-
Bereitstellen einer Citrix ADC VPX- Instanz
-
Optimieren der Leistung von Citrix ADC VPX auf VMware ESX, Linux KVM und Citrix Hypervisors
-
Citrix ADC VPX-Konfigurationen beim ersten Start der Citrix ADC-Appliance in der Cloud anwenden
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX-Instanz in der VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX-Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Provisioning der Citrix ADC Virtual Appliance mit dem Virtual Machine Manager
-
Konfigurieren von Citrix ADC Virtual Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Provisioning der Citrix ADC Virtual Appliance über das virsh-Programm
-
Provisioning der Citrix ADC Virtual Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen eines VPX-HA-Paar in derselben AWS-Verfügbarkeitszone
-
Bereitstellen eines VPX Hochverfügbarkeitspaars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX-Instanz auf Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen auf Microsoft Azure
-
Mehrere IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs konfigurieren
-
Hochverfügbarkeitssetup mit mehreren IP-Adressen und NICs über PowerShell-Befehle konfigurieren
-
Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke konfigurieren
-
HA-INC-Knoten über die Citrix Hochverfügbarkeitsvorlage mit Azure ILB konfigurieren
-
Citrix ADC VPX-Instanz auf der Azure VMware-Lösung installieren
-
Konfigurieren von GSLB in einem Active-Standby-Hochverfügbarkeitssetup
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Citrix ADC VPX-Instanz auf der Google Cloud Platform bereitstellen
-
Bereitstellung und Konfigurationen von Citrix ADC automatisieren
-
Lösungen für Telekommunikationsdienstleister
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsverkehrs
-
Wie Authentifizierung, Autorisierung und Auditing funktionieren
-
Grundkomponenten der Authentifizierung, Autorisierung und Audit-Konfiguration
-
Lokal Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Authentifizierungs-, Autorisierungs- und Überwachungskonfiguration für häufig verwendete Protokolle
-
-
-
-
Konfigurieren von erweiterten Richtlinienausdrücken: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Zeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream-Analytics-Funktionen
-
Zusammenfassende Beispiele für Standardsyntaxausdrücke und -richtlinien
-
Tutorial Beispiele für Standardsyntaxrichtlinien für Rewrite
-
Migration von Apache mod_rewrite-Regeln auf die Standardsyntax
-
-
-
-
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken für virtuelle Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkte Richtlinieneinschläge auf den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
-
Übersetzen die Ziel-IP-Adresse einer Anfrage in die Ursprungs-IP-Adresse
-
-
Verwalten des Citrix ADC Clusters
-
Knotengruppen für gepunktete und teilweise gestreifte Konfigurationen
-
Entfernen eines Knotens aus einem Cluster, der mit Cluster-Link-Aggregation bereitgestellt wird
-
Überwachen von Fehlern bei der Befehlsausbreitung in einer Clusterbereitstellung
-
VRRP-Interface-Bindung in einem aktiven Cluster mit einem einzigen Knoten
-
-
Konfigurieren von Citrix ADC als nicht-validierenden sicherheitsbewussten Stub-Resolver
-
Jumbo-Frames Unterstützung für DNS zur Handhabung von Reaktionen großer Größen
-
Zwischenspeichern von EDNS0-Client-Subnetzdaten bei einer Citrix ADC-Appliance im Proxymodus
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domänennamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-Adressbasierten Autoscale-Dienstgruppe
-
-
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Angegebene Quell-IP für die Back-End-Kommunikation verwenden
-
Quellport aus einem bestimmten Portbereich für die Back-End-Kommunikation verwenden
-
Quell-IP-Persistenz für Back-End-Kommunikation konfigurieren
-
Lokale IPv6-Linkadressen auf der Serverseite eines Load Balancing-Setups
-
Erweiterte Load Balancing-Einstellungen
-
Allmählich die Belastung eines neuen Dienstes mit virtuellem Server-Level erhöhen
-
Anwendungen vor Verkehrsspitzen auf geschützten Servern schützen
-
Bereinigung von virtuellen Server- und Dienstverbindungen ermöglichen
-
Persistenzsitzung auf TROFS-Diensten aktivieren oder deaktivieren
-
Externe TCP-Integritätsprüfung für virtuelle UDP-Server aktivieren
-
Standortdetails von der Benutzer-IP-Adresse mit der Geolokalisierungsdatenbank abrufen
-
Quell-IP-Adresse des Clients beim Verbinden mit dem Server verwenden
-
Limit für die Anzahl der Anfragen pro Verbindung zum Server festlegen
-
Schwellenwert für die an einen Dienst gebundenen Monitore festlegen
-
Grenzwert für die Bandbreitenauslastung durch Clients festlegen
-
-
-
Lastausgleichs für häufig verwendete Protokolle konfigurieren
-
Anwendungsfall 5: DSR-Modus beim Verwenden von TOS konfigurieren
-
Anwendungsfall 6: Lastausgleich im DSR-Modus für IPv6-Netzwerke mit dem TOS-Feld konfigurieren
-
Anwendungsfall 7: Lastausgleich im DSR-Modus mit IP-over-IP konfigurieren
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Lastausgleich im Inlinemodus konfigurieren
-
Anwendungsfall 10: Lastausgleich von Intrusion-Detection-System-Servern
-
Anwendungsfall 11: Netzwerkverkehr mit Listenrichtlinien isolieren
-
Anwendungsfall 12: Citrix Virtual Desktops für den Lastausgleich konfigurieren
-
Anwendungsfall 13: Citrix Virtual Apps für den Lastausgleich konfigurieren
-
Anwendungsfall 14: ShareFile-Assistent zum Lastausgleich Citrix ShareFile
-
Anwendungsfall 15: Layer-4-Lastausgleich auf der Citrix ADC-Appliance konfigurieren
-
SSL-Offload und Beschleunigung
-
Unterstützung des TLSv1.3-Protokolls wie in RFC 8446 definiert
-
Unterstützungsmatrix für Serverzertifikate auf der ADC-Appliance
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Thales Luna Network Hardwaresicherheitsmodul
-
-
Integration mit IPS oder NGFW als Inline-Geräte
-
-
-
-
CloudBridge Connector-Tunnels zwischen zwei Rechenzentren konfigurieren
-
CloudBridge Connector zwischen Datacenter und AWS Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen einem Rechenzentrum und Azure Cloud konfigurieren
-
CloudBridge Connector Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud konfigurieren
-
-
Konfigurationsdateien in einem Hochverfügbarkeitssetup synchronisieren
-
Hochverfügbarkeitsknoten in verschiedenen Subnetzen konfigurieren
-
Beschränken von Failovers, die durch Routenmonitore im Nicht-INC-Modus verursacht werden
-
HA-Heartbeat-Meldungen auf einer Citrix ADC-Appliance verwalten
-
Citrix ADC in einem Hochverfügbarkeitssetup entfernen und ersetzen
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Integration mit IPS oder NGFW als Inline-Geräte mit SSL-Forward-Proxy
Sicherheitsgeräte wie Intrusion Prevention System (IPS) und Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte können den Live-Datenverkehr überprüfen und werden in der Regel im Layer 2-Inline-Modus bereitgestellt. Die SSL-Forward-Proxy-Appliance bietet Sicherheit für Benutzer und das Unternehmensnetzwerk beim Zugriff auf Ressourcen im Internet.
Eine SSL-Forward-Proxy-Appliance kann mit einem oder mehreren Inline-Geräten integriert werden, um Bedrohungen zu verhindern und erweiterten Sicherheitsschutz zu bieten. Bei den Inline-Geräten kann es sich um ein beliebiges Sicherheitsgerät wie IPS und NGFW handeln.
Einige Anwendungsfälle, in denen Sie von der SSL-Forward-Proxy-Appliance und der Inline-Geräteintegration profitieren können, sind:
-
Überprüfen des verschlüsselten Datenverkehrs: Die meisten IPS- und NGFW-Appliances umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe werden können. Eine SSL-Forward-Proxy-Appliance kann den Datenverkehr entschlüsseln und ihn zur Überprüfung an die Inline-Geräte senden. Diese Integration erhöht die Netzwerksicherheit des Kunden.
-
Entladen von Inline-Geräten aus der TLS/SSL -Verarbeitung: Die TLS/SSL -Verarbeitung ist teuer, was zu einer hohen CPU-Auslastung in IPS- oder NGFW-Appliances führen kann, wenn sie auch den Datenverkehr entschlüsseln. Eine SSL-Forward-Proxy-Appliance hilft beim Auslagern von TLS/SSL-Verarbeitung von Inline-Geräten. Inline-Geräte können daher ein höheres Verkehrsaufkommen untersuchen.
-
Inline-Geräte für den Ladeausgleich: Wenn Sie mehrere Inline-Geräte für die Verwaltung des hohen Datenverkehrs konfiguriert haben, kann eine SSL-Forward-Proxy-Appliance einen Lastausgleich durchführen und den Datenverkehr gleichmäßig auf diese Geräte verteilen.
-
Intelligente Auswahl des Datenverkehrs: Statt den gesamten Datenverkehr zur Inspektion an das Inline-Gerät zu senden, führt die Appliance eine intelligente Auswahl des Datenverkehrs durch. Beispielsweise wird das Senden von Textdateien zur Überprüfung an die Inline-Geräte übersprungen.
SSL-Forward-Proxy-Integration mit Inline-Geräten
Das folgende Diagramm zeigt, wie ein SSL-Forward-Proxy in Inline-Sicherheitsgeräte integriert ist.
Wenn Sie Inline-Geräte mit der SSL Forward-Proxy-Appliance integrieren, interagieren die Komponenten wie folgt:
-
Ein Client sendet eine Anforderung an eine SSL-Forward-Proxy-Appliance.
-
Die Appliance sendet die Daten an das Inline-Gerät zur Inhaltsüberprüfung basierend auf der Richtlinienbewertung. Bei HTTPS-Datenverkehr entschlüsselt die Appliance die Daten und sendet sie zur Inhaltsüberprüfung im Klartext an das Inline-Gerät.
Hinweis:
Wenn zwei oder mehr Inline-Geräte vorhanden sind, gleicht die Appliance die Geräte aus und sendet den Datenverkehr.
- Fügen Sie einen virtuellen Content Switching- oder HTTP/HTTPS-Load Balancing-Server hinzu.
- Das Inline-Gerät prüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance gesendet werden sollen.
- Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.
- Bei HTTPS-Datenverkehr verschlüsselt die Appliance die Daten erneut und leitet die Anforderung an den Back-End-Server weiter.
- Der Back-End-Server sendet die Antwort an die Appliance.
- Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.
- Das Inline-Gerät prüft die Daten. Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.
- Die Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client.
Konfigurieren der Inline-Geräteintegration
Sie können eine SSL-Forward-Proxy-Appliance mit einem Inline-Gerät auf drei verschiedene Arten konfigurieren:
Szenario 1: Verwenden eines einzelnen Inline-Geräts
Um ein Sicherheitsgerät (IPS oder NGFW) in den Inline-Modus zu integrieren, müssen Sie die Inhaltsinspektion und die MAC-basierte Weiterleitung (MBF) im globalen Modus auf der SSL-Forward-Proxy-Appliance aktivieren. Fügen Sie anschließend ein Inhaltsinspektionsprofil, einen TCP-Dienst, eine Inhaltsüberprüfungsaktion für Inline-Geräte hinzu, um den Datenverkehr basierend auf der Inspektion zurückzusetzen, zu blockieren oder zu löschen. Fügen Sie außerdem eine Richtlinie zur Inhaltsüberprüfung hinzu, die von der Appliance verwendet wird, um die Teilmenge des Datenverkehrs zu bestimmen, die an die Inline-Geräte gesendet werden soll. Konfigurieren Sie schließlich den virtuellen Proxyserver mit aktivierter Layer-2-Verbindung auf dem Server und binden Sie die Inhaltsüberprüfungsrichtlinie an diesen virtuellen Proxyserver.
Gehen Sie wie folgt vor:
- Aktivieren Sie den MAC-basierten Weiterleitungsmodus (MPF).
- Aktivieren Sie die Funktion zur Inhaltsüberprüfung.
- Fügen Sie ein Inhaltsinspektionsprofil für den Service hinzu. Das Content-Inspektionsprofil enthält die Inline-Geräteeinstellungen, die die SSL-Forward-Proxy-Appliance mit einem Inline-Gerät integrieren.
-
(Optional) Fügen Sie einen TCP-Monitor hinzu.
Hinweis:
Transparente Geräte haben keine IP-Adresse. Um Integritätsprüfungen durchzuführen, müssen Sie daher einen Monitor explizit binden.
- Fügen Sie einen Dienst hinzu. Ein Dienst stellt ein Inline-Gerät dar.
- (Optional) Binden Sie den Dienst an den TCP-Monitor.
- Fügen Sie eine Inhaltsinspektionsaktion für den Service hinzu.
- Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu, und geben Sie die Aktion an.
- Fügen Sie einen virtuellen HTTP- oder HTTPS-Proxyserver (Content Switching) hinzu.
- Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.
Konfiguration mit der CLI
Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach den meisten Befehlen angegeben.
- MBF aktivieren.
enable ns mode mbf
- Aktivieren Sie das Feature.
enable ns feature contentInspection
- Fügen Sie ein Inhaltsinspektionsprofil hinzu.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile ipsprof -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
- Fügen Sie einen Dienst hinzu. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie
use source IP address
(USIP) auf YES. Setzen Sieuseproxyport
auf NO. Standardmäßig ist die Systemüberwachung ON, binden Sie den Dienst an einen Integritätsmonitor und legen Sie auch die Option TRANSPARENT im Monitor ON fest.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor YES -usip YES –useproxyport NO
Beispiel:
add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
-
Fügen Sie einen Integritätsmonitor hinzu. Standardmäßig ist der Integritätsmonitor aktiviert und Sie haben auch die Möglichkeit, ihn bei Bedarf zu deaktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>
Beispiel:
add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES
- Binden Sie den Dienst an den Integritätsmonitor
Nachdem Sie den Integritätsmonitor konfiguriert haben, müssen Sie den Dienst an den Integritätsmonitor binden. Geben Sie an der Eingabeaufforderung Folgendes ein:
bind service <name> -monitorName <name>
Beispiel:
bind service ips_svc -monitorName ips_tcp
- Fügen Sie eine Inhaltsüberprüfungsaktion hinzu.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Beispiel:
add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
- Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu.
add contentInspection policy <name> -rule <expression> -action <string>
Beispiel:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Fügen Sie einen virtuellen Proxyserver hinzu.
add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
Hinweis:
Der Lastausgleich virtueller Server vom Typ HTTP/SSL wird ebenfalls unterstützt.
Beispiel:
add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
- Binden Sie die Richtlinie an den virtuellen Server.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
Beispiel:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Konfigurieren Sie mit der GUI
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.
-
Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.
-
Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.
-
Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.
-
Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.
-
Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.
-
Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servernameden zuvor erstellten TCP-Dienst aus.
-
Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
Szenario 2: Lastausgleich mehrerer Inline-Geräte mit dedizierten Schnittstellen
Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit dedizierten Schnittstellen ausgleichen. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine dedizierte Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.
Die Basiskonfiguration bleibt dieselbe wie in Szenario 1. Sie müssen jedoch für jedes Inline-Gerät ein Inhaltsinspektionsprofil erstellen und die Eingangs- und Ausgangsschnittstelle in jedem Profil angeben. Fügen Sie einen Dienst für jedes Inline-Gerät hinzu. Fügen Sie einen virtuellen Lastausgleichsserver hinzu, und geben Sie ihn in der Inhaltsüberprüfungsaktion an. Führen Sie die folgenden zusätzlichen Schritte aus:
- Fügen Sie Content-Inspektionsprofile für jeden Service hinzu.
- Fügen Sie einen Dienst für jedes Gerät hinzu.
- Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.
- Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.
Konfiguration mit der CLI
Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.
- MBF aktivieren.
enable ns mode mbf
- Aktivieren Sie das Feature.
enable ns feature contentInspection
- Profil 1 für Service 1 hinzufügen.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
- Profil 2 für Service 2 hinzufügen.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
- Service 1 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie
use source IP address
(USIP) auf YES. Setzen Sieuseproxyport
auf NO. Schalten Sie die Zustandsüberwachung mit dem TCP-Monitor mit der Option TRANSPARENT ein.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Beispiel:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- Service 2 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie
use source IP address
(USIP) auf YES. Setzen Sieuseproxyport
auf NO. Schalten Sie die Zustandsüberwachung mit der Option TRANSPARENT ein.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Beispiel:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.
add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
Beispiel:
add lb vserver lb_inline_vserver TCP 192.0.2.100 *
- Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.
bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
Beispiel:
bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
- Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Beispiel:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.
add contentInspection policy <name> -rule <expression> -action <string>
Beispiel:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Fügen Sie einen virtuellen Proxyserver hinzu.
add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
Beispiel:
add cs vserver transparentcs PROXY * * -l2Conn ON
- Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
Beispiel:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Konfiguration über die GUI
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.
-
Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.
Geben Sie die Eingangs- und Ausgangsschnittstellen an.
Erstellen Sie zwei Profile. Geben Sie im zweiten Profil eine andere Eingangs- und Ausgangsschnittstelle an.
-
Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.
Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte.
-
Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.
Klicken Sie auf OK.
-
Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.
-
Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.
-
Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.
-
Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.
-
Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.
-
Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.
-
Klicken Sie auf Bind.
-
Klicken Sie auf Fertig.
Szenario 3: Lastausgleich mehrerer Inline-Geräte mit gemeinsamen Schnittstellen
Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit gemeinsam genutzten Schnittstellen ausgleichen. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine gemeinsame Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.
Die Basiskonfiguration bleibt dieselbe wie in Szenario 2. Binden Sie für dieses Szenario die Schnittstellen an verschiedene VLANs, um den Datenverkehr für jedes Inline-Gerät zu trennen. Geben Sie die VLANs in den Content-Inspektionsprofilen an. Führen Sie die folgenden zusätzlichen Schritte aus:
-
Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.
-
Geben Sie die Ein- und Ausgangs-VLANs in den Content-Inspektionsprofilen an.
Konfiguration über die CLI
Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.
- MBF aktivieren.
enable ns mode mbf
- Aktivieren Sie das Feature.
enable ns feature contentInspection
-
Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.
bind vlan <id> -ifnum <interface> -tagged
Beispiel:
bind vlan 100 –ifnum 1/2 tagged
bind vlan 200 –ifnum 1/3 tagged
bind vlan 300 –ifnum 1/2 tagged
bind vlan 400 –ifnum 1/3 tagged
<!--NeedCopy-->
- Profil 1 für Service 1 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile ipsprof1 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 100 -ingressVlan 300
- Profil 2 für Service 2 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.
add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
Beispiel:
add contentInspection profile ipsprof2 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 200 -ingressVlan 400
- Service 1 hinzufügen.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Beispiel:
add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
- Service 2 hinzufügen.
add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO
Beispiel:
add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
- Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.
add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
Beispiel:
add lb vserver lb_inline_vserver TCP 192.0.2.100 *
- Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.
bind lb vserver <LB_VSERVER_NAME> <service_name>
bind lb vserver <LB_VSERVER_NAME> <service_name>
Beispiel:
bind lb vserver lb_inline_vserver ips_service1
bind lb vserver lb_inline_vserver ips_service2
- Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.
add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
Beispiel:
add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
- Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.
add contentInspection policy <name> -rule <expression> -action <string>
Beispiel:
add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action
- Fügen Sie einen virtuellen Proxyserver hinzu.
add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
Beispiel:
add cs vserver transparentcs PROXY * * -l2Conn ON
- Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.
bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
Beispiel:
bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
Konfiguration über die GUI
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.
-
Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.
-
Navigieren Sie zu System > Netzwerk > VLANs > Hinzufügen. Fügen Sie vier VLANs hinzu und markieren Sie sie den Schnittstellen.
-
Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.
Geben Sie die Ein- und Aus-VLANs an.
Erstellen Sie weitere Profile. Geben Sie im zweiten Profil ein anderes Ingress- und Egress-VLAN an.
-
Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest.
Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte. Geben Sie Profil 1 in Dienst 1 und Profil 2 in Dienst 2 an.
-
Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.
- Klicken Sie auf OK.
-
Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.
-
Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.
-
Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.
-
Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.
-
Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.
-
Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.
- Klicken Sie auf Bind.
- Klicken Sie auf Fertig.
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.