ADC

Klassische und erweiterte Richtlinien

Warnung

Klassische Richtlinienausdrücke sind ab Citrix ADC 12.0 Build 56.20 veraltet. Alternativ empfiehlt Citrix die Verwendung von erweiterten Richtlinien. Weitere Informationen finden Sie unter Erweiterte Richtlinien

Klassische Richtlinien bewerten die grundlegenden Merkmale des Verkehrs und anderer Daten. Klassische Richtlinien können beispielsweise identifizieren, ob eine HTTP-Anforderung oder -Antwort einen bestimmten Header- oder URL-Typ enthält.

Erweiterte Richtlinien können denselben Typ von Auswertungen durchführen wie klassische Richtlinien. Darüber hinaus können Sie mit der Advanced Policy Infrastructure (PI) mehr Daten (z. B. den Hauptteil einer HTTP-Anforderung) analysieren und weitere Vorgänge in der Richtlinienregel konfigurieren (z. B. die Umwandlung von Daten im Hauptteil einer Anforderung in einen HTTP-Header).

Zusätzlich zum Zuweisen einer Richtlinie eine Aktion oder ein Profil binden Sie die Richtlinie an einen bestimmten Punkt in der Verarbeitung, der den Citrix ADC Features zugeordnet ist. Der Bindepunkt ist ein Faktor, der bestimmt, wann die Richtlinie ausgewertet wird.

Vorteile der Verwendung erweiterter Richtlinien

Standard-Syntaxrichtlinien verwenden eine leistungsstarke Ausdruckssprache, die auf einem Klassen-Objektmodell basiert, und sie bieten mehrere Optionen, mit denen Sie das Verhalten verschiedener Citrix ADC Features konfigurieren können. Mit Advanced Policy Infrastructure (PI) können Sie Folgendes tun:

  • Führen Sie feinkörnige Analysen des Netzwerkverkehrs aus den Layern 2 bis 7 durch.
  • Bewerten Sie einen beliebigen Teil des Headers oder des Hauptteils einer HTTP- oder HTTPS-Anforderung oder -Antwort.
  • Binden Sie Richtlinien an die mehreren Bindepunkte, die die Advanced Policy Infrastructure (PI) auf Standard-, Override- und virtuellen Serverebene unterstützt.
  • Verwenden Sie goto Ausdrücke, um die Steuerung an andere Richtlinien zu übertragen und Punkte zu binden, die durch das Ergebnis der Ausdrucksauswertung bestimmt werden.
  • Verwenden Sie spezielle Tools wie Mustersätze, Richtlinienbeschriftungen, Ratengrenzbezeichner und HTTP-Callouts, mit denen Sie Richtlinien für komplexe Anwendungsfälle effektiv konfigurieren können.

Außerdem erweitert das Konfigurationsdienstprogramm die robuste Unterstützung der grafischen Benutzeroberfläche für erweiterte Richtlinieninfrastruktur (PI) und Ausdrücke und ermöglicht Benutzern, die über eingeschränkte Kenntnisse in Netzwerkprotokollen verfügen, Richtlinien schnell und einfach zu konfigurieren. Das Konfigurationsdienstprogramm enthält auch eine Funktion zur Richtlinienauswertung für erweiterte Richtlinien Sie können diese Funktion verwenden, um eine erweiterte Richtlinie auszuwerten und ihr Verhalten zu testen, bevor Sie sie festlegen, wodurch das Risiko von Konfigurationsfehlern reduziert wird.

Grundkomponenten einer erweiterten Richtlinie

Im Folgenden sind einige Merkmale einer erweiterten Richtlinie aufgeführt:

  • Name. Jede Richtlinie hat einen eindeutigen Namen.

  • Regel. Die Regel ist ein logischer Ausdruck, der es der Citrix ADC Funktion ermöglicht, einen Datenverkehr oder ein anderes Objekt auszuwerten. Mit einer Regel kann Citrix ADC beispielsweise bestimmen, ob eine HTTP-Anforderung von einer bestimmten IP-Adresse stammt oder ob ein Cache-Control-Header in einer HTTP-Anforderung den Wert No-Cache aufweist.

Erweiterte Richtlinien können alle Ausdrücke verwenden, die in einer klassischen Richtlinie verfügbar sind, mit Ausnahme von klassischen Ausdrücken für den SSL-VPN-Client. Darüber hinaus können Sie mit erweiterten Richtlinien komplexere Ausdrücke konfigurieren.

  • Bindungen. Um sicherzustellen, dass Citrix ADC bei Bedarf eine Richtlinie aufrufen kann, ordnen Sie die Richtlinie zu oder binden sie an einen oder mehrere Bindungspunkte.

Sie können eine Richtlinie global oder an einen virtuellen Server binden. Weitere Informationen finden Sie unter Informationen zu Richtlinienbindungen.

  • Eine zugeordnete Aktion. Eine Aktion ist eine separate Entität von einer Richtlinie. Die Richtlinienbewertung führt letztendlich dazu, dass Citrix ADC eine Aktion ausführt.

Beispielsweise kann eine Richtlinie im integrierten Cache HTTP-Anforderungen für GIF- oder JPEG-Dateien identifizieren. Eine Aktion, die Sie dieser Richtlinie zuordnen, bestimmt, dass die Antworten auf diese Arten von Anforderungen aus dem Cache bereitgestellt werden.

Bei einigen Features konfigurieren Sie Aktionen als Teil einer komplexeren Reihe von Anweisungen, die als Profil bezeichnet werden.

Wie unterschiedliche Citrix ADC Funktionen Richtlinien verwenden

Citrix ADC unterstützt verschiedene Funktionen, die auf Richtlinien für den Betrieb basieren. In der folgenden Tabelle wird erläutert, wie die Citrix ADC Features Richtlinien verwenden.

Featurename Richtlinientyp Verwendung von Richtlinien im Feature
System Klassisch Für die Authentifizierungsfunktion enthalten Richtlinien Authentifizierungsschemata für verschiedene Authentifizierungsmethoden. Sie können beispielsweise LDAP- und zertifikatbasierte Authentifizierungsschemata konfigurieren. Außerdem konfigurieren Sie Richtlinien in der Überwachungsfunktion.
DNS Erweitert So bestimmen Sie, wie die DNS-Auflösung für Anforderungen ausgeführt wird.
SSL Klassisch und Fortgeschrittene So bestimmen Sie, wann eine Verschlüsselungsfunktion angewendet werden soll, und fügen Sie dem Klartext Zertifikatsinformationen hinzu. Um eine End-to-End-Sicherheit zu gewährleisten, verschlüsselt die SSL-Funktion nach der Entschlüsselung einer Nachricht Klartext erneut und verwendet SSL für die Kommunikation mit Webservern.
Komprimierung Klassisch und Fortgeschrittene Um zu bestimmen, welche Art von Datenverkehr komprimiert wird.
Integriertes Caching Erweitert Um festzustellen, ob HTTP-Antworten zwischenspeicherbar sind.
Responder Erweitert Konfigurieren des Verhaltens der Responder-Funktion.
Schutzfunktionen Klassisch So konfigurieren Sie das Verhalten der Funktionen Filter, SureConnect und Priority Queuing.
Content Switching Klassisch und Fortgeschrittene Um zu bestimmen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anforderung. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver.
AAA - Verkehrsmanagement Klassisch. Ausnahmen: Verkehrsrichtlinien unterstützen nur die Advanced Policy Infrastructure (PI) und Autorisierungsrichtlinien unterstützen sowohl die klassische als auch die erweiterte Richtlinieninfrastruktur (PI). So überprüfen Sie die clientseitige Sicherheit, bevor sich Benutzer anmelden und eine Sitzung einrichten. Verkehrsrichtlinien, die bestimmen, ob Single Sign-On (SSO) erforderlich ist, verwenden nur die Standardsyntax. Autorisierungsrichtlinien autorisieren Benutzer und Gruppen, die über die Appliance auf Intranetressourcen zugreifen.
Cacheumleitung Klassisch Bestimmen Sie, ob Antworten von einem Cache oder von einem Ursprungsserver bereitgestellt werden.
Neuschreiben Erweitert So identifizieren Sie HTTP-Daten, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Beispielsweise können Sie HTTP-Daten ändern, um eine Anforderung an eine neue Homepage oder einen neuen Server oder einen ausgewählten Server basierend auf der Adresse der eingehenden Anforderung umzuleiten, oder Sie können die Daten so ändern, dass Serverinformationen in einer Antwort aus Sicherheitsgründen maskiert werden. Die URL-Transformator-Funktion identifiziert URLs in HTTP-Transaktionen und Textdateien, um zu bewerten, ob eine URL transformiert werden soll.
Anwendungs-Firewall Klassisch und Fortgeschrittene Identifizieren von Merkmalen von Datenverkehr und Daten, die über die Firewall zugelassen werden sollen oder nicht.
Citrix Gateway, Clientless Access-Funktion Erweitert So definieren Sie Rewrite-Regeln für den allgemeinen Webzugriff mit Citrix Gateway.
Citrix Gateway Klassisch So bestimmen Sie, wie Citrix Gateway Authentifizierung, Autorisierung, Überwachung und andere Funktionen ausführt.

Informationen zu Aktionen und Profilen

Die Richtlinien selbst ergreifen keine Maßnahmen in den Bereichen Daten. Richtlinien bieten schreibgeschützte Logik für die Auswertung des Datenverkehrs. Um eine Funktion für die Ausführung eines Vorgangs auf der Grundlage einer Richtlinienbewertung zu aktivieren, konfigurieren Sie Aktionen oder Profile und ordnen sie Richtlinien zu.

Hinweis: Aktionen und Profile sind spezifisch für bestimmte Features. Informationen zum Zuweisen von Aktionen und Profilen zu Features finden Sie in der Dokumentation zu den einzelnen Features.

Informationen zu Aktionen

Aktionen sind Schritte, die der Citrix ADC durchführt, abhängig von der Auswertung des Ausdrucks in der Richtlinie. Wenn beispielsweise ein Ausdruck in einer Richtlinie mit einer bestimmten Quell-IP-Adresse in einer Anforderung übereinstimmt, bestimmt die Aktion, die dieser Richtlinie zugeordnet ist, ob die Verbindung zulässig ist.

Die Arten von Aktionen, die der Citrix ADC ausführen kann, sind featurespezifisch. Beispielsweise können Aktionen in Umschreiben Text in einer Anforderung ersetzen, die Ziel-URL für eine Anforderung ändern usw. In integriertem Caching legen Aktionen fest, ob HTTP-Antworten aus dem Cache oder einem Ursprungsserver bereitgestellt werden.

In einigen Citrix ADC Funktionen sind Aktionen vordefiniert und in anderen sind sie konfigurierbar. In einigen Fällen (z. B. Umschreiben) konfigurieren Sie die Aktionen mit denselben Ausdruckstypen, die Sie zum Konfigurieren der zugeordneten Richtlinienregel verwenden.

Übersicht über Profile

Mit einigen Citrix ADC Funktionen können Sie Profile oder beide Aktionen und Profile einer Richtlinie zuordnen. Ein Profil ist eine Sammlung von Einstellungen, mit denen das Feature eine komplexe Funktion ausführen kann. Beispielsweise kann ein Profil für XML-Daten in der Anwendungsfirewall mehrere Screening-Vorgänge ausführen, z. B. das Überprüfen der Daten auf unzulässige XML-Syntax oder den Nachweis einer SQL-Injection.

Verwendung von Aktionen und Profilen insbesondere Funktionen

In der folgenden Tabelle wird die Verwendung von Aktionen und Profilen in verschiedenen Citrix ADC Features zusammengefasst. Der Tisch ist nicht erschöpfend. Weitere Informationen zu bestimmten Verwendungszwecken von Aktionen und Profilen für ein Feature finden Sie in der Dokumentation des Features.

Feature Verwendung einer Aktion Verwendung eines Profils
Anwendungs-Firewall Synonym mit einem Profil Alle Anwendungs-Firewall-Funktionen verwenden Profile, um komplexe Verhaltensweisen zu definieren, einschließlich Muster-basiertes Lernen. Sie fügen diese Profile Richtlinien hinzu.
Citrix Gateway Die folgenden Funktionen von Citrix Gateway verwenden Aktionen: Vorauthentifizierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einem Profil hinzu., Autorisierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einer Richtlinie hinzu. TCP-Komprimierung. Verwendet verschiedene Aktionen. Sie fügen diese Aktionen zu einer Richtlinie hinzu. Die folgenden Features verwenden ein Profil: Vorauthentifizierung, Sitzung, Datenverkehr und Clientloser Zugriff. Nachdem Sie die Profile konfiguriert haben, fügen Sie sie den Richtlinien hinzu.
Neuschreiben Sie konfigurieren URL-Umschreibungsaktionen und fügen sie einer Richtlinie hinzu. Nicht benutzt.
Integriertes Caching Konfigurieren von Cache- und Invalidierungsaktionen innerhalb einer Richtlinie Nicht benutzt.
AAA - Verkehrsmanagement Sie wählen einen Authentifizierungstyp aus, legen eine Autorisierungsaktion von ALLOW oder DENY fest oder legen die Überwachung auf SYSLOG oder NSLOG fest. Sie können Sitzungsprofile mit einer standardmäßigen Zeitüberschreitung und Autorisierungsaktion konfigurieren.
Schutzfunktionen Sie konfigurieren Aktionen innerhalb von Richtlinien für die folgenden Funktionen: Filter, Komprimierung, Responder und SureConnect. Nicht benutzt.
SSL Sie konfigurieren Aktionen innerhalb von SSL-Richtlinien Nicht benutzt.
System Die Aktion ist impliziert. Für die Authentifizierungsfunktion ist es entweder Zulassen oder Verweigern. Bei Auditing ist es Auditing On oder Auditing Off. Nicht benutzt.
DNS Die Aktion ist impliziert. Es handelt sich entweder um Drop Packets oder um den Speicherort eines DNS-Servers. Nicht benutzt.
SSL-Offload Die Aktion ist impliziert. Es basiert auf einer Richtlinie, die Sie einem virtuellen SSL-Server oder einem Dienst zuordnen. Nicht benutzt.
Komprimierung Bestimmen Sie den Komprimierungstyp, der auf die Daten angewendet werden soll Nicht benutzt.
Content Switching Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den virtuellen Server geleitet, der der Richtlinie zugeordnet ist. Nicht benutzt.
Cacheumleitung Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den Ursprungsserver weitergeleitet. Nicht benutzt.

Informationen zu Richtlinienbindungen

Eine Richtlinie ist einer Entität zugeordnet oder gebunden, mit der die Richtlinie aufgerufen werden kann. Beispielsweise können Sie eine Richtlinie an die Auswertung der Anforderungszeit binden, die für alle virtuellen Server gilt. Eine Sammlung von Richtlinien, die an einen bestimmten Bindepunkt gebunden sind, stellt eine Richtlinienbank dar.

Im Folgenden finden Sie eine Übersicht über verschiedene Arten von Bindungspunkten für eine Richtlinie:

  • Anforderungszeit global. Eine Richtlinie kann für alle Komponenten in einem Feature zum Anforderungszeitpunkt verfügbar sein.
  • Reaktionszeit global. Eine Richtlinie kann für alle Komponenten eines Features zur Reaktionszeit verfügbar sein.
  • Anforderungszeit, virtuell serverspezifisch.

Eine Richtlinie kann an die Anforderungszeitverarbeitung für einen bestimmten virtuellen Server gebunden werden. Beispielsweise können Sie eine Anforderungszeitrichtlinie an einen virtuellen Cache-Umleitungsserver binden, um sicherzustellen, dass bestimmte Anforderungen an einen virtuellen Lastausgleichsserver für den Cache weitergeleitet werden und andere Anforderungen an einen virtuellen Lastausgleichsserver für den Ursprung gesendet werden.

  • Reaktionszeit, virtuell serverspezifisch. Eine Richtlinie kann auch an die Reaktionszeitverarbeitung für einen bestimmten virtuellen Server gebunden werden.
  • Benutzerdefinierte Richtlinienbezeichnung. Für Advanced Policy Infrastructure (PI) können Sie benutzerdefinierte Gruppierungen von Richtlinien (Richtlinienbanken) konfigurieren, indem Sie ein Policy Label definieren und eine Reihe verwandter Richtlinien unter dem Policy Label sammeln.
  • Andere Bindungspunkte. Die Verfügbarkeit zusätzlicher Bindepunkte hängt von der Art der Richtlinie (klassische oder erweiterte Richtlinien) und den Besonderheiten der relevanten Citrix ADC-Funktion ab. Klassische Richtlinien, die Sie für Citrix Gateway konfigurieren, verfügen beispielsweise über Benutzer- und Gruppen-Bindungspunkte.

Weitere Informationen zu erweiterten Richtlinienbindungen finden Sie unter Binden von Richtlinien, die die erweiterten Richtlinien verwenden, und Konfigurieren einer Richtlinienbank für einen virtuellen Server. Weitere Informationen zu klassischen Richtlinienbindungen finden Sie unter Konfigurieren einer klassischen Richtlinie.

Informationen zur Evaluierungsreihenfolge von Richtlinien

Bei klassischen Richtlinien werden Richtliniengruppen und Richtlinien innerhalb einer Gruppe in einer bestimmten Reihenfolge ausgewertet, je nach den folgenden Kriterien:

  • Der Bindepunkt für die Richtlinie, z. B. ob die Richtlinie an die Anforderungszeitverarbeitung für einen virtuellen Server oder eine globale Antwortzeitverarbeitung gebunden ist. Beispielsweise wertet Citrix ADC zum Anforderungszeitpunkt alle klassischen Richtlinien aus, bevor alle virtuellen serverspezifischen Richtlinien ausgewertet werden.
  • Die Prioritätsstufe für die Richtlinie. Für jeden Punkt im Evaluierungsprozess bestimmt eine Prioritätsstufe, die einer Richtlinie zugewiesen ist, die Reihenfolge der Evaluierung relativ zu anderen Richtlinien, die denselben Bindepunkt haben. Wenn Citrix ADC beispielsweise eine Gruppe virtueller serverspezifischer Richtlinien für die Anforderungszeit auswertet, beginnt er mit der Richtlinie, die dem niedrigsten Prioritätswert zugewiesen ist. Bei klassischen Richtlinien müssen Prioritätsstufen über alle Bindepunkte hinweg eindeutig sein.

Bei erweiterten Richtlinien wählt Citrix ADC wie bei klassischen Richtlinien eine Gruppierung oder Bank von Richtlinien an einem bestimmten Punkt der Gesamtverarbeitung aus. Im Folgenden finden Sie die Reihenfolge der Bewertung der grundlegenden Gruppierungen oder Banken von Advanced Policies:

  1. Globale Anforderungszeitüberschreibung
  2. Anforderungszeit, virtuell serverspezifisch (ein Bindepunkt pro virtueller Server)
  3. Globale Anforderungszeit-Standardeinstellung
  4. Globale Überschreibung der Antwortzeit
  5. Antwortzeit virtuell serverspezifisch
  6. Globaler Standardwert für die Antwortzeit

Innerhalb einer der vorangegangenen Richtliniebanken ist die Reihenfolge der Evaluierung jedoch flexibler als in der klassischen Richtlinie. Innerhalb einer Richtlinienbank können Sie auf die nächste zu bewertende Richtlinie verweisen, unabhängig von der Prioritätsstufe, und Sie können Richtlinienbanken aufrufen, die zu anderen Bindpunkten und benutzerdefinierten Richtlinienbanken gehören.

Reihenfolge der Auswertung basierend auf Verkehrsfluss

Da der Datenverkehr durch den Citrix ADC fließt und von verschiedenen Features verarbeitet wird, führt jedes Feature eine Richtlinienbewertung durch. Wenn eine Richtlinie mit dem Datenverkehr übereinstimmt, speichert das Citrix ADC die Aktion und setzt die Verarbeitung fort, bis die Daten den Citrix ADC verlassen werden. Zu diesem Zeitpunkt wendet Citrix ADC in der Regel alle übereinstimmenden Aktionen an. Integriertes Caching, das nur eine abschließende Cache- oder NoCache-Aktion anwendet, ist eine Ausnahme.

Einige Richtlinien beeinflussen das Ergebnis anderer Richtlinien. Im Folgenden finden Sie Beispiele:

  • Wenn eine Antwort aus dem integrierten Cache bereitgestellt wird, verarbeiten einige andere Citrix ADC Funktionen die Antwort oder die Anforderung, die sie initiiert hat, nicht.
  • Wenn die Inhaltsfilter-Funktion verhindert, dass eine Antwort bereitgestellt wird, wird die Antwort durch keine nachfolgenden Features ausgewertet.

Wenn die Anwendungsfirewall eine eingehende Anforderung ablehnt, können sie von anderen Features nicht verarbeitet werden.