Documentation Produit
ADC
Current Release 13.0 12.1
Voir PDF

L’assistant de Web App Firewall

May 5, 2023
Contributeur:
C

Contrairement à la plupart des assistants, l’assistant NetScaler Web App Firewall est conçu non seulement pour simplifier le processus de configuration initial, mais également pour modifier les configurations créées précédemment et pour maintenir la configuration de votre Web App Firewall. Un utilisateur type exécute l’assistant plusieurs fois en sautant certains écrans à chaque fois.

L’assistant Web App Firewall crée automatiquement des profils, des politiques et des signatures.

Ouverture de l’assistant

Pour exécuter l’assistant Web App Firewall, ouvrez l’interface graphique et procédez comme suit :

  1. Accédez àSécurité>Pare-feu d’applications.
  2. Dans le volet d’informations, sousMise en route, cliquez surApplication Firewall Wizard. L’Assistant s’ouvre.

Pour plus d’informations sur l’interface graphique, consultezles接口de configuration du Web App Firewall.

Les écrans de l’Assistant

L’assistant Web App Firewall affiche les écrans suivants sur une page tabulaire :

1. Spécifiez le nom :sur cet écran, lorsque vous créez une nouvelle configuration de sécurité, spécifiez un nom significatif et le type approprié (HTML, XML ou WEB 2.0) pour votre profil. La politique et les signatures par défaut sont générées automatiquement en utilisant le même nom.

Nom du profil

Le nom peut commencer par une lettre, un chiffre ou le symbole de soulignement et peut comprendre de 1 à 31 lettres, des chiffres et les symboles tiret (-), point (.), livre (#), espace (), at (@), égal (=), deux-points (:) et trait de soulignement (_). Choisissez un nom qui permet aux autres utilisateurs de déterminer facilement le contenu protégé par votre nouvelle configuration de sécurité.

Remarque :

Comme l’assistant utilise ce nom à la fois pour la politique et pour le profil, il est limité à 31 caractères. Les politiques créées manuellement peuvent avoir des noms d’une longueur maximale de 127 caractères.

Lorsque vous modifiez une configuration existante, vous sélectionnez Modifier la configuration existante puis, dans la liste déroulante Nom, sélectionnez le nom de la configuration existante que vous souhaitez modifier.

Remarque :

Seules les politiques liées à une stratégie globale ou à un point de liaison apparaissent dans cette liste ; vous ne pouvez pas modifier une politique indépendante à l’aide de l’assistant Application Firewall. Vous devez soit le lier manuellement à Global ou à un point de liaison, soit le modifier manuellement. (Pour une modification manuelle, dans l’interface graphique)Pare-feu d’application>Politiques> voletPare-feu, sélectionnez la politique et cliquez surOuvrir.

Type de profil

Vous pouvez également sélectionner un type de profil sur cet écran. Le type de profil détermine les types de protection avancée (contrôles de sécurité) qui peuvent être configurés. Comme certains types de contenu ne sont pas vulnérables à certains types de menaces de sécurité, la limitation de la liste des vérifications disponibles permet de gagner du temps lors de la configuration. Les types de profils de Web App Firewall sont les suivants :

  • Application Web (HTML). Tout site Web HTML qui n’utilise pas les technologies XML ou Web 2.0.
  • Application XML (XML, SOAP). Tout service Web basé sur XML.
  • Application Web 2.0 (HTML, XML, REST). Tout site Web 2.0 qui combine du contenu HTML et XML, tel qu’un site Atom, un blog, un flux RSS ou un wiki.

Remarque :Si vous ne savez pas quel type de contenu est utilisé sur votre site Web, vous pouvez choisir l’application Web 2.0 pour vous assurer de protéger tous les types de contenu d’applications Web.

2. Spécifierla règle : dans cet écran, vous pouvez spécifier la règle de politique (expression) qui définit le trafic examiné par la configuration actuelle. Si vous créez une configuration initiale pour protéger vos sites Web et services Web, vous pouvez accepter la valeur par défaut,true, qui sélectionne tout le trafic Web.

Si vous souhaitez que cette configuration de sécurité examine non pas l’ensemble du trafic HTTP acheminé via l’appliance, mais un trafic spécifique, vous pouvez rédiger une règle de politique spécifiant le trafic que vous souhaitez qu’elle examine. Les règles sont écrites dans le langage d’expressions NetScaler, qui est un langage de programmation orienté objet entièrement fonctionnel.

Remarque :Outre la syntaxe des expressions par défaut, pour des raisons de rétrocompatibilité, le système d’exploitation NetScaler prend en charge la syntaxe des expressions classiques NetScaler sur les appliances NetScaler Classic et nCore et les appliances virtuelles. Les expressions classiques ne sont pas prises en charge sur les appliances NetScaler Cluster et les appliances virtuelles. Les utilisateurs actuels qui souhaitent migrer leurs configurations existantes vers le cluster NetScaler doivent migrer toutes les politiques contenant des expressions classiques vers la syntaxe des expressions par défaut.

  • Pour une description simple de l’utilisation de la syntaxe des expressions NetScaler pour créer des règles de Web App Firewall, ainsi qu’une liste de règles utiles, voir Politiques depare-feu.
  • Pour une explication détaillée de la création de règles de politique dans la syntaxe des expressions NetScaler, consultezPolitiques etexpressions.

4. Sélectionnez Signatures: sur cet écran, vous sélectionnez les catégories de signatures que vous souhaitez utiliser pour protéger vos sites Web et services Web.

Cette étape n’est pas obligatoire et vous pouvez l’ignorer si vous le souhaitez et accéder à l’écranSpécifier les protections approfondies. Si l’écran Sélectionner les signatures est ignoré, seuls un profil et les politiques associées sont créés, mais les signatures ne sont pas créées.

Vous pouvez sélectionnerCréer une nouvelle signatureouSelectionner une signature existante.

Si vous créez une nouvelle configuration de sécurité, les catégories de signatures que vous sélectionnez sont activées et, par défaut, elles sont enregistrées dans un nouvel objet de signature. Le nouvel objet de signatures se voit attribuer le même nom que celui que vous avez saisi dans l’écran Spécifier le nom comme nom de la configuration de sécurité.

Si vous avez déjà configuré des objets de signature et que vous souhaitez utiliser l’un d’entre eux comme objet de signature associé à la configuration de sécurité que vous créez, cliquez surSelectionner une signature existanteet sélectionnez un objet de signature dans la liste des signatures.

Si vous modifiez une configuration de sécurité existante, vous pouvez cliquer sur Sélectionner une signature existante et attribuer un objet de signature différent à la configuration de sécurité.

Si vous cliquez sur Créer une nouvelle signature, vous pouvez choisir le mode d’éditionsimpleouavancé.

  1. Spécifier les protections de signature (mode simple)

Le mode simple permet de configurer facilement la signature, avec une liste prédéfinie de définitions de protection pour les applications courantes telles que IIS (Internet Information Server), PHP et ActiveX. Les catégories par défaut en mode Simple sont les suivantes :

  • CGI. Protection contre les attaques contre les sites Web qui utilisent des scripts CGI dans n’importe quel langage, y compris les scripts PERL, les scripts shell Unix et les scripts Python.

  • Fusion à froid. Protection contre les attaques visant les sites Web qui utilisent la plateforme de développement Web Adobe Systems® ColdFusion®.

  • Page d’accueil. Protection contre les attaques visant les sites Web qui utilisent la plateforme de développement Web Microsoft® FrontPage®.

  • PHP. Protection contre les attaques contre les sites Web qui utilisent le langage de script de développement Web open source PHP.

  • 象牙海岸的客户。保护反对les attaques visantles outils côté client utilisés pour accéder à vos sites Web protégés, tels que Microsoft Internet Explorer, Mozilla Firefox, le navigateur Opera et Adobe Acrobat Reader.

  • Microsoft IIS. Protection contre les attaques contre les sites Web qui exécutent Microsoft Internet Information Server (IIS)

  • Divers. Protection contre les attaques visant d’autres outils côté serveur, tels que les serveurs Web et les serveurs de base de données.

Sur cet écran, vous sélectionnez les actions associées aux catégories de signatures que vous avez sélectionnées sur l’écran Sélectionner les signatures. Les actions que vous pouvez configurer sont les suivantes :

  • Bloquer
  • Journal
  • Statistiques

Par défaut, les actions Journal et Statistiques sont activées, mais pas l’action Bloquer. Pour configurer les actions, cliquez surParamètres. Vous pouvez modifier les paramètres d’action de toutes les catégories sélectionnées à l’aide de la liste déroulanteAction.

  1. Spécifier les protections de signature (mode avancé)

Le mode avancé permet un contrôle plus précis des définitions de signature et fournit beaucoup plus d’informations. Utilisez le mode avancé si vous souhaitez contrôler complètement la définition de signature.

Le contenu de cet écran est identique au contenu de la boîte de dialogue Modifier un objet Signatures, comme décrit dansConfiguration ou modification d’un objet Signatures. Dans cet écran, vous pouvez configurer des actions en cliquant sur la liste déroulanteActionsou sur le menu Actions, qui apparaît sous la forme d’un cercle avec trois points.

7. Spécifiez les protections approfondies :sur cet écran, vous choisissez les protections avancées (également appelées contrôles de sécurité ou simplement contrôles) que vous souhaitez utiliser pour protéger vos sites Web et services Web. Les vérifications disponibles dépendent du type de profil que vous avez choisi sur l’écran Spécifier le nom. Toutes les vérifications sont disponibles pour les profils d’application Web 2.0.

Pour plus d’informations, voirVue d’ensemble des contrôles de sécuritéet voirContrôles avancés de protection des formulaires.

Vous configurez les actions pour les protections avancées que vous avez activées.Les actions que vous pouvez configurer sont les suivantes :

  • Bloquer : bloque les connexions qui correspondent à la signature. Désactivé par défaut.
  • Journal : enregistre les connexions qui correspondent à la signature pour une analyse ultérieure. Activé par défaut.
  • Statistiques : conserve des statistiques, pour chaque signature, qui indiquent le nombre de connexions correspondantes et fournissent certaines autres informations sur les types de connexions bloquées. Désactivé par défaut.
  • Apprenez. Observez le trafic vers ce site Web ou ce service Web et utilisez les connexions qui enfreignent régulièrement cette vérification pour générer des exceptions recommandées à la vérification ou de nouvelles règles pour la vérification. Disponible uniquement pour certains chèques. Pour plus d’informations sur la fonctionnalité d’apprentissage, voirConfiguration et utilisation de la fonctionnalité d’apprentissage, et comment l’apprentissage fonctionne et comment configurer des exceptions (relaxations) ou déployer des règles apprises pour une vérification, voirConfiguration manuelle à l’aide de l’interface graphique.

Pour configurer des actions, activez la protection en cochant la case à cocher, puis cliquez surParamètres d’action将选择requises les行动。Selectionnez d’autres paramètres, si nécessaire, puis cliquez surOKpour fermer la fenêtre Paramètres d’action.

Pour afficher tous les journaux d’une vérification spécifique, sélectionnez-la, puis cliquez surJournauxpour afficher la visionneuse Syslog, comme décrit dansJournaux du Web App Firewall. Si une vérification de sécurité bloque l’accès légitime à votre site Web ou service Web protégé, vous pouvez créer et implémenter une relaxation pour cette vérification de sécurité en sélectionnant un journal affichant le blocage indésirable, puis en cliquant surDéployer.

Après avoir défini les paramètres d’action, cliquez surTerminerpour terminer l’assistant.

Les quatre procédures suivantes montrent comment effectuer des types de configuration spécifiques à l’aide de l’assistant Web App Firewall.

Création d’une nouvelle configuration

Procédez comme suit pour créer une nouvelle configuration de pare-feu et des objets de signature à l’aide de l’assistant de pare-feu d’application.

  1. Accédez àSécurité>Pare-feu d’applications.

  2. Dans le volet d’informations, sousMise en route, cliquez sur Pare-feu **d’applications. L’Assistant s’ouvre.

    wizard

  3. Sur l’écranSpécifier le nom, sélectionnez **Créer une nouvelle configuration.

  4. Dans le champNom, saisissez un nom, puis cliquez surSuivant.

  5. Dans l’écranSpécifier la règle, cliquez à nouveau surSuivant.

  6. Dans l’écranSelectionner les signatures, sélectionnezCréer une nouvelle signatureetSimplecomme mode d’édition, puis cliquez surSuivant.

  7. Dans l’écranSpécifier les protections de signature, configurez les paramètres requis. Pour plus d’informations sur les signatures à bloquer et sur la manière de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, consultez la sectionSignatures.

  8. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.

  9. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’assistant de pare-feu d’applications.

Modifier une configuration existante

Suivez ces étapes pour modifier une configuration existante et des catégories de signatures existantes.

  1. Accédez àSécurité>Pare-feu d’applications.
  2. Dans le volet d’informations, sousMise en route, cliquez surApplication Firewall Wizard. L’Assistant s’ouvre.
  3. Sur l’écranSpécifier le nom, sélectionnez Modifier la configuration existante et, dans la liste déroulanteNom, choisissez la configuration de sécurité que vous avez créée lors de la nouvelle configuration, puis cliquez surSuivant.
  4. Dans l’écranSpécifier la règle, cliquez sur Suivant pour conserver la valeur par défaut « true ». Si vous souhaitez modifier la règle, suivez les étapes décrites dansConfigurer une expression de stratégie personnalisée.
  5. Dans l’écranSelectionner les signatures, cliquez surSelectionner une signature existante. Dans la liste déroulanteSignature existante, sélectionnez l’option appropriée, puis cliquez surSuivant. L’écran de protection avancée des signatures s’affiche.Remarque :Si vous sélectionnez une signature existante, le mode d’édition par défaut pour la protection des signatures est avancé.
  6. Dans l’écran Spécifier les protections de signature, configurez les paramètres requis et cliquez surSuivant. Pour plus d’informations sur les signatures à prendre en compte pour le blocage et sur la manière de déterminer quand vous pouvez activer le blocage d’une signature en toute sécurité, consultez la sectionSignatures.
  7. Dans l’écran说明符les保护profondes, configurez les paramètres et cliquez surSuivant.
  8. Une fois que vous avez terminé, cliquez surTerminerpour fermer l’assistant Web App Firewall.

Création d’une nouvelle configuration sans signatures

Suivez ces étapes pour utiliser l’assistant de pare-feu des applications afin d’ignorer l’écran de sélection des signatures et de créer une nouvelle configuration avec uniquement le profil et les politiques associées, mais sans aucune signature.

  1. Accédez àSécurité>Pare-feu d’applications.
  2. Dans le volet d’informations, sousMise en route, cliquez surApplication Firewall Wizard. L’Assistant s’ouvre.
  3. Sur l’écranSpécifier le nom, sélectionnezCréer une nouvelle configuration.
  4. Dans le champNom, saisissez un nom, puis cliquez surSuivant.
  5. Dans l’écranSpécifier une règle, cliquez à nouveau sur Suivant.
  6. Dans l’écranSelectionner les signatures, cliquez surIgnorer.
  7. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.
  8. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’assistant de pare-feu d’application.

Configuration d’une expression de politique personnalisée

Suivez ces étapes pour utiliser l’assistant de pare-feu d’application afin de créer une configuration de sécurité spécialisée afin de protéger uniquement un contenu spécifique. Dans ce cas, vous créez une nouvelle configuration de sécurité au lieu de modifier la configuration initiale. Ce type de configuration de sécurité nécessite une règle personnalisée, de sorte que la politique applique la configuration uniquement au trafic Web sélectionné.

  1. Accédez àSécurité>Pare-feu d’applications.
  2. Dans le volet d’informations, sousMise en route, cliquez surApplication Firewall Wizard.
  3. Sur l’écran Spécifier le nom, tapez le nom de votre nouvelle configuration de sécurité dans la zone de texte Nom, sélectionnez le type de configuration de sécurité dans la liste déroulante Type, puis cliquez surSuivant.
  4. Dans l’écranSpécifier la règle, entrez une règle qui correspond uniquement au contenu que vous souhaitez que cette application Web protège. Utilisez la liste déroulanteExpressions fréquemment utiliséeset l’éditeur d’expressions pour créer une expression personnalisée. Lorsque vous avez terminé, cliquez surSuivant.
  5. Dans l’écranSelectionner les signatures, sélectionnez le mode d’édition, puis cliquez surSuivant.
  6. Dans l’écranSpécifier les protections de signature, configurez les paramètres requis.
  7. Dans l’écranSpécifier les protections approfondies, configurez les actions et les paramètres requis dansParamètres d’action.
  8. Lorsque vous avez terminé, cliquez surTerminerpour fermer l’assistant de pare-feu d’applications.
L’assistant de Web App Firewall
May 5, 2023
Contributeur:
C
May 5, 2023
Contributeur:
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999-Cloud Software Group, Inc. All rights reserved.