Documentation produit
Citrix ADC
Current Release 13.0 12.1 11.1
Voir PDF

Assistant Web App Firewall

August 20, 2021
Contributeur:
C

Contrairement à la plupart des assistants, l’Assistant Citrix Web App Firewall est conçu non seulement pour simplifier le processus de configuration initiale, mais également pour modifier les configurations précédemment créées et pour maintenir la configuration de votre pare-feu Web App. Un utilisateur typique exécute l’Assistant plusieurs fois, ignorant certains écrans à chaque fois.

L’Assistant Web App Firewall crée automatiquement des profils, des stratégies et des signatures.

Ouverture de l’assistant

Pour exécuter l’Assistant Web App Firewall, ouvrez l’interface graphique et procédez comme suit :

  1. Accédez àSécurité>Pare-feu d’application.
  2. Dans le volet d’informations, sousMise en route, cliquez surAssistant Pare-feu d’application. L’Assistant s’ouvre.

Pour plus d’informations sur l’interface graphique, voir «Interfaces de configuration du Web App Firewall. «

Les écrans de l’Assistant

L’Assistant Web App Firewall affiche les écrans suivants sur une page tabulaire :

1. Spécifier le nom :sur cet écran, lors de la création d’une nouvelle configuration de sécurité, spécifiez un nom significatif et le type approprié (HTML, XML ou WEB 2.0) pour votre profil. La stratégie par défaut et les signatures sont générées automatiquement en utilisant le même nom.

Nom du profil

Le nom peut commencer par une lettre, un nombre ou le symbole de trait de soulignement, et peut être composé de 1 à 31 lettres, chiffres et le tiret (-), point (.) livre (#), espace (), at (@), égal (=), deux-points ( :) et soulignement (_). Choisissez un nom qui facilite l’affichage du contenu protégé par votre nouvelle configuration de sécurité.

Remarque :

Étant donné que l’Assistant utilise ce nom à la fois pour la stratégie et le profil, il est limité à 31 caractères. Les stratégies créées manuellement peuvent contenir des noms pouvant atteindre 127 caractères.

Lorsque vous modifiez une configuration existante, sélectionnez Modifier la configuration existante, puis, dans la liste déroulante Nom, sélectionnez le nom de la configuration existante à modifier.

Remarque :

Seules les stratégies liées à un point global ou à un point de liaison apparaissent dans cette liste ; vous ne pouvez pas modifier une stratégie non liée à l’aide de l’Assistant Pare-feu d’application. Vous devez soit le lier manuellement à Global ou à un point de liaison, soit le modifier manuellement. (Pour une modification manuelle, dans l’interface graphique)Application Pare-feu>Stratégies> VoletPare-feu, sélectionnez la stratégie et cliquez surOuvrir.

Type de profil

Vous sélectionnez également un type de profil sur cet écran. Le type de profil détermine les types de protection avancée (vérifications de sécurité) qui peuvent être configurés. Étant donné que certains types de contenu ne sont pas vulnérables à certains types de menaces de sécurité, la restriction de la liste des vérifications disponibles permet d’économiser du temps pendant la configuration. Les types de profils de Web App Firewall sont les suivants :

  • Application Web (HTML). Tout site Web HTML qui n’utilise pas les technologies XML ou Web 2.0.
  • Application XML (XML, SOAP). Tout service Web basé sur XML.
  • Application Web 2.0 (HTML, XML, REST). Tout site Web 2.0 qui combine du contenu HTML et XML, tel qu’un site basé sur ATOM, un blog, un flux RSS ou un wiki.

Remarque :Si vous ne savez pas quel type de contenu est utilisé sur votre site Web, vous pouvez choisir Application Web 2.0 pour vous assurer de protéger tous les types de contenu d’application Web.

2. Spécifier la règle :sur cet écran, vous spécifiez la règle de stratégie (expression) qui définit le trafic examiné par la configuration actuelle. Si vous créez une configuration initiale pour protéger vos sites Web et services Web, vous pouvez accepter la valeur par défaut,true, qui sélectionne tout le trafic Web.

Si vous souhaitez que cette configuration de sécurité examine, non pas tout le trafic HTTP acheminé via l’appliance, mais le trafic spécifique, vous pouvez écrire une règle de stratégie spécifiant le trafic que vous souhaitez examiner. Les règles sont écrites dans le langage d’expressions Citrix ADC, qui est un langage de programmation orienté objet entièrement fonctionnel.

Remarque :Outre la syntaxe des expressions par défaut, pour des raisons de rétrocompatibilité, le système d’exploitation Citrix ADC prend en charge la syntaxe des expressions classiques Citrix ADC sur les appliances Citrix ADC Classic et NCore et les appliances virtuelles. Les expressions classiques ne sont pas prises en charge sur les appliances Citrix ADC Cluster et les appliances virtuelles. Les utilisateurs actuels qui souhaitent migrer leurs configurations existantes vers le cluster Citrix ADC doivent migrer toutes les stratégies contenant des expressions classiques vers la syntaxe des expressions par défaut.

  • Pour obtenir une description simple de l’utilisation de la syntaxe des expressions Citrix ADC pour créer des règles de Web App Firewall et une liste de règles utiles, voirStratégies de pare-feu.
  • Pour obtenir une explication détaillée de la création de règles de stratégie dans la syntaxe des expressions Citrix ADC, consultezPolitiques et expressions.

4. Sélectionnez Signatures: sur cet écran, vous sélectionnez les catégories de signatures que vous souhaitez utiliser pour protéger vos sites Web et services Web.

Cette étape n’est pas obligatoire, et vous pouvez l’ignorer si vous le souhaitez et aller à l’écran说明符les保护深处. Si l’écran Sélectionner les signatures est ignoré, seuls un profil et les stratégies associées sont créés et les signatures ne sont pas créées.

Vous pouvez sélectionnerCréer une nouvelle signatureouSélectionner une signature existante.

如果你们creez一个配置安全范围,les catégories de signature que vous sélectionnez sont activées et, par défaut, elles sont enregistrées dans un nouvel objet signatures. Le nouvel objet signatures se voit attribuer le même nom que celui que vous avez entré sur l’écran Spécifier le nom que le nom de la configuration de sécurité.

Si vous avez déjà configuré des objets signatures et que vous souhaitez en utiliser l’un comme objet signatures associé à la configuration de sécurité que vous créez, cliquez surSélectionner une signature existante等sélectionnez un objet signatures dans la liste Signatures.

Si vous modifiez une configuration de sécurité existante, vous pouvez cliquer sur Sélectionner une signature existante et affecter un objet signatures différent à la configuration de sécurité.

Si vous cliquez sur Créer une nouvelle signature, vous pouvez choisir le mode d’édition commeSimpleouAvancé.

  1. Spécifier les protections de signature (mode simple)

Le mode simple permet de configurer facilement la signature, avec une liste prédéfinie de définitions de protection pour les applications courantes telles que IIS (Internet Information Server), PHP et ActiveX. Les catégories par défaut en mode Simple sont :

  • CGI. Protection contre les attaques contre les sites Web qui utilisent des scripts CGI dans n’importe quelle langue, y compris les scripts PERL, les scripts shell Unix et les scripts Python.

  • Fusion froide. Protection contre les attaques contre les sites Web utilisant la plateforme de développement Web Adobe Systems® ColdFusion®.

  • Page frontale. Protection contre les attaques contre les sites Web qui utilisent la plateforme de développement Web Microsoft® FrontPage®.

  • PHP. Protection contre les attaques sur les sites Web utilisant le langage de script de développement Web open-source PHP.

  • Côté client. Protection contre les attaques contre les outils côté client utilisés pour accéder à vos sites Web protégés, tels que Microsoft Internet Explorer, Mozilla Firefox, le navigateur Opera et Adobe Acrobat Reader.

  • Microsoft IIS。保护反对les attaques苏尔les sites Web exécutant Microsoft Internet Information Server (IIS)

  • Divers. Protection contre les attaques sur d’autres outils côté serveur, tels que les serveurs Web et les serveurs de base de données.

Sur cet écran, vous sélectionnez les actions associées aux catégories de signatures sélectionnées dans l’écran Sélectionner les signatures. Les actions que vous pouvez configurer sont les suivantes :

  • Bloquer
  • Journal
  • Statistiques

Par défaut, les actions Journal et Statistiques sont activées, mais pas l’action Bloquer. Pour configurer des actions, cliquez surParamètres. Vous pouvez modifier les paramètres d’action de toutes les catégories sélectionnées à l’aide de la liste déroulanteAction.

  1. Spécifier les protections de signature (mode avancé)

Le mode avancé permet un contrôle plus granulaire sur les définitions de signature et fournit beaucoup plus d’informations. Utilisez le mode avancé si vous souhaitez contrôler complètement la définition de signature.

Le contenu de cet écran est identique au contenu de la boîte de dialogue Modifier un objet Signatures, comme décrit dansConfiguration ou modification d’un objet Signatures. Dans cet écran, vous pouvez configurer des actions en cliquant sur la liste déroulanteActionsou sur le menu Actions, qui apparaît sous la forme d’un cercle avec trois points.

7. Spécifiez des protections profondes :sur cet écran, vous choisissez les protections avancées (également appelées contrôles de sécurité ou simplement vérifications) que vous souhaitez utiliser pour protéger vos sites Web et services Web. Les vérifications disponibles dépendent du type de profil que vous avez choisi dans l’écran Spécifier le nom. Toutes les vérifications sont disponibles pour les profils d’application Web 2.0.

Pour plus d’informations, voirVue d’ensemble des contrôles de sécurité等voirContrôles avancés de protection des formulaires.

Vous configurez les actions pour les protections avancées que vous avez activées.Les actions que vous pouvez configurer sont les suivantes :

  • Bloque : bloque les connexions qui correspondent à la signature. Désactivé par défaut.
  • Journal : enregistre les connexions qui correspondent à la signature pour une analyse ultérieure. Activé par défaut.
  • Statistiques : gère des statistiques, pour chaque signature, qui indiquent le nombre de connexions correspondant et fournissent d’autres informations sur les types de connexions bloquées. Désactivé par défaut.
  • Apprendre. Observez le trafic vers ce site Web ou service Web et utilisez des connexions qui violent à plusieurs reprises cette vérification pour générer des exceptions recommandées à la vérification ou de nouvelles règles pour la vérification. Disponible uniquement pour certains chèques. Pour plus d’informations sur la fonctionnalité d’apprentissage, voirConfiguration et utilisation de la fonctionnalité d’apprentissage, et comment l’apprentissage fonctionne et comment configurer des exceptions (relaxations) ou déployer des règles apprises pour une vérification, voirConfiguration manuelle à l’aide de l’interface graphique.

Pour configurer des actions, activez la protection en cochant la case à cocher, puis cliquez surParamètres d’actionpour sélectionner les actions requises. Sélectionnez d’autres paramètres, si nécessaire, puis cliquez surOKpour fermer la fenêtre Paramètres d’action.

Pour afficher tous les journaux d’une vérification spécifique, sélectionnez-la, puis cliquez surJournauxpour afficher la visionneuse Syslog, comme décrit dansJournaux du Web App Firewall. Si une vérification de sécurité bloque l’accès légitime à votre site Web ou service Web protégé, vous pouvez créer et implémenter une relaxation pour cette vérification de sécurité en sélectionnant un journal affichant le blocage indésirable, puis en cliquant surDéployer.

Après avoir spécifié les paramètres d’action, cliquez surTerminerpour terminer l’Assistant.

Voici quatre procédures qui montrent comment effectuer des types de configuration spécifiques à l’aide de l’assistant de Web App Firewall.

Créer une nouvelle configuration

Procédez comme suit pour créer une configuration de pare-feu et des objets de signature, à l’aide de l’assistant de pare-feu Applicaiton.

  1. Accédez àSécurité>Pare-feu d’application.

  2. Dans le volet d’informations, sousMise en route, cliquez sur Pare-feu **d’application. L’Assistant s’ouvre.

    Assistant

  3. Dans l’écranSpécifier un nom, sélectionnez **Créer une nouvelle configuration.

  4. Dans le champNom, tapez un nom, puis cliquez surSuivant.

  5. Dans l’écranSpécifier une règle, cliquez à nouveau surSuivant.

  6. Dans l’écranSélectionner les signatures, sélectionnezCréer une nouvelle signatureSimplecomme mode de modification, puis cliquez surSuivant.

  7. Dans l’écranSpécifier les protections de signature, configurez les paramètres requis. Pour plus d’informations sur les signatures à prendre en compte pour le blocage et comment déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, voirSignatures.

  8. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.

  9. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’Assistant Pare-feu d’application.

Modifier une configuration existante

Procédez comme suit pour modifier une configuration existante et des catégories de signatures existantes.

  1. Accédez àSécurité>Pare-feu d’application.
  2. Dans le volet d’informations, sousMise en route, cliquez surAssistant Pare-feu d’application. L’Assistant s’ouvre.
  3. Dans l’écranSpécifier le nom, sélectionnez Modifier la configuration existante et, dans la liste déroulanteNom, choisissez la configuration de sécurité que vous avez créée lors de la nouvelle configuration, puis cliquez surSuivant.
  4. Dans l’écranSpécifier la règle, cliquez sur Suivant pour conserver la valeur par défaut « true ». Si vous souhaitez modifier la règle, suivez les étapes décrites dansConfigurer une expression de stratégie personnalisée.
  5. Dans l’écranSélectionner les signatures, cliquez surSélectionner une signature existante. Dans la liste déroulanteSignature existante, sélectionnez l’option appropriée, puis cliquez surSuivant. L’écran de protection avancée des signatures apparaît.Remarque :Si vous sélectionnez une signature existante, le mode d’édition par défaut pour la signature protégée est avancé.
  6. Dans l’écran Spécifier les protections de signature, configurez les paramètres requis et cliquez surSuivant. Pour plus d’informations sur les signatures à prendre en compte pour le blocage et comment déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, voirSignatures.
  7. Dans l’écran说明符les保护深处, configurez les paramètres et cliquez surSuivant.
  8. Une fois que vous avez terminé, cliquez surTerminerpour fermer l’Assistant Web App Firewall.

Créer une nouvelle configuration sans signatures

Procedez像西装倒使用l 'Assistant削减-feu d’application pour ignorer l’écran Sélectionner les signatures et créer une nouvelle configuration avec uniquement le profil et les stratégies associées, mais sans signatures.

  1. Accédez àSécurité>Pare-feu d’application.
  2. Dans le volet d’informations, sousMise en route, cliquez surAssistant Pare-feu d’application. L’Assistant s’ouvre.
  3. Sur l’écranSpécifier le nom, sélectionnezCréer une nouvelle configuration.
  4. Dans le champNom, tapez un nom, puis cliquez surSuivant.
  5. Dans l’écranSpécifier une règle, cliquez à nouveau sur Suivant.
  6. Dans l’écranSélectionner les signatures, cliquez surIgnorer.
  7. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.
  8. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’Assistant Pare-feu d’application.

Configurer une expression de stratégie personnalisée

Procedez像西装倒使用l 'Assistant削减-feu d’application pour créer une configuration de sécurité spécialisée afin de protéger uniquement le contenu spécifique. Dans ce cas, vous créez une nouvelle configuration de sécurité au lieu de modifier la configuration initiale. Ce type de configuration de sécurité nécessite une règle personnalisée, de sorte que la stratégie applique la configuration uniquement au trafic Web sélectionné.

  1. Accédez àSécurité>Pare-feu d’application.
  2. Dans le volet d’informations, sousMise en route, cliquez surAssistant Pare-feu d’application.
  3. Dans l’écran Spécifier un nom, tapez un nom pour votre nouvelle configuration de sécurité dans la zone de texte Nom, sélectionnez le type de configuration de sécurité dans la liste déroulante Type, puis cliquez surSuivant.
  4. Dans l’écranSpécifier une règle, entrez une règle qui correspond uniquement au contenu que vous souhaitez que cette application Web protège. Utilisez la liste déroulanteExpressions fréquemment utilisées等l’éditeur d’expressions pour créer une expression personnalisée. Lorsque vous avez terminé, cliquez surSuivant.
  5. Dans l’écranSélectionner les signatures, sélectionnez le mode de modification, puis cliquez surSuivant.
  6. Dans l’écranSpécifier les protections de signature, configurez les paramètres requis.
  7. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.
  8. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’Assistant Pare-feu d’application.
Assistant Web App Firewall
August 20, 2021
Contributeur:
C
August 20, 2021
Contributeur:
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999-Citrix Systems, Inc. All rights reserved.