ADC

Erweiterte Infrastruktur für Richtlinien

Die erweiterte Richtlinieninfrastruktur ermöglicht es Ihnen, viele Daten zu analysieren (z. B. den Text einer HTTP-Anforderung) und viele Operationen in der Richtlinienregel zu konfigurieren (z. B. die Umwandlung von Daten im Hauptteil einer Anforderung in einen HTTP-Header). Sie müssen die Richtlinie an einen bestimmten Punkt in der Verarbeitung binden, der den NetScaler-Funktionen zugeordnet ist. Der Bindepunkt ist ein Faktor, der bestimmt, wann die Richtlinie bewertet wird.

Vorteile der Verwendung erweiterter Richtlinien

Erweiterte Richtlinien verwenden eine leistungsstarke Ausdruckssprache, die auf einem Klassenobjektmodell basiert, und sie bieten mehrere Optionen, mit denen Sie das Verhalten verschiedener NetScaler-Funktionen konfigurieren können. Mit einer erweiterten Richtlinieninfrastruktur können Sie Folgendes tun:

  • Führen Sie feinkörnige Analysen des Netzwerkverkehrs aus den Layern 2 bis 7 durch.
  • Bewerten Sie einen beliebigen Teil des Headers oder des Hauptteils einer HTTP- oder HTTPS-Anforderung oder -Antwort.
  • Binden Sie Richtlinien an die mehreren Bindepunkte, die die erweiterte Richtlinieninfrastruktur auf Standard-, Override- und virtueller Serverebene unterstützt.
  • Verwenden Sie spezielle Tools wie Mustersätze, Policy-Labels, Ratenlimit-IDs, HTTP-Callouts und Variablen, mit denen Sie Richtlinien effektiv für komplexe Anwendungsfälle konfigurieren können.

Außerdem erweitert das Konfigurationsprogramm die robuste GUI-Unterstützung für erweiterte Richtlinieninfrastrukturen und Ausdrücke und ermöglicht Benutzern mit begrenzten Kenntnissen von Netzwerkprotokollen, Richtlinien schnell und einfach zu konfigurieren. Das Konfigurationsprogramm enthält auch eine Funktion zur Richtlinienbewertung für erweiterte Richtlinien. Sie können diese Funktion verwenden, um eine erweiterte Richtlinie zu evaluieren und ihr Verhalten zu testen, bevor Sie sie festlegen, wodurch das Risiko von Konfigurationsfehlern reduziert wird.

Grundkomponenten einer erweiterten Richtlinie

Im Folgenden sind einige Merkmale einer erweiterten Richtlinie aufgeführt:

  • Name. Jede Richtlinie hat einen eindeutigen Namen.

  • Regel. Die Regel ist ein logischer Ausdruck, mit dem die NetScaler-Funktion einen Datenverkehr oder ein anderes Objekt auswerten kann. Beispielsweise kann eine Regel dem NetScaler ermöglichen, zu bestimmen, ob eine HTTP-Anforderung von einer bestimmten IP-Adresse stammt oder ob ein Cache-Control-Header in einer HTTP-Anforderung den Wert “Kein Cache” hat.

  • Bindungen. Um sicherzustellen, dass der NetScaler bei Bedarf eine Richtlinie aufrufen kann, verknüpfen Sie die Richtlinie oder binden sie mit einem oder mehreren Verbindungspunkten.

    Sie können eine Richtlinie global oder an einen virtuellen Server binden. Weitere Informationen finden Sie unter Informationen zu Richtlinienbindungen.

  • Eine zugeordnete Aktion. Eine Aktion ist eine von einer Richtlinie getrennte Einheit. Die Richtlinienbewertung führt letztendlich dazu, dass der NetScaler eine Aktion ausführt.

    Beispielsweise kann eine Richtlinie im integrierten Cache HTTP-Anfragen für GIF- oder JPEG-Dateien identifizieren. Eine Aktion, die Sie dieser Richtlinie zuordnen, bestimmt, dass die Antworten auf diese Arten von Anfragen aus dem Cache bedient werden.

Für einige Funktionen konfigurieren Sie Aktionen als Teil eines komplexeren Befehls, der als Profil bezeichnet wird.

Wie verschiedene NetScaler-Funktionen Richtlinien verwenden

Der NetScaler unterstützt verschiedene Funktionen, die auf Betriebsrichtlinien beruhen. In der folgenden Tabelle wird zusammengefasst, wie die NetScaler-Funktionen Richtlinien verwenden.

Featurename So verwenden Sie Richtlinien in der Funktion
Rewrite Um die Daten zu identifizieren, die Sie vor der Bereitstellung ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung basierend auf der Adresse der eingehenden Anforderung an eine neue Homepage oder einen neuen Server oder einen ausgewählten Server umzuleiten, oder Sie können die Daten ändern, um Serverinformationen in einer Antwort aus Sicherheitsgründen zu maskieren. Die Funktion URL Transformer identifiziert URLs in HTTP-Transaktionen und Textdateien, um zu bewerten, ob eine URL transformiert werden muss.
Responder Um das Verhalten der Responder-Funktion zu konfigurieren. Eine Responder Policy basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Regel ist mit einer Aktion verknüpft, die ausgeführt wird, wenn eine Anforderung der Regel entspricht.
Content Switching Um anhand der Merkmale einer eingehenden Anforderung zu ermitteln, welcher Server oder welche Servergruppe für die Bearbeitung von Antworten verantwortlich ist. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver.
Cacheumleitung Um festzustellen, ob Antworten von einem Cache oder von einem Ursprungsserver aus bedient werden.
Steuerung der Kompression Um zu bestimmen, welche Art von Verkehr komprimiert werden muss.
DNS Um verschiedene Teile von DNS-Anfragen und Antworten zu ändern
Clientloser VPN-Zugriff Um zu bestimmen, wie das NetScaler Gateway Authentifizierung, Autorisierung, Überwachung und andere Funktionen durchführt, und definieren Rewriteregeln für den allgemeinen Webzugriff mit dem NetScaler Gateway.
Zwischenspeichern Um zu bestimmen, ob eine Antwort vom Cache oder vom Originalserver bereitgestellt werden soll.
Richtlinie zur URL-Transformation Um die Anfragen und Antworten auszuwählen, die der NetScaler mithilfe des URL-Transformationsprofils transformieren muss.
Anwendungsfirewallrichtlinie Um verschiedenen Arten von Webinhalten unterschiedliche Filterregeln zuzuweisen.
Autorisierung Um Zugriff auf die angeforderten Inhalte zu ermöglichen, ohne unnötige Details über die tatsächliche Konfiguration der Website preiszugeben.
TM-Verkehr Um die Eigenschaften (wie Verbindungstimeout, Single Sign-On und Initiierung der Abmeldung) des Anwendungsdatenverkehrs zur Laufzeit festzulegen.
TM-Sitzung Um Benutzersitzungen anzupassen, nachdem sich der Benutzer am virtuellen Autorisierungs-, Autorisierungs- und Kontoführungsserver angemeldet hat.
SSL-Richtlinien Um ein Steuerelement oder eine Datenaktion zu definieren, die auf Anfragen ausgeführt werden soll. SSL-Richtlinien können daher als Kontrollrichtlinien und Datenrichtlinien kategorisiert werden. Eine Steuerungsrichtlinie verwendet eine Steuerungsaktion, z. B. das Erzwingen der Clientauthentifizierung. Eine Datenrichtlinie verwendet eine Datenaktion, z. B. das Einfügen einiger Daten in die Anforderung.
Autoscale Um die Anzahl der virtuellen Server gemäß den definierten Bedingungen nahtlos und automatisch nach oben oder unten zu skalieren.
AppFlow Damit NetScaler Flussdaten in Erfassungstools exportieren kann, die häufig für Netzwerk- oder Sicherheitsanalysen verwendet werden.
Optimierung von Inhalten Um die Transaktionszeiten zwischen den Clients und den Servern zu reduzieren und den Bandbreitenverbrauch zu reduzieren. Auch um die Serverleistung zu verbessern, indem einige Aufgaben ausgelagert und andere effizienter gestaltet werden.
Überlauf Um eine NetScaler-Regel zu verwenden, um die Bedingungen für das Auftreten von Spillover anzugeben. Die Regeln geben Ihnen die Flexibilität, den Spillover für verschiedene Betriebsbedingungen zu konfigurieren.
ICA Um eine ICAP-Anfrage dynamisch zu generieren, empfangen Sie die ICAP-Antwort und protokollieren Sie die Inhaltsprüfungsdaten.
VPN-Sitzung Auf einem NetScaler Gateway, um Endpoint Analysis (EPA) so zu konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, und dem Benutzer entsprechend Zugriff auf interne Ressourcen gewährt wird.
VPN-Verkehr Auf einem NetScaler Gateway, um Endpoint Analysis (EPA) so zu konfigurieren, dass überprüft wird, ob ein Benutzergerät bestimmte Sicherheitsanforderungen erfüllt, und dem Benutzer entsprechend Zugriff auf interne Ressourcen gewährt wird.
Syslog Um zu definieren, welche Meldungen auf dem angegebenen Syslog-Server protokolliert werden sollen.
nslog Um zu definieren, welche Nachrichten auf dem angegebenen nslog-Server protokolliert werden sollen.
Erkennung der Videooptimierung Um eine benutzerdefinierte Bezeichnung für die Erkennungsrichtlinie zur Videooptimierung zu erstellen, an die Sie Erkennungsrichtlinien binden können. Ein Policy-Label ist ein Tool zur Bewertung einer Reihe von Richtlinien in einer bestimmten Reihenfolge. Mithilfe einer Richtlinienbezeichnung können Sie die Videooptimierungsfunktion so konfigurieren, dass sie die nächste Richtlinie auswählt, eine andere Richtlinienbezeichnung aufruft oder eine Richtlinienbewertung vollständig beendet, indem Sie überprüfen, ob die vorherige Richtlinie als WAHR oder FALSCH bewertet wurde.
Tunneling Um die Art der Komprimierung zu definieren, die für den getunnelten Verkehr verwendet werden soll.
Prüfung der Inhalte Um Anforderungen anzugeben, die der NetScaler ADC abfängt und die angegebene Aktion ausführt.
VPN-URL Um einen Lesezeichen-Link zu einer externen oder internen Ressource zu erstellen, der auf dem Access Interface je nach Typ als Website-Link oder Dateifreigabelink angezeigt wird.
Bot Um ein benutzerdefiniertes Bot-Richtlinienlabel zu erstellen, an das Sie Richtlinien binden können. Ein Policy-Label ist ein Tool zur Bewertung einer Reihe von Richtlinien in einer bestimmten Reihenfolge. Mithilfe einer Richtlinienbezeichnung können Sie die Responder-Funktion so konfigurieren, dass sie die nächste Richtlinie auswählt, eine andere Richtlinienbezeichnung aufruft oder eine Richtlinienbewertung vollständig beendet, indem Sie überprüfen, ob die vorherige Richtlinie als WAHR oder FALSCH bewertet wurde.
Richtlinie für VPN-Intranet-Anwendungen Um Intranetanwendungen zu definieren, auf die über ein NetScaler Gateway zugegriffen werden soll.
SmartAccess Um ein ICA-Zugriffsprofil zu erstellen, das den Status der Funktionen angibt (Standard oder Deaktiviert).
Lastausgleich Um zu definieren, wie die Clientverbindungen auf die von ihm verwalteten Server mit Lastenausgleich verteilt werden.

Über Aktionen und Profile

Richtlinien selbst ergreifen keine Maßnahmen in Bezug auf Daten. Richtlinien bieten schreibgeschützte Logik für die Auswertung des Datenverkehrs. Damit eine Funktion einen Vorgang basierend auf einer Richtlinienbewertung ausführen kann, konfigurieren Sie Aktionen oder Profile und verknüpfen sie mit Richtlinien.

Hinweis:

Aktionen und Profile sind spezifisch für bestimmte Funktionen. Informationen zum Zuweisen von Aktionen und Profilen zu Funktionen finden Sie in der Dokumentation für die einzelnen Funktionen.

Über Aktionen

Aktionen sind Schritte, die der NetScaler abhängig von der Auswertung des Ausdrucks in der Richtlinie durchführt. Wenn beispielsweise ein Ausdruck in einer Richtlinie mit einer bestimmten Quell-IP-Adresse in einer Anforderung übereinstimmt, bestimmt die Aktion, die dieser Richtlinie zugeordnet ist, ob die Verbindung zulässig ist.

Die Arten von Aktionen, die der NetScaler ausführen kann, sind funktionsspezifisch. In Rewrite können Aktionen beispielsweise Text in einer Anforderung ersetzen, die Ziel-URL für eine Anforderung ändern usw. Im integrierten Caching bestimmen Aktionen, ob HTTP-Antworten aus dem Cache oder einem Ursprungsserver bereitgestellt werden.

In einigen NetScaler-Funktionen sind Aktionen vordefiniert, in anderen sind sie konfigurierbar. In einigen Fällen (z. B. Rewrite) konfigurieren Sie die Aktionen mithilfe derselben Ausdruckstypen, die Sie für die Konfiguration der zugehörigen Richtlinienregel verwenden.

Hinweis:

Nicht alle Kombinationen aus Feature, Protokoll, Richtung und Entität sind gültig.

Übersicht über Profile

Mit einigen NetScaler-Funktionen können Sie Profile oder sowohl Aktionen als auch Profile einer Richtlinie zuordnen. Ein Profil ist eine Sammlung von Einstellungen, die es der Funktion ermöglichen, eine komplexe Funktion auszuführen. In der Anwendungsfirewall kann ein Profil für XML-Daten beispielsweise mehrere Überprüfungsvorgänge ausführen, z. B. die Untersuchung der Daten auf illegale XML-Syntax oder Hinweise auf eine SQL-Einschleusung.

Informationen zu Richtlinienbindungen

Eine Richtlinie ist einer Entität zugeordnet oder an eine Entität gebunden, die das Aufrufen der Richtlinie ermöglicht. Beispielsweise können Sie eine Richtlinie an die Auswertung der Anforderungszeit binden, die für alle virtuellen Server gilt. Eine Sammlung von Richtlinien, die an einen bestimmten Bindepunkt gebunden sind, bildet eine Richtlinienbank.

Im Folgenden finden Sie eine Übersicht über die verschiedenen Arten von Bindepunkten für eine Richtlinie:

  • Globale Uhrzeit anfordern. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Anforderungszeit verfügbar sein.
  • Reaktionszeit global. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Reaktionszeit verfügbar sein.
  • Anforderungszeit, spezifisch für virtuelle Server. Eine Richtlinie kann an die Anforderungszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein. Sie können beispielsweise eine Richtlinie für die Anforderungszeit an einen virtuellen Cache-Umleitungsserver binden, um sicherzustellen, dass bestimmte Anforderungen an einen virtuellen Lastausgleichsserver für den Cache weitergeleitet werden und andere Anforderungen an einen virtuellen Lastausgleichsserver für den Ursprung gesendet werden.
  • Reaktionszeit, spezifisch für virtuelle Server. Eine Richtlinie kann auch an die Reaktionszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein.
  • Benutzerdefinierte Richtlinienbezeichnung. Für eine erweiterte Richtlinieninfrastruktur können Sie benutzerdefinierte Gruppierungen von Richtlinien (Richtlinienbanken) konfigurieren, indem Sie ein Policy-Label definieren und eine Reihe verwandter Richtlinien unter dem Policy-Label sammeln.
  • Andere Bindungspunkte. Die Verfügbarkeit zusätzlicher Bindepunkte hängt von der Art der erweiterten Richtlinie und den Besonderheiten der jeweiligen NetScaler-Funktion ab.

Weitere Informationen zu erweiterten Richtlinienbindungen finden Sie unter Bindungsrichtlinien, die das Thema “Erweiterte Richtlinien” verwenden .

Informationen zur Evaluierungsreihenfolge von Richtlinien

Die Funktionen im NetScaler werden in einer bestimmten Reihenfolge verarbeitet, was die Auswertung der Richtlinien für die Funktion und die Ausführung der ausgewählten Aktionen umfasst. Weitere Informationen finden Sie unter Paketfluss.

Zu jedem Zeitpunkt der Nachrichtenverarbeitung wird die Richtlinienbewertung in Abhängigkeit von der folgenden Kombination durchgeführt:

  • Protokoll (z. B. HTTP, SIP, TCP oder Diameter)
  • Richtung (Anfrage oder Antwort)
  • Funktion (wie Rewrite, Responder oder Bot)

Die Kombinationen können nicht verwechselt werden. Richtlinien werden in Gruppen von Richtlinien, die als Banken bezeichnet werden (auch Policy Label oder Bind Points genannt), in der folgenden Reihenfolge bewertet:

  1. Globale Außerkraftsetzung
  2. Spezifischer virtueller LB-Server verwendet
  3. Wenn ein bestimmter virtueller CS-Server verwendet wird
  4. Globaler Standard

Innerhalb einer Bank werden die Richtlinien von der niedrigsten bis zur höchsten Priorität bewertet. Wenn eine Richtlinienregel als falsch bewertet wird, geht die Bewertung automatisch zur nächsthöheren nummerierten Priorität in derselben Bank über. Wenn es in derselben Bank keine Richtlinienregeln gibt, wird die erste Richtlinie der nächsten Bank in der Reihenfolge bewertet. Wenn es keine Richtlinien mehr gibt, endet die Richtlinienbewertung. Wenn eine Richtlinienregel als wahr bewertet wird, wird die entsprechende Aktion oder das entsprechende Profil für eine mögliche spätere Ausführung gespeichert.

Wenn die Richtlinie als wahr bewertet wird, wird der Wert “gotoPriorityExpression” überprüft. Wenn “gotoPriorityExpression” auf “END” gesetzt ist, wird die Richtlinienbewertung beendet. Bei “NEXT” wird die nächste Richtlinie (wie oben beschrieben) ausgewertet. Wenn es sich um einen Ausdruck handelt, wird dieser Ausdruck ausgewertet und als Nächstes die Richtlinie mit dieser Priorität ausgewählt.

Hinweis

Der Standardwert für “gotoPriorityExpression” mit Ausnahme von Richtlinienbezeichnungen ist “END”. Für einige Funktionen, die alle Aktionen ausführen können, empfehlen wir jedoch, den Wert “gotoPriorityExpression” explizit anzugeben.

Sobald die Richtlinienbewertung beendet ist, führt die Funktion die geordnete Liste der Aktionen oder Profile aus. Die Funktionen führen entweder alle Aktionen aus (z. B. Rewrite) oder eine Aktion (z. B. Responder oder Bot). Wenn einer Funktion, die nur eine Aktion oder ein Profil ausführen kann, mehr als eine Aktion oder ein Profil zugeordnet sind, wird standardmäßig die letzte ausgeführt. Wenn keine Aktionen oder Profile ausgewählt sind, führt die Funktion ihre Standardaktion aus.

Reihenfolge der Bewertung basierend auf dem Verkehrsfluss

Einige Richtlinien wirken sich auf das Ergebnis anderer Richtlinien aus. Es folgen Beispiele:

  • Wenn eine Antwort aus dem integrierten Cache bereitgestellt wird, verarbeiten einige andere NetScaler-Funktionen die Antwort oder die Anforderung, die sie initiiert hat, nicht.

  • Wenn die Anwendungsfirewall eine eingehende Anforderung ablehnt, können sie von anderen Features nicht verarbeitet werden.

  • Die meisten Aktionen, die vom Responder ausgeführt werden, beenden die weitere Verarbeitung.

  • Die von Rewrite ausgeführten Aktionen “Löschen” und “Zurücksetzen” beenden die weitere Verarbeitung.