passez en revue les paramètres du modèle. Fournissez des valeurs pour les paramètres qui nécessitent une saisie. Pour tous les autres paramètres, examinez les paramètres par défaut et personnalisez-les si nécessaire.
Dans le tableau suivant, les paramètres sont répertoriés par catégorie et décrits séparément pour l’option de déploiement :
Paramètres pour déployer NetScaler Web App Firewall dans un VPC nouveau ou existant (Option de déploiement 1)
Lorsque les utilisateurs ont terminé d’examiner et de personnaliser les paramètres, ils doivent choisir Suivant.

Paramètres pour déployer NetScaler Web App Firewall dans un nouveau VPC

Configuration réseau du VPC

Étiquette (nom) du paramètre	Par défaut	Description
Zone de disponibilité principale (PrimaryAvailabilityZone)	Saisie requise	La zone de disponibilité pour le déploiement principal de NetScaler Web App Firewall
Zone de disponibilité secondaire (SecondaryAvailabilityZone)	Saisie requise	La zone de disponibilité pour le déploiement secondaire de NetScaler Web App Firewall
CIDR du VPC (VPCCIDR)	10.0.0.0/16	Le bloc CIDR pour le VPC. Doit être une plage CIDR IP valide de la forme x.x.x.x/x.
Adresse IP CIDR SSH distante (Gestion) (RestrictedSSHCIDR)	Saisie requise	La plage d’adresses IP qui peut se connecter en SSH à l’instance EC2 (port : 22).

Adresse IP CIDR HTTP distante (Client) (RestrictedWebAppCIDR)	0.0.0.0/0	La plage d’adresses IP qui peut se connecter en HTTP à l’instance EC2 (port : 80)
Adresse IP CIDR HTTP distante (Client) (RestrictedWebAppCIDR)	0.0.0.0/0	La plage d’adresses IP qui peut effectuer des requêtes HTTP vers l’instance EC2 (port : 80)
CIDR du sous-réseau privé de gestion principal (PrimaryManagementPrivateSubnetCIDR)	10.0.1.0/24	Le bloc CIDR pour le sous-réseau de gestion principal situé dans la zone de disponibilité 1.
Adresse IP privée de gestion principale (PrimaryManagementPrivateIP)	—	Adresse IP privée attribuée à l’ENI de gestion principal (le dernier octet doit être compris entre 5 et 254) à partir du CIDR du sous-réseau de gestion principal.
CIDR du sous-réseau public client principal (PrimaryClientPublicSubnetCIDR)	10.0.2.0/24	Le bloc CIDR pour le sous-réseau client principal situé dans la zone de disponibilité 1.
Adresse IP privée client principale (PrimaryClientPrivateIP)	—	Adresse IP privée attribuée à l’ENI client principal (le dernier octet doit être compris entre 5 et 254) à partir du CIDR du sous-réseau client principal.
CIDR du sous-réseau privé du serveur principal (PrimaryServerPrivateSubnetCIDR)	10.0.3.0/24	Le bloc CIDR pour le serveur principal situé dans la zone de disponibilité 1.
Adresse IP privée du serveur principal (PrimaryServerPrivateIP)	—	Adresse IP privée attribuée à l’ENI du serveur principal (le dernier octet doit être compris entre 5 et 254) à partir du CIDR du sous-réseau du serveur principal.
CIDR du sous-réseau privé de gestion secondaire (SecondaryManagementPrivateSubnetCIDR)	10.0.4.0/24	Le bloc CIDR pour le sous-réseau de gestion secondaire situé dans la zone de disponibilité 2.
Adresse IP privée de gestion secondaire (SecondaryManagementPrivateIP)	—	Adresse IP privée attribuée à l’ENI de gestion secondaire (le dernier octet doit être compris entre 5 et 254). Elle allouerait l’adresse IP de gestion secondaire à partir du CIDR du sous-réseau de gestion secondaire.
CIDR du sous-réseau public client secondaire (SecondaryClientPublicSubnetCIDR)	10.0.5.0/24	Le bloc CIDR pour le sous-réseau client secondaire situé dans la zone de disponibilité 2.
IP privée du client secondaire (SecondaryClientPrivateIP)	—	IP privée attribuée à l’ENI du client secondaire (le dernier octet doit être compris entre 5 et 254). Elle allouerait l’IP du client secondaire à partir du CIDR du sous-réseau du client secondaire.
CIDR du sous-réseau privé du serveur secondaire (SecondaryServerPrivateSubnetCIDR)	10.0.6.0/24	Le bloc CIDR pour le sous-réseau du serveur secondaire situé dans la zone de disponibilité 2.
IP privée du serveur secondaire (SecondaryServerPrivateIP)	—	IP privée attribuée à l’ENI du serveur secondaire (le dernier octet doit être compris entre 5 et 254). Elle allouerait l’IP du serveur secondaire à partir du CIDR du sous-réseau du serveur secondaire.
Attribut de location VPC (`VPCTenancy`)	par défaut	La location autorisée des instances lancées dans le VPC. Choisissez la location dédiée pour lancer des instances EC2 dédiées à un seul client.

Configuration de l’hôte bastion

Étiquette du paramètre (nom)	Par défaut	Description
Hôte bastion requis (LinuxBastionHostEIP)	Non	Par défaut, aucun hôte bastion ne sera configuré. Mais si les utilisateurs souhaitent opter pour un déploiement de type sandbox, sélectionnez oui dans le menu, ce qui déploiera un hôte bastion Linux dans le sous-réseau public avec une EIP qui donnera aux utilisateurs l’accès aux composants des sous-réseaux privé et public.

Configuration du pare-feu d’applications Web NetScaler

Étiquette (nom) du paramètre	Par défaut	Description
Nom de la paire de clés (KeyPairName)	Nécessite une saisie	Une paire de clés publique/privée, qui permet aux utilisateurs de se connecter en toute sécurité à l’instance utilisateur après son lancement. Il s’agit de la paire de clés que les utilisateurs ont créée dans leur région AWS préférée ; consultez la section Exigences techniques.
Type d’instance NetScaler (CitrixADCInstanceType)	m4.xlarge	Le type d’instance EC2 à utiliser pour les instances ADC. Assurez-vous que le type d’instance choisi correspond aux types d’instances disponibles sur la place de marché AWS, sinon le CFT pourrait échouer.
ID AMI NetScaler ADC (CitrixADCImageID)	—	L’AMI AWS Marketplace à utiliser pour le déploiement de NetScaler Web App Firewall. Ceci doit correspondre à l’AMI à laquelle les utilisateurs se sont abonnés à l’étape 2.
Rôle IAM NetScaler ADC VPX (`iam:GetRole`)	—	Ce modèle : AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates crée le rôle IAM et le profil d’instance requis pour NetScaler VPX. S’il est laissé vide, CFT crée le rôle IAM requis.
IP publique du client (EIP) (ClientPublicEIP)	Non	Sélectionnez « Oui » si les utilisateurs souhaitent attribuer une EIP publique à l’interface réseau client de l’utilisateur. Sinon, même après le déploiement, les utilisateurs ont toujours la possibilité de l’attribuer ultérieurement si nécessaire.

Configuration de la licence en pool

Étiquette du paramètre (nom)	Par défaut	Description
Licences en pool NetScaler Console	Non	Si vous choisissez l’option BYOL pour la licence, sélectionnez oui dans la liste. Cela permet aux utilisateurs de télécharger leurs licences déjà achetées. Avant de commencer, les utilisateurs doivent configurer la capacité en pool de NetScaler ADC pour s’assurer que les licences en pool de NetScaler Console sont disponibles, voir Configurer la capacité en pool de NetScaler
Adresse IP de la console NetScaler / de l’agent de la console NetScaler accessible	Nécessite une saisie	Pour l’option Sous licence client, que les utilisateurs déploient NetScaler Console sur site ou un agent dans le cloud, assurez-vous de disposer d’une adresse IP NetScaler Console accessible qui sera ensuite utilisée comme paramètre d’entrée.
Mode de licence	Facultatif	Les utilisateurs peuvent choisir parmi les 3 modes de licence: Configurer la capacité groupée NetScaler. Pour plus d’informations, consultez Configurer la capacité groupée Citrix ADC Licence d’enregistrement et de retrait NetScaler VPX (CICO). Pour plus d’informations, consultez Licence d’enregistrement et de retrait Citrix ADC VPX Licence de CPU virtuel NetScaler. Pour plus d’informations, consultez Licence de CPU virtuel Citrix ADC



Bande passante de la licence en Mbps	0 Mbps	Ce champ n’est pertinent que si le mode de licence est Pooled-Licensing. Il alloue une bande passante initiale de la licence en Mbps à attribuer après la création des ADC BYOL. Il doit être un multiple de 10 Mbps.
Édition de la licence	Premium	L’édition de la licence pour le mode de licence de capacité mutualisée est Premium.
Type de plateforme d’appliance	Facultatif	Choisissez le type de plateforme d’appliance requis, uniquement si les utilisateurs optent pour le mode de licence CICO. Les options disponibles sont : VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000.
Édition de la licence	Premium	L’édition de la licence basée sur le vCPU est Premium.

Configuration du Quick Start AWS

Remarque :

Nous recommandons aux utilisateurs de conserver les paramètres par défaut pour les deux paramètres suivants, à moins qu’ils ne personnalisent les modèles du Guide de démarrage rapide pour leurs propres projets de déploiement. La modification des paramètres de ces paramètres mettra automatiquement à jour les références de code pour pointer vers un nouvel emplacement du Guide de démarrage rapide. Pour plus de détails, consultez le Guide du contributeur du Guide de démarrage rapide AWS situé ici : AWS Quick Starts/Option 1 - Adopter un Quick Start.

Étiquette de paramètre (nom)	Par défaut	Description
Nom du compartiment S3 du guide de démarrage rapide (QSS3BucketName)	`aws-quickstart`	Le compartiment S3 que les utilisateurs ont créé pour leur copie des ressources du guide de démarrage rapide, s’ils décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Le nom du compartiment peut inclure des chiffres, des lettres minuscules, des lettres majuscules et des tirets, mais ne doit pas commencer ni se terminer par un tiret.
Préfixe de clé S3 du guide de démarrage rapide (QSS3KeyPrefix)	quickstart-citrix-adc-vpx/	Le préfixe de nom de clé S3, provenant de la clé d’objet et des métadonnées : Clé d’objet et métadonnées, est utilisé pour simuler un dossier pour la copie utilisateur des ressources du guide de démarrage rapide, si les utilisateurs décident de personnaliser ou d’étendre le guide de démarrage rapide pour leur propre usage. Ce préfixe peut inclure des chiffres, des lettres minuscules, des lettres majuscules, des tirets et des barres obliques.

Sur la page Options, les utilisateurs peuvent spécifier une balise de ressource ou une paire clé-valeur pour les ressources de votre pile et définir des options avancées. Pour plus d’informations sur les balises de ressource, consultez Balise de ressource. Pour plus d’informations sur la définition des options de pile AWS CloudFormation, consultez Définition des options de pile AWS CloudFormation. Une fois les utilisateurs terminés, ils doivent choisir Suivant.
Sur la page Vérification, examinez et confirmez les paramètres du modèle. Sous Fonctionnalités, cochez les deux cases pour reconnaître que le modèle crée des ressources IAM et qu’il pourrait nécessiter la capacité d’étendre automatiquement les macros.
Choisissez Créer pour déployer la pile.
Surveillez l’état de la pile. Lorsque l’état est CREATE_COMPLETE, l’instance NetScaler Web App Firewall est prête.
Utilisez les URL affichées dans l’onglet Sorties de la pile pour afficher les ressources qui ont été créées.

Sorties du pare-feu d'applications Web NetScaler après un déploiement réussi

Étape 4 : Tester le déploiement

Nous désignons les instances de ce déploiement comme principale et secondaire. Chaque instance possède des adresses IP différentes qui lui sont associées. Une fois le Quick Start déployé avec succès, le trafic passe par l’instance principale de NetScaler Web App Firewall configurée dans la zone de disponibilité 1. En cas de basculement, lorsque l’instance principale ne répond pas aux requêtes des clients, l’instance secondaire de Web App Firewall prend le relais.

L’adresse IP élastique de l’adresse IP virtuelle de l’instance principale migre vers l’instance secondaire, qui prend le relais en tant que nouvelle instance principale.

Lors du processus de basculement, NetScaler Web App Firewall effectue les opérations suivantes :

NetScaler Web App Firewall vérifie les serveurs virtuels auxquels des ensembles d’adresses IP sont associés.
NetScaler Web App Firewall recherche l’adresse IP qui possède une adresse IP publique associée parmi les deux adresses IP sur lesquelles le serveur virtuel écoute. L’une est directement associée au serveur virtuel, et l’autre est associée via l’ensemble d’adresses IP.
NetScaler Web App Firewall réassocie l’adresse IP élastique publique à l’adresse IP privée qui appartient à la nouvelle adresse IP virtuelle principale.

Pour valider le déploiement, effectuez les opérations suivantes :

Connectez-vous à l’instance principale

Par exemple, avec un serveur proxy, un hôte de rebond (une instance Linux/Windows/FW exécutée dans AWS, ou l’hôte bastion), ou un autre périphérique accessible à ce VPC ou une connexion Direct Connect si vous traitez la connectivité sur site.

Effectuez une action de déclenchement pour forcer le basculement et vérifiez si l’instance secondaire prend le relais.

Conseil :

Pour valider davantage la configuration concernant NetScaler Web App Firewall, exécutez la commande suivante après vous être connecté à l’instance principale de NetScaler Web App Firewall :

Sh appfw profile QS-Profile

Connectez-vous à la paire HA de NetScaler Web App Firewall à l’aide d’un hôte bastion

Si les utilisateurs optent pour un déploiement Sandbox (par exemple, dans le cadre de CFT, les utilisateurs choisissent de configurer un hôte bastion), un hôte bastion Linux déployé dans un sous-réseau public sera configuré pour accéder aux interfaces du pare-feu d’applications web.

Dans la console AWS CloudFormation, à laquelle on accède en se connectant ici : Se connecter, choisissez la pile principale, et dans l’onglet Outputs, recherchez la valeur de LinuxBastionHostEIP1.

Ressources de déploiement de la paire HA du pare-feu d'applications web NetScaler

La valeur des clés PrivateManagementPrivateNSIP et PrimaryADCInstanceID à utiliser dans les étapes ultérieures pour se connecter en SSH à l’ADC.
Choisissez Services.
Dans l’onglet Compute, sélectionnez EC2.
- Sous Resources, choisissez Running Instances.
- Dans l’onglet Description de l’instance principale du pare-feu d’applications web, notez l’adresse IP publique IPv4. Les utilisateurs ont besoin de cette adresse IP pour construire la commande SSH.

Console Amazon EC2 avec description de l'instance principale

Pour stocker la clé dans le trousseau de l’utilisateur, exécutez la commande ssh-add -K [your-key-pair].pem

Sous Linux, les utilisateurs pourraient avoir besoin d’omettre l’option -K.

Connectez-vous à l’hôte bastion à l’aide de la commande suivante, en utilisant la valeur de LinuxBastionHostEIP1 que les utilisateurs ont notée à l’étape 1.

ssh -A ubuntu@[LinuxBastionHostEIP1]

Depuis l’hôte bastion, les utilisateurs peuvent se connecter à l’instance principale du pare-feu d’applications web en utilisant SSH.

ssh nsroot@[Primary Management Private NSIP]

Mot de passe : [Primary ADC Instance ID]

Connexion à l'instance principale de NetScaler Web App Firewall

Les utilisateurs sont maintenant connectés à l’instance principale de NetScaler Web App Firewall. Pour voir les commandes disponibles, les utilisateurs peuvent exécuter la commande help. Pour afficher la configuration HA actuelle, les utilisateurs peuvent exécuter la commande show HA node.

NetScaler Console

Le service NetScaler Application Delivery Management offre une solution simple et évolutive pour gérer les déploiements NetScaler qui incluent les appliances NetScaler MPX, NetScaler VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler SDX, NetScaler ADC CPX et NetScaler SD-WAN déployées sur site ou dans le cloud.

La documentation du service NetScaler Console inclut des informations sur la façon de démarrer avec le service, une liste des fonctionnalités prises en charge par le service et la configuration spécifique à cette solution de service.

Pour plus d’informations, consultez Présentation de NetScaler Console.

Déploiement d’instances NetScaler VPX sur AWS à l’aide de NetScaler Console

Lorsque les clients déplacent leurs applications vers le cloud, les composants qui font partie de leur application augmentent, deviennent plus distribués et doivent être gérés dynamiquement.

Pour plus d’informations, consultez Provisionnement d’instances NetScaler VPX sur AWS.

NetScaler Web App Firewall et OWASP Top 10 – 2017

L’Open Web Application Security Project : OWASP a publié l’OWASP Top 10 pour 2017 concernant la sécurité des applications web. Cette liste documente les vulnérabilités les plus courantes des applications web et constitue un excellent point de départ pour évaluer la sécurité web. Nous détaillons ici comment configurer le NetScaler Web App Firewall (Web App Firewall) pour atténuer ces failles. Le Web App Firewall est disponible en tant que module intégré dans le NetScaler (édition Premium) ainsi que dans une gamme complète d’appliances.

Le document complet OWASP Top 10 est disponible à l’adresse OWASP Top Ten.

Les signatures offrent les options de déploiement suivantes pour aider les utilisateurs à optimiser la protection de leurs applications :

Modèle de sécurité négatif : Avec le modèle de sécurité négatif, les utilisateurs emploient un ensemble riche de règles de signature préconfigurées pour appliquer la puissance de la correspondance de motifs afin de détecter les attaques et de protéger contre les vulnérabilités des applications. Les utilisateurs bloquent uniquement ce qu’ils ne veulent pas et autorisent le reste. Les utilisateurs peuvent ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques de leurs applications, pour concevoir leurs propres solutions de sécurité personnalisées.
Modèle de sécurité hybride : En plus d’utiliser des signatures, les utilisateurs peuvent utiliser des contrôles de sécurité positifs pour créer une configuration idéalement adaptée aux applications utilisateur. Utilisez des signatures pour bloquer ce que les utilisateurs ne veulent pas, et utilisez des contrôles de sécurité positifs pour appliquer ce qui est autorisé.

Pour protéger les applications utilisateur à l’aide de signatures, les utilisateurs doivent configurer un ou plusieurs profils pour utiliser leur objet de signatures. Dans une configuration de sécurité hybride, les modèles d’injection SQL et de script intersite, ainsi que les règles de transformation SQL, dans l’objet de signatures utilisateur sont utilisés non seulement par les règles de signature, mais aussi par les contrôles de sécurité positifs configurés dans le profil du pare-feu d’applications Web qui utilise l’objet de signatures.

Le pare-feu d’applications Web examine le trafic vers les sites Web et les services Web protégés par l’utilisateur pour détecter le trafic qui correspond à une signature. Une correspondance n’est déclenchée que lorsque chaque modèle de la règle correspond au trafic. Lorsqu’une correspondance se produit, les actions spécifiées pour la règle sont invoquées. Les utilisateurs peuvent afficher une page d’erreur ou un objet d’erreur lorsqu’une requête est bloquée. Les messages de journalisation peuvent aider les utilisateurs à identifier les attaques lancées contre les applications utilisateur. Si les utilisateurs activent les statistiques, le pare-feu d’applications Web conserve les données sur les requêtes qui correspondent à une signature ou à un contrôle de sécurité du pare-feu d’applications Web.

Si le trafic correspond à la fois à une signature et à un contrôle de sécurité positif, l’action la plus restrictive des deux est appliquée. Par exemple, si une requête correspond à une règle de signature pour laquelle l’action de blocage est désactivée, mais que la requête correspond également à un contrôle de sécurité positif d’injection SQL pour lequel l’action est le blocage, la requête est bloquée. Dans ce cas, la violation de signature peut être enregistrée comme [not blocked], bien que la requête soit bloquée par le contrôle d’injection SQL.

Personnalisation : Si nécessaire, les utilisateurs peuvent ajouter leurs propres règles à un objet de signatures. Les utilisateurs peuvent également personnaliser les modèles SQL/XSS. L’option d’ajouter leurs propres règles de signature, basées sur les besoins de sécurité spécifiques des applications utilisateur, donne aux utilisateurs la flexibilité de concevoir leurs propres solutions de sécurité personnalisées. Les utilisateurs ne bloquent que ce qu’ils ne veulent pas et autorisent le reste. Un modèle de correspondance rapide spécifique à un emplacement donné peut réduire considérablement la surcharge de traitement pour optimiser les performances. Les utilisateurs peuvent ajouter, modifier ou supprimer des modèles d’injection SQL et de script intersite. Les éditeurs d’expressions et de RegEx intégrés aident les utilisateurs à configurer les modèles utilisateur et à vérifier leur exactitude.

Pare-feu d’applications Web NetScaler

Le pare-feu d’applications Web est une solution de qualité professionnelle offrant des protections de pointe pour les applications modernes. Le NetScaler Web App Firewall atténue les menaces contre les actifs accessibles au public, y compris les sites Web, les applications Web et les API. Il inclut le filtrage basé sur la réputation IP, l’atténuation des bots, les protections contre les 10 principales menaces d’applications OWASP, la protection DDoS de couche 7 et plus encore. Sont également incluses des options pour appliquer l’authentification, des chiffrements SSL/TLS robustes, TLS 1.3, la limitation de débit et les politiques de réécriture. En utilisant les protections de base et avancées du pare-feu d’applications Web, le NetScaler Web App Firewall offre une protection complète pour vos applications avec une facilité d’utilisation inégalée. La mise en service ne prend que quelques minutes. De plus, grâce à un modèle d’apprentissage automatisé, appelé profilage dynamique, le NetScaler Web App Firewall fait gagner un temps précieux aux utilisateurs. En apprenant automatiquement le fonctionnement d’une application protégée, le pare-feu d’applications Web s’adapte à l’application même lorsque les développeurs la déploient et la modifient. Le NetScaler Web App Firewall contribue à la conformité avec toutes les principales normes et organismes de réglementation, y compris PCI-DSS, HIPAA, et plus encore. Avec nos modèles CloudFormation, il n’a jamais été aussi facile de démarrer rapidement. Grâce à la mise à l’échelle automatique, les utilisateurs peuvent être assurés que leurs applications restent protégées même lorsque leur trafic augmente.

Stratégie de déploiement du pare-feu d’applications Web

La première étape du déploiement du pare-feu d’applications Web consiste à évaluer quelles applications ou données spécifiques nécessitent une protection de sécurité maximale, lesquelles sont moins vulnérables et celles pour lesquelles l’inspection de sécurité peut être contournée en toute sécurité. Cela aide les utilisateurs à élaborer une configuration optimale et à concevoir des politiques et des points de liaison appropriés pour séparer le trafic. Par exemple, les utilisateurs peuvent vouloir configurer une politique pour contourner l’inspection de sécurité des requêtes de contenu Web statique, tel que des images, des fichiers MP3 et des films, et configurer une autre politique pour appliquer des contrôles de sécurité avancés aux requêtes de contenu dynamique. Les utilisateurs peuvent utiliser plusieurs politiques et profils pour protéger différents contenus de la même application.

L’étape suivante consiste à établir la base de référence du déploiement. Commencez par créer un serveur virtuel et faites passer du trafic de test à travers celui-ci pour avoir une idée du débit et du volume de trafic circulant dans le système utilisateur.

Ensuite, déployez le pare-feu d’applications Web. Utilisez la console NetScaler et le StyleBook du pare-feu d’applications Web pour configurer le pare-feu d’applications Web. Consultez la section StyleBook ci-dessous dans ce guide pour plus de détails.

Une fois le pare-feu d’applications Web déployé et configuré avec le StyleBook du pare-feu d’applications Web, une étape utile suivante consisterait à implémenter le pare-feu d’applications Web NetScaler ADC et l’OWASP Top 10.

Enfin, trois des protections du pare-feu d’applications Web sont particulièrement efficaces contre les types courants d’attaques Web, et sont donc plus couramment utilisées que toutes les autres. Ainsi, elles devraient être implémentées lors du déploiement initial.

Console NetScaler

La console NetScaler fournit une solution évolutive pour gérer les déploiements NetScaler ADC qui incluent les appliances NetScaler ADC MPX, NetScaler ADC VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler ADC SDX, NetScaler ADC CPX et NetScaler SD-WAN déployées sur site ou dans le cloud.

Fonctionnalités d’analyse et de gestion des applications de la console NetScaler

Les fonctionnalités prises en charge par la console NetScaler sont essentielles au rôle de la console NetScaler dans la sécurité des applications.

Pour plus d’informations sur les fonctionnalités, consultez Fonctionnalités et solutions.

Prérequis

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer que les prérequis sont remplis. Pour plus d’informations, consultez Prérequis :

Limitations et directives d’utilisation

Les limitations et les directives d’utilisation disponibles à l’adresse Limitations et directives d’utilisation s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS.

Exigences techniques

Avant que les utilisateurs ne lancent le Guide de démarrage rapide pour commencer un déploiement, le compte utilisateur doit être configuré comme spécifié dans le tableau des ressources suivant. Dans le cas contraire, le déploiement pourrait échouer.

Ressources

Si nécessaire, connectez-vous au compte utilisateur Amazon et demandez une augmentation des limites de service pour les ressources suivantes ici : AWS/Connexion. Vous pourriez avoir besoin de le faire si vous avez déjà un déploiement existant qui utilise ces ressources, et que vous pensez que vous pourriez dépasser les limites par défaut avec ce déploiement. Pour les limites par défaut, consultez les quotas de service AWS dans la documentation AWS : Quotas de service AWS.

L’AWS Trusted Advisor, disponible ici : AWS/Connexion, propose une vérification des limites de service qui affiche l’utilisation et les limites pour certains aspects de certains services.

Ressource	Ce déploiement utilise
VPC	1
Adresses IP élastiques	0/1 (pour l’hôte Bastion)
Groupes de sécurité IAM	3
Rôles IAM	1
Sous-réseaux	6 (3/zone de disponibilité)
Passerelle Internet	1
Tables de routage	5
Instances VPX de pare-feu d’applications Web	2
Hôte bastion	0/1
Passerelle NAT	2

Régions

NetScaler Web App Firewall sur AWS n’est pas actuellement pris en charge dans toutes les régions AWS. Pour une liste à jour des régions prises en charge, consultez les points de terminaison de service AWS dans la documentation AWS : Points de terminaison de service AWS.

Pour plus d’informations sur les régions AWS et l’importance de l’infrastructure cloud, consultez : Infrastructure globale.

Paire de clés

Assurez-vous qu’au moins une paire de clés Amazon EC2 existe dans le compte AWS de l’utilisateur, dans la région où les utilisateurs prévoient de déployer à l’aide du Guide de démarrage rapide. Notez le nom de la paire de clés. Ces informations seront demandées aux utilisateurs pendant le déploiement. Pour créer une paire de clés, suivez les instructions relatives aux paires de clés Amazon EC2 et aux instances Linux dans la documentation AWS : Paires de clés Amazon EC2 et instances Linux.

Si les utilisateurs déploient le Guide de démarrage rapide à des fins de test ou de validation de concept, nous leur recommandons de créer une nouvelle paire de clés plutôt que de spécifier une paire de clés déjà utilisée par une instance de production.

Références

La version officielle de la documentation de ce produit est en anglais. Toute version dans une langue autre que l’anglais est fournie uniquement à titre indicatif et peut inclure du contenu traduit automatiquement. Pour en savoir plus, veuillez consulter la clause de non-responsabilité relative à la traduction automatique sur Cloud Software Group home.

NetScaler Secure Deployment Guide

Déployer NetScaler Web App Firewall sur AWS

June 8, 2026

Contributeur:

C C

June 8, 2026

Contributeur:

C C

Dans cet article

Architecture de NetScaler Web App Firewall sur AWS pour un déploiement en production
Coût et licences
Options de déploiement
Démarrage rapide AWS
NetScaler Console
Déploiement d’instances NetScaler VPX sur AWS à l’aide de NetScaler Console
NetScaler Web App Firewall et OWASP Top 10 – 2017
Pare-feu d’applications Web NetScaler
Stratégie de déploiement du pare-feu d’applications Web
Console NetScaler
Prérequis
Limitations et directives d’utilisation
Exigences techniques
Références

NetScaler Secure Deployment Guide