Documentación de productos
ADC
Current Release 13.0 12.1
Ver PDF

El asistente de Web App Firewall

May 9, 2023
Contribución de:
C

A diferencia de la mayoría de los asistentes, el asistente de firewall de aplicaciones web de Citrix está diseñado no solo para simplificar el proceso de configuración inicial, sino también para modificar las configuraciones creadas anteriormente y mantener la configuración de Web App Firewall. Un usuario típico ejecuta el asistente varias veces, saltándose algunas de las pantallas cada vez.

El asistente de Web App Firewall crea automáticamente perfiles, directivas y firmas.

Abrir el asistente

Para ejecutar el Asistente de Web App Firewall, abra la GUI y siga estos pasos:

  1. Vaya aSeguridad>Firewall de aplicaciones.
  2. En el panel de detalles, en我ntroducción, haga clic enAsistente de firewall de aplicaciones. Se abrirá el asistente.

Para obtener más información sobre la GUI, consulteLas interfaces de configuración de Web App Firewall.

Pantallas del asistente

El asistente Web App Firewall muestra las siguientes pantallas en una página tabular:

1. Especifique el nombre:en esta pantalla, al crear una nueva configuración de seguridad, especifique un nombre significativo y el tipo apropiado (HTML, XML o WEB 2.0) para su perfil. La directiva y las firmas predeterminadas se generan automáticamente con el mismo nombre.

Nombre del perfil

El nombre puede empezar por una letra, un número o el símbolo de subrayado y puede constar de 1 a 31 letras, números y los símbolos de guión (-), punto (.) libra (#), espacio (), at (@), iguales (=), dos puntos (:) y subrayado (_). Elija un nombre que permita a los demás determinar fácilmente qué contenido protege su nueva configuración de seguridad.

Nota:

Como el asistente usa este nombre tanto para la directiva como para el perfil, está limitado a 31 caracteres. Las directivas creadas manualmente pueden tener nombres de hasta 127 caracteres de longitud.

Al modificar una configuración existente, seleccione Modificar configuración existente y, a continuación, en la lista desplegable Nombre, seleccione el nombre de la configuración existente que desee modificar.

Nota:

En esta lista solo aparecen las directivas que están enlazadas a una directiva global o a un punto de enlace; no puede modificar una directiva independiente mediante el asistente de firewall de aplicaciones. Debe enlazarlo manualmente a Global o a un punto de enlace, o modificarlo manualmente. (Para modificarla manualmente, en la GUI)Firewall de aplicaciones>Directivas> PanelFirewall, seleccione la directiva y haga clic enAbrir.

Tipo de perfil

También selecciona un tipo de perfil en esta pantalla. El tipo de perfil determina los tipos de protección avanzada (comprobaciones de seguridad) que se pueden configurar. Dado que ciertos tipos de contenido no son vulnerables a ciertos tipos de amenazas de seguridad, restringir la lista de comprobaciones disponibles ahorra tiempo durante la configuración. Los tipos de perfiles de Web App Firewall son:

  • Aplicación web (HTML). Cualquier sitio web basado en HTML que no utilice tecnologías XML o Web 2.0.
  • Aplicación XML (XML, SOAP). Cualquier servicio web basado en XML.
  • Aplicación web 2.0 (HTML, XML, REST). Cualquier sitio web 2.0 que combine contenido basado en HTML y XML, como un sitio basado en ATOM, un blog, una fuente RSS o una wiki.

Nota:Si no está seguro del tipo de contenido que se utiliza en su sitio web, puede elegir la aplicación web 2.0 para asegurarse de proteger todos los tipos de contenido de las aplicaciones web.

2. Especificar regla:en esta pantalla, especifica la regla de directiva (expresión) que define el tráfico que examina la configuración actual. Si crea una configuración inicial para proteger sus sitios web y servicios web, puede aceptar el valor predeterminado,true, que selecciona todo el tráfico web.

如果您愿意esta configuracion de seguridad考试ine no todo el tráfico HTTP que se enruta a través del dispositivo, sino el tráfico específico, puede escribir una regla de directiva que especifique el tráfico que quiere que examine. Las reglas se escriben en el lenguaje de expresiones NetScaler, que es un lenguaje de programación orientado a objetos totalmente funcional.

Nota:Además de la sintaxis de expresiones predeterminada, para obtener compatibilidad con versiones anteriores, el sistema operativo NetScaler admite la sintaxis de expresiones clásicas de NetScaler en dispositivos y dispositivos virtuales NetScaler Classic y nCore. Las expresiones clásicas no se admiten en los dispositivos NetScaler Cluster ni en los dispositivos virtuales. Los usuarios actuales que quieran migrar sus configuraciones existentes al clúster de NetScaler deben migrar las directivas que contengan expresiones clásicas a la sintaxis de expresiones predeterminadas.

  • Para obtener una descripción sencilla del uso de la sintaxis de expresiones NetScaler para crear reglas de Web App Firewall y una lista de reglas útiles, consulteDirectivas del firewall.
  • Para obtener una explicación detallada de cómo crear reglas de directiva en la sintaxis de expresiones NetScaler, consulteDirectivas y expresiones.

4. Seleccione Firmas: en esta pantalla, selecciona las categorías de firmas que quiere usar para proteger sus sitios web y servicios web.

Este paso no es obligatorio y puede omitirlo si lo quiere e ir a la pantallaEspecificar protecciones profundas. Si se omite la pantalla de selección de firmas, solo se crean un perfil y las directivas asociadas, y no se crean las firmas.

Puede seleccionarCrear nueva firmaoSeleccionar firma existente.

Si está creando una nueva configuración de seguridad, las categorías de firmas que seleccione están habilitadas y, de forma predeterminada, se registran en un nuevo objeto de firmas. Al nuevo objeto de firmas se le asigna el mismo nombre que introdujo en la pantalla Especificar nombre como nombre de la configuración de seguridad.

Si ha configurado previamente objetos de firmas y quiere utilizar uno de ellos como objeto de firmas asociado a la configuración de seguridad que está creando, haga clic enSeleccionar firma existentey seleccione un objeto de firmas de la lista de firmas.

Si está modificando una configuración de seguridad existente, puede hacer clic en Seleccionar firma existente y asignar un objeto de firmas diferente a la configuración de seguridad.

Si hace clic en Crear nueva firma, puede elegir el modo de ediciónsimpleoavanzado.

  1. Especificar拉港ecciones de firma (modo simple)

El modo simple permite configurar fácilmente la firma, con una lista preestablecida de definiciones de protección para aplicaciones comunes como IIS (Internet Information Server), PHP y ActiveX. Las categorías predeterminadas en el modo simple son:

  • CGI. Protección contra los ataques a sitios web que utilizan scripts CGI en cualquier idioma, incluidos los scripts PERL, los scripts de shell de Unix y los scripts de Python.

  • Fusión en frío. Protección contra los ataques a sitios web que utilizan la plataforma de desarrollo web Adobe Systems® ColdFusion®.

  • Portada. Protección contra los ataques a sitios web que utilizan la plataforma de desarrollo web Microsoft® FrontPage®.

  • PHP. Protección contra los ataques a sitios web que utilizan el lenguaje de programación de desarrollo web de código abierto PHP.

  • Del lado del cliente. Protección contra los ataques a las herramientas del lado del cliente que se utilizan para acceder a sus sitios web protegidos, como Microsoft Internet Explorer, Mozilla Firefox, el navegador Opera y el Adobe Acrobat Reader.

  • Microsoft IIS. Protección contra los ataques a los sitios web que ejecutan el Microsoft Internet Information Server (IIS)

  • Miscelánea. Protección contra los ataques a otras herramientas del lado del servidor, como los servidores web y los servidores de bases de datos.

En esta pantalla, selecciona las acciones asociadas a las categorías de firmas que seleccionó en la pantalla de selección de firmas. Las acciones que puede configurar son:

  • Bloquear
  • Registro
  • Estadísticas

De forma predeterminada, las acciones Registro y Estadísticas están habilitadas, pero no la acción Bloquear. Para configurar las acciones, haga clic enConfiguración. Puede cambiar la configuración de las acciones de todas las categorías seleccionadas mediante la lista desplegableAcciones.

  1. Especificar拉港ecciones de firma (modo avanzado)

El modo avanzado permite un control más detallado de las definiciones de firma y proporciona mucha más información. Utilice el modo avanzado si quiere un control completo sobre la definición de la firma.

El contenido de esta pantalla es el mismo que el contenido del cuadro de diálogo Modificar objeto de firmas, tal y como se describe enConfiguración o modificación de un objeto de firmas. En esta pantalla, puede configurar acciones haciendo clic en la lista desplegableAccioneso en el menú Acciones, que aparece como un círculo con tres puntos.

7. Especifique las protecciones profundas:en esta pantalla, usted elige las protecciones avanzadas (también denominadas comprobaciones de seguridad o simplemente comprobaciones) que quiere utilizar para proteger sus sitios web y servicios web. Las comprobaciones disponibles dependen del tipo de perfil que haya elegido en la pantalla Especificar nombre. Todas las comprobaciones están disponibles para perfiles de aplicación web 2.0.

Para obtener más información, consulteDescripción general de las comprobaciones de seguridady consulte Comprobacionesavanzadas de protecciones de formularios.

Configure las acciones para las protecciones avanzadas que ha habilitado.Las acciones que puede configurar son:

  • Bloquear: bloquea las conexiones que coinciden con la firma. Inhabilitado de forma predeterminada.
  • Registro: registra las conexiones que coinciden con la firma para su posterior análisis. Habilitado de forma predeterminada.
  • Estadísticas: mantiene estadísticas, para cada firma, que muestran el número de conexiones que coincidió y proporcionan otra información sobre los tipos de conexiones que se bloquearon. Inhabilitado de forma predeterminada.
  • Aprende。观察el trafico德埃斯特sitio web o servicio web y utilice las conexiones que infrinjan esta comprobación repetidamente para generar excepciones recomendadas a la comprobación o nuevas reglas para la comprobación. Disponible solo para algunos cheques. Para obtener más información sobre la función de aprendizaje, consulteConfiguración y uso de la funciónde aprendizaje y cómo funciona el aprendizaje y cómo configurar excepciones (relajaciones) o implementar reglas aprendidas para una comprobación, consulteConfiguración manual mediante la GUI.

Para configurar acciones, active la protección haciendo clic en la casilla de verificación y, a continuación, haga clic enConfiguración de acción帕拉seleccionar las accion以。Seleccione otros parámetros, si es necesario, y haga clic enAceptarpara cerrar la ventana Configuración de acción.

Para ver todos los registros de una comprobación específica, selecciónela y, a continuación, haga clic enRegistrospara mostrar el Visor de Syslog, tal y como se describe enRegistros de Web App Firewall. Si una comprobación de seguridad bloquea el acceso legítimo a su sitio web protegido o servicio web, puede crear e implementar una relajación para esa comprobación de seguridad seleccionando un registro que muestre el bloqueo no deseado y, a continuación, haga clic en我mplementar.

Tras completar la especificación de la configuración de la acción, haga clic enFinalizarpara completar el asistente.

A continuación se muestran cuatro procedimientos que muestran cómo realizar tipos específicos de configuración mediante el asistente Web App Firewall.

Crear una nueva configuración

Siga estos pasos para crear una nueva configuración de firewall y objetos de firma mediante el asistente Applicaiton Firewall.

  1. Vaya aSeguridad>Firewall de aplicaciones.

  2. En el panel de detalles, en我ntroducción, haga clic en **Application Firewall. Se abrirá el asistente.

    wizard

  3. En la pantallaEspecificar nombre, seleccione **Crear nueva configuración.

  4. En el campoNombre, escriba un nombre y, a continuación, haga clic enSiguiente.

  5. En la pantallaEspecificar regla, vuelva a hacer clic enSiguiente.

  6. En la pantallaSeleccionar firmas, seleccioneCrear nueva firmaysimplecomo modo de edición y, a continuación, haga clic enSiguiente.

  7. En la pantallaEspecificar protecciones de firma, configure los valores necesarios. Para obtener más información sobre las firmas que se deben tener en cuenta para el bloqueo y cómo determinar cuándo puede habilitar el bloqueo de una firma de forma segura, consulteFirmas.

  8. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.

  9. Cuando haya terminado, haga clic enFinalizarpara cerrar el asistente de firewall de aplicaciones.

Modificar una configuración existente

Siga estos pasos para modificar una configuración existente y las categorías de firmas existentes.

  1. Vaya aSeguridad>Firewall de aplicaciones.
  2. En el panel de detalles, en我ntroducción, haga clic enAsistente de firewall de aplicaciones. Se abrirá el asistente.
  3. En la pantallaEspecificar nombre, seleccione Modificar configuración existente y, en la lista desplegableNombre, elija la configuración de seguridad que creó durante la nueva configuración y, a continuación, haga clic enSiguiente.
  4. En la pantallaEspecificar regla, haga clic en Siguiente para mantener el valor predeterminado “true”. Si quiere modificar la regla, siga los pasos descritos enConfigurar una expresión de directiva personalizada.
  5. En la pantallaSeleccionar firmas, haga clic enSeleccionar firma existente. En la lista desplegableFirma existente, seleccione la opción correspondiente y, a continuación, haga clic enSiguiente. Aparece la pantalla de protección avanzada de firmas.Nota:Si selecciona una firma existente, el modo de edición predeterminado para la firma protegida es avanzado.
  6. En la pantalla Especificar protecciones de firma, configure los valores necesarios y haga clic enSiguiente. Para obtener más información sobre las firmas que se deben tener en cuenta para el bloqueo y cómo determinar cuándo puede habilitar el bloqueo de una firma de forma segura, consulteFirmas.
  7. En la pantallaEspecificar protecciones profundas, configure los parámetros y haga clic enSiguiente.
  8. Cuando haya terminado, haga clic enFinalizarpara cerrar elAsistente de Web应用防火墙.

Crear una nueva configuracion firma罪

Siga estos pasos para usar el asistente de firewall de aplicaciones para omitir la pantalla de selección de firmas y crear una nueva configuración con solo el perfil y las directivas asociadas, pero sin firmas.

  1. Vaya aSeguridad>Firewall de aplicaciones.
  2. En el panel de detalles, en我ntroducción, haga clic enAsistente de firewall de aplicaciones. Se abrirá el asistente.
  3. En la pantallaEspecificar nombre, seleccioneCrear nueva configuración.
  4. En el campoNombre, escriba un nombre y, a continuación, haga clic enSiguiente.
  5. En la pantallaEspecificar regla, vuelva a hacer clic enSiguiente.
  6. En la pantalla deselección de firmas, haga clic enOmitir.
  7. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.
  8. Cuando haya terminado, haga clic enFinalizarpara cerrar el Asistente de firewall de aplicaciones.

Configurar una expresión de directiva personalizada

Siga estos pasos para usar el Asistente de firewall de aplicaciones a fin de crear una configuración de seguridad especializada para proteger solo contenido específico. En este caso, se crea una nueva configuración de seguridad en lugar de modificar la configuración inicial. Este tipo de configuración de seguridad requiere una regla personalizada para que la directiva aplique la configuración únicamente al tráfico web seleccionado.

  1. Vaya aSeguridad>Firewall de aplicaciones.
  2. En el panel de detalles, en我ntroducción, haga clic enAsistente de firewall de aplicaciones.
  3. En la pantalla Especificar nombre, escriba un nombre para la nueva configuración de seguridad en el cuadro de texto Nombre, seleccione el tipo de configuración de seguridad en la lista desplegable Tipo y, a continuación, haga clic enSiguiente.
  4. En la pantallaEspecificar regla, introduzca una regla que coincida únicamente con el contenido que quiere que proteja esta aplicación web. Utilice la lista desplegable deexpresiones utilizadas con frecuenciay elEditorde expresiones para crear una expresión personalizada. Cuando haya terminado, haga clic enSiguiente.
  5. En la pantalla deselección de firmas, seleccione el modo de edición y, a continuación, haga clic enSiguiente.
  6. En la pantallaEspecificar protecciones de firma, configure los valores necesarios.
  7. En la pantallaEspecificar protecciones profundas, configure las acciones y los parámetros necesarios enConfiguración de acción.
  8. Cuando haya terminado, haga clic enFinalizarpara cerrar elAsistente de firewall de aplicaciones.
El asistente de Web App Firewall
May 9, 2023
Contribución de:
C
May 9, 2023
Contribución de:
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.