Asistente para Web App Firewall

A diferencia de la mayoría de los asistentes, Citrix Web App Firewall Wizard está diseñado no solo para simplificar el proceso de configuración inicial, sino también para modificar las configuraciones creadas anteriormente y mantener la configuración de Web App Firewall. Un usuario típico ejecuta el asistente varias veces, omitiendo algunas de las pantallas cada vez.

El Asistente para Web App Firewall crea automáticamente perfiles, directivas y firmas.

Abrir el asistente

Para ejecutar el Asistente para Web App Firewall, abra la GUI y siga estos pasos:

1. Vaya aSeguridad>Firewall de aplicaciones.
2. En el panel de detalles, enIntroducción, haga clic enAsistente para firewall de aplicaciones. Se abrirá el asistente.

对位obtener mas给尤其GUI,咨询e “Interfaces de configuración de Web App Firewall. “

Pantallas del asistente

El Asistente para Web App Firewall muestra las siguientes pantallas en una página tabular:

1. Especificar nombre:en esta pantalla, al crear una nueva configuración de seguridad, especifique un nombre significativo y el tipo apropiado (HTML, XML o WEB 2.0) para su perfil. La directiva y las firmas predeterminadas se generan automáticamente mediante el mismo nombre.

Nombre de perfil

El nombre puede comenzar con una letra, un número o un símbolo de subrayado, y puede constar de 1 a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), en (@), igual (=), dos puntos (:) y guión bajo (_). Elija un nombre que le resulte más fácil a los demás saber qué contenido protege su nueva configuración de seguridad.

Nota:

Dado que el asistente utiliza este nombre tanto para la directiva como para el perfil, está limitado a 31 caracteres. Las directivas creadas manualmente pueden tener nombres de hasta 127 caracteres de longitud.

Al modificar una configuración existente, seleccione Modificar configuración existente y, a continuación, en la lista desplegable Nombre, seleccione el nombre de la configuración existente que quiere modificar.

Nota:

Solo las directivas enlazadas a global o a un punto de enlace aparecen en esta lista; no se puede modificar una directiva independiente mediante el asistente Firewall de aplicaciones. Debe vincularlo manualmente a Global o a un punto de enlace, o modificarlo manualmente. (Para modificar manualmente, en la GUI)Application Firewall>Directivas> PanelFirewall, seleccione la directiva y haga clic enAbrir.

Tipo de perfil

También puede seleccionar un tipo de perfil en esta pantalla. El tipo de perfil determina los tipos de protección avanzada (comprobaciones de seguridad) que se pueden configurar. Debido a que ciertos tipos de contenido no son vulnerables a ciertos tipos de amenazas de seguridad, restringir la lista de comprobaciones disponibles ahorra tiempo durante la configuración. Los tipos de perfiles de Web App Firewall son:

• Aplicación web (HTML). Cualquier sitio web basado en HTML que no utilice tecnologías XML o Web 2.0.
• Aplicación XML (XML, SOAP). Cualquier servicio web basado en XML.
• Aplicacion web 2.0 (HTML、XML、休息)。Cualquier sitio web 2.0 que combine contenido basado en HTML y XML, como un sitio basado en ATOM, un blog, una fuente RSS o una wiki.

Nota:Si no está seguro del tipo de contenido que se utiliza en su sitio web, puede elegir Aplicación web 2.0 para asegurarse de proteger todos los tipos de contenido de aplicaciones web.

2. Especificar regla:en esta pantalla, se especifica la regla de directiva (expresión) que define el tráfico que examina la configuración actual. Si crea una configuración inicial para proteger sus sitios web y servicios web, puede aceptar el valor predeterminado,true, que selecciona todo el tráfico web.

Si quiere que esta configuración de seguridad examine, no todo el tráfico HTTP que se enruta a través del dispositivo, sino el tráfico específico, puede escribir una regla de directiva que especifique el tráfico que quiere que examine. Las reglas se escriben en el lenguaje de expresiones Citrix ADC, que es un lenguaje de programación totalmente funcional orientado a objetos.

Nota:此外,de la sintaxis de表达式的值predeterminada, para obtener compatibilidad con versiones anteriores, el sistema operativo Citrix ADC admite la sintaxis de expresiones clásicas de Citrix ADC en dispositivos y dispositivos virtuales Citrix ADC Classic y nCore. Las expresiones clásicas no se admiten en los dispositivos Citrix ADC Cluster ni en los dispositivos virtuales. Los usuarios actuales que quieran migrar sus configuraciones existentes al clúster de Citrix ADC deben migrar las directivas que contengan expresiones clásicas a la sintaxis de expresiones predeterminadas.

• Para obtener una descripción sencilla del uso de la sintaxis de expresiones Citrix ADC para crear reglas de Web App Firewall y una lista de reglas útiles, consulteDirectivas del firewall.
• Para obtener una explicación detallada de cómo crear reglas de directiva en la sintaxis de expresiones Citrix ADC, consulteDirectivas y expresiones.

4. Seleccionar firmas: en esta pantalla, selecciona las categorías de firmas que quiere utilizar para proteger sus sitios web y servicios web.

Este paso no es obligatorio y puede omitirlo si lo quiere e ir a la pantallaEspecificar protecciones profundas. Si se omite la pantalla Seleccionar firmas, solo se crean un perfil y directivas asociadas y no se crean las firmas.

Puede seleccionarCrear nueva firmaoSeleccionar firma existente.

Si está creando una nueva configuración de seguridad, las categorías de firmas seleccionadas están habilitadas y, de forma predeterminada, se registran en un nuevo objeto de firmas. Al nuevo objeto de firmas se le asigna el mismo nombre que el especificado en la pantalla Especificar nombre que el nombre de la configuración de seguridad.

Si ha configurado anteriormente objetos de firmas y quiere utilizar uno de ellos como objeto de firmas asociado a la configuración de seguridad que está creando, haga clic enSeleccionar firma existentey seleccione un objeto de firmas de la lista Firmas.

Si está modificando una configuración de seguridad existente, puede hacer clic en Seleccionar firma existente y asignar un objeto de firmas diferente a la configuración de seguridad.

Si hace clic en Crear nueva firma, puede elegir el modo de edición comoSimpleoAvanzado.

1. Especificar protecciones de firma (modo simple)

El modo simple permite una fácil configuración de la firma, con una lista preestablecida de definiciones de protección para aplicaciones comunes como IIS (Internet Information Server), PHP y ActiveX. Las categorías predeterminadas en el modo Simple son:

• CGI. Protección contra ataques a sitios web que utilizan scripts CGI en cualquier idioma, incluidos scripts PERL, scripts de shell Unix y scripts de Python.

• Fusión fría. Protección contra ataques a sitios web que utilizan la plataforma de desarrollo web de Adobe Systems® ColdFusion®.

• FrontPage. Protección contra ataques a sitios web que utilizan la plataforma de desarrollo web Microsoft® FrontPage®.

• PHP. Protección contra ataques a sitios web que utilizan el lenguaje de scripting de desarrollo web de código abierto de PHP.

• Del lado del cliente. Protección contra ataques a herramientas del lado del cliente utilizadas para acceder a los sitios web protegidos, como Microsoft Internet Explorer, Mozilla Firefox, el explorador Opera y Adobe Acrobat Reader.

• Microsoft IIS. Protección contra ataques a sitios web que ejecutan Microsoft Internet Information Server (IIS)

• Varios. Protección contra ataques a otras herramientas del lado del servidor, como servidores web y servidores de bases de datos.

En esta pantalla, seleccione las acciones asociadas a las categorías de firmas seleccionadas en la pantalla Seleccionar firmas. Las acciones que puede configurar son:

• Bloquear
• Registro
• Estadísticas

德福马predeterminada,拉斯维加斯accion Registro y Estadísticas están habilitadas, pero no la acción Bloquear. Para configurar acciones, haga clic enConfiguración. Puede cambiar la configuración de acción de todas las categorías seleccionadas mediante la lista desplegableAcción.

1. Especificar protecciones de firma (modo avanzado)

El modo avanzado permite un control más granular sobre las definiciones de firmas y proporciona significativamente más información. Utilice el modo avanzado si quiere un control completo sobre la definición de la firma.

El contenido de esta pantalla es el mismo que el contenido del cuadro de diálogo Modificar objeto de firmas, tal y como se describe enConfiguración o modificación de un objeto de firmas. En esta pantalla, puede configurar acciones haciendo clic en la lista desplegableAccioneso en el menú Acciones, que aparece como un círculo con tres puntos.

7. Especificar protecciones profundas:en esta pantalla, usted elige las protecciones avanzadas (también denominadas comprobaciones de seguridad o simplemente comprobaciones) que quiere utilizar para proteger sus sitios web y servicios web. Las comprobaciones disponibles dependen del tipo de perfil que haya elegido en la pantalla Especificar nombre. Todas las comprobaciones están disponibles para perfiles de aplicación web 2.0.

Para obtener más información, consulteDescripción general de las comprobaciones de seguridady consulte Comprobacionesavanzadas de protecciones de formularios.

Configure las acciones para las protecciones avanzadas que ha habilitado.Las acciones que puede configurar son:

• Bloque: Bloquea las conexiones que coinciden con la firma. Inhabilitado de forma predeterminada.
• Registro: Registra las conexiones que coinciden con la firma para un análisis posterior. Habilitado de forma predeterminada.
• Estadísticas: Mantiene estadísticas, para cada firma, que muestran cuántas conexiones coincide y proporcionan cierta otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
• Aprender. Observe el tráfico a este sitio web o servicio web y utilice conexiones que violen repetidamente esta comprobación para generar excepciones recomendadas a la comprobación, o nuevas reglas para la comprobación. Disponible solo para algunos cheques. Para obtener más información sobre la función de aprendizaje, consulteConfiguración y uso de la funciónde aprendizaje y cómo funciona el aprendizaje y cómo configurar excepciones (relajaciones) o implementar reglas aprendidas para una comprobación, consulteConfiguración manual mediante la GUI.

Para configurar acciones, active la protección haciendo clic en la casilla de verificación y, a continuación, haga clic enConfiguración de acciónpara seleccionar las acciones necesarias. Seleccione otros parámetros, si es necesario, y haga clic enAceptarpara cerrar la ventana Configuración de acción.

Para ver todos los registros de una comprobación específica, selecciónela y, a continuación, haga clic enRegistrospara mostrar el Visor de Syslog, tal y como se describe enRegistros de Web App Firewall. Si una comprobación de seguridad bloquea el acceso legítimo a su sitio web protegido o servicio web, puede crear e implementar una relajación para esa comprobación de seguridad seleccionando un registro que muestre el bloqueo no deseado y, a continuación, haga clic enImplementar.

Después de completar la especificación de configuración de acción, haga clic enFinalizarpara completar el asistente.

Los siguientes son cuatro procedimientos que muestran cómo realizar tipos específicos de configuración mediante el Asistente para Web App Firewall.

Crear una nueva configuración

Siga estos pasos para crear una nueva configuración de firewall y objetos de firma mediante el asistente Applicaiton Firewall.

1. Vaya aSeguridad>Firewall de aplicaciones.

2. En el panel de detalles, enIntroducción, haga clic en Firewall de **aplicaciones. Se abrirá el asistente.

   

3. En la pantallaEspecificar nombre, seleccione **Crear nueva configuración.

4. En el campoNombre, escriba un nombre y, a continuación, haga clic enSiguiente.

5. En la pantallaEspecificar regla, vuelva a hacer clic enSiguiente.

6. En la pantallaSeleccionar firmas, seleccioneCrear nueva firmaySimplecomo modo de edición y, a continuación, haga clic enSiguiente.

7. En la pantallaEspecificar protecciones de firma, configure los valores necesarios. Para obtener más información sobre qué firmas debe tener en cuenta para bloquear y cómo determinar cuándo puede habilitar de forma segura el bloqueo de una firma, consulteFirmas.

8. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.

9. Cuando termine, haga clic enFinalizarpara cerrar el asistente de Firewall de aplicaciones.

Modificar una configuración existente

Siga estos pasos para modificar una configuración existente y las categorías de firmas existentes.

1. Vaya aSeguridad>Firewall de aplicaciones.
2. En el panel de detalles, enIntroducción, haga clic enAsistente para firewall de aplicaciones. Se abrirá el asistente.
3. En la pantallaEspecificar nombre, seleccione Modificar configuración existente y, en la lista desplegableNombre, elija la configuración de seguridad que creó durante la nueva configuración y, a continuación, haga clic enSiguiente.
4. En la pantallaEspecificar regla, haga clic en Siguiente para mantener el valor predeterminado “true”. Si desea modificar la regla, siga los pasos descritos enConfigurar una expresión de directiva personalizada.
5. En la pantallaSeleccionar firmas, haga clic enSeleccionar firma existente. En la lista desplegableFirma existente, seleccione la opción adecuada y, a continuación, haga clic enSiguiente. Aparecerá la pantalla de protección avanzada de firma.Nota:Si selecciona una firma existente, el modo de edición predeterminado para la firma protegida es avanzado.
6. En la pantalla Especificar protecciones de firma, configure los valores necesarios y haga clic enSiguiente. Para obtener más información sobre qué firmas debe tener en cuenta para bloquear y cómo determinar cuándo puede habilitar de forma segura el bloqueo de una firma, consulteFirmas.
7. En la pantallaEspecificar protecciones profundas, configure los parámetros y haga clic enSiguiente.
8. Después de completar, haga clic enFinalizarpara cerrar elAsistente para Web App Firewall.

Crear una nueva configuración sin firmas

Siga estos pasos para utilizar el Asistente de Firewall de aplicaciones para omitir la pantalla Seleccionar firmas y crear una nueva configuración con solo el perfil y las directivas asociadas, pero sin ninguna firma.

1. Vaya aSeguridad>Firewall de aplicaciones.
2. En el panel de detalles, enIntroducción, haga clic enAsistente para firewall de aplicaciones. Se abrirá el asistente.
3. En la pantallaEspecificar nombre, seleccioneCrear nueva configuración.
4. En el campoNombre, escriba un nombre y, a continuación, haga clic enSiguiente.
5. En la pantallaEspecificar regla, haga clic de nuevo enSiguiente.
6. En la pantallaSeleccionar firmas, haga clic enOmitir.
7. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.
8. Cuando haya terminado, haga clic enFinalizarpara cerrar el Asistente de firewall de aplicaciones.

Configurar una expresión de directiva personalizada

Siga estos pasos para utilizar el Asistente para Firewall de aplicaciones con el fin de crear una configuración de seguridad especializada para proteger solo contenido específico. En este caso, se crea una nueva configuración de seguridad en lugar de modificar la configuración inicial. Este tipo de configuración de seguridad requiere una regla personalizada, de modo que la directiva aplica la configuración solo al tráfico Web seleccionado.

1. Vaya aSeguridad>Firewall de aplicaciones.
2. En el panel de detalles, enIntroducción, haga clic enAsistente para firewall de aplicaciones.
3. En la pantalla Especificar nombre, escriba un nombre para la nueva configuración de seguridad en el cuadro de texto Nombre, seleccione el tipo de configuración de seguridad en la lista desplegable Tipo y, a continuación, haga clic enSiguiente.
4. En la pantallaEspecificar regla, escriba una regla que coincida únicamente con el contenido que quiere que proteja esta aplicación web. Utilice la lista desplegableExpresiones de uso frecuentey elEditorde expresiones para crear una expresión personalizada. Cuando termine, haga clic enSiguiente.
5. En la pantallaSeleccionar firmas, seleccione el modo de edición y, a continuación, haga clic enSiguiente.
6. En la pantallaEspecificar protecciones de firma, configure los valores necesarios.
7. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.
8. Cuando termine, haga clic enFinalizarpara cerrar elAsistente para Firewall de aplicaciones.