Erweiterte Infrastruktur für Richtlinien
Warnung
Klassische Richtlinienausdrücke sind ab NetScaler 12.0 Build 56.20 veraltet. Alternativ empfiehlt Citrix die Verwendung von erweiterten Richtlinien. Weitere Informationen finden Sie unter Erweiterte Richtlinien
Die erweiterte Richtlinieninfrastruktur (PI) ermöglicht es Ihnen, mehr Daten zu analysieren (z. B. den Hauptteil einer HTTP-Anforderung) und weitere Vorgänge in der Richtlinienregel zu konfigurieren (z. B. die Umwandlung von Daten im Hauptteil einer Anforderung in einen HTTP-Header).
Zusätzlich zum Zuweisen einer Richtlinie eine Aktion oder ein Profil binden Sie die Richtlinie an einen bestimmten Punkt in der Verarbeitung, der den NetScaler Features zugeordnet ist. Der Bindepunkt ist ein Faktor, der bestimmt, wann die Richtlinie bewertet wird.
Vorteile der Verwendung erweiterter Richtlinien
Erweiterte Richtlinienrichtlinien verwenden eine leistungsstarke Ausdruckssprache, die auf einem Klassenobjektmodell basiert, und sie bieten verschiedene Optionen, mit denen Sie das Verhalten verschiedener NetScaler-Funktionen konfigurieren können. Mit Advanced Policy Infrastructure (PI) können Sie Folgendes tun:
- Führen Sie feinkörnige Analysen des Netzwerkverkehrs aus den Layern 2 bis 7 durch.
- Bewerten Sie einen beliebigen Teil des Headers oder des Hauptteils einer HTTP- oder HTTPS-Anforderung oder -Antwort.
- Binden Sie Richtlinien an die mehreren Bindepunkte, die die Advanced Policy Infrastructure (PI) auf Standard-, Override- und virtuellen Serverebene unterstützt.
- Verwenden Sie goto Ausdrücke, um die Steuerung an andere Richtlinien zu übertragen und Punkte zu binden, die durch das Ergebnis der Ausdrucksauswertung bestimmt werden.
- Verwenden Sie spezielle Tools wie Mustersätze, Richtlinienbeschriftungen, Ratengrenzbezeichner und HTTP-Callouts, mit denen Sie Richtlinien für komplexe Anwendungsfälle effektiv konfigurieren können.
Außerdem erweitert das Konfigurationsdienstprogramm die robuste Unterstützung der grafischen Benutzeroberfläche für erweiterte Richtlinieninfrastruktur (PI) und Ausdrücke und ermöglicht Benutzern, die über eingeschränkte Kenntnisse in Netzwerkprotokollen verfügen, Richtlinien schnell und einfach zu konfigurieren. Das Konfigurationsdienstprogramm enthält auch eine Funktion zur Richtlinienauswertung für erweiterte Richtlinien Sie können diese Funktion verwenden, um eine erweiterte Richtlinie auszuwerten und ihr Verhalten zu testen, bevor Sie sie festlegen, wodurch das Risiko von Konfigurationsfehlern reduziert wird.
Grundkomponenten einer erweiterten Richtlinie
Im Folgenden sind einige Merkmale einer erweiterten Richtlinie aufgeführt:
-
Name. Jede Richtlinie hat einen eindeutigen Namen.
-
Regel. Die Regel ist ein logischer Ausdruck, mit dem die NetScaler-Funktion einen Datenverkehr oder ein anderes Objekt auswerten kann. Beispielsweise kann eine Regel dem NetScaler ermöglichen, zu bestimmen, ob eine HTTP-Anforderung von einer bestimmten IP-Adresse stammt oder ob ein Cache-Control-Header in einer HTTP-Anforderung den Wert “Kein Cache” hat.
Erweiterte Richtlinien können alle Ausdrücke verwenden, die in einer klassischen Richtlinie verfügbar sind, mit Ausnahme klassischer Ausdrücke für den SSL-VPN-Client. Darüber hinaus ermöglichen Ihnen erweiterte Richtlinien die Konfiguration komplexerer Ausdrücke.
- Bindungen. Um sicherzustellen, dass der NetScaler bei Bedarf eine Richtlinie aufrufen kann, verknüpfen Sie die Richtlinie oder binden sie mit einem oder mehreren Verbindungspunkten.
Sie können eine Richtlinie global oder an einen virtuellen Server binden. Weitere Informationen finden Sie unter Informationen zu Richtlinienbindungen.
- Eine zugeordnete Aktion. Eine Aktion ist eine von einer Richtlinie getrennte Einheit. Die Richtlinienbewertung führt letztendlich dazu, dass der NetScaler eine Aktion ausführt.
Beispielsweise kann eine Richtlinie im integrierten Cache HTTP-Anfragen für GIF- oder .jpeg-Dateien identifizieren. Eine Aktion, die Sie dieser Richtlinie zuordnen, bestimmt, dass die Antworten auf diese Arten von Anfragen aus dem Cache bedient werden.
Für einige Funktionen konfigurieren Sie Aktionen als Teil eines komplexeren Befehls, der als Profil bezeichnet wird.
Wie verschiedene NetScaler-Funktionen Richtlinien verwenden
Der NetScaler unterstützt verschiedene Funktionen, die auf Betriebsrichtlinien beruhen. In der folgenden Tabelle wird zusammengefasst, wie die NetScaler-Funktionen Richtlinien verwenden.
| Name der Funktion | Richtlinientyp | So verwenden Sie Richtlinien in der Funktion |
|---|---|---|
| System | Klassisch | Für die Authentifizierungsfunktion enthalten Richtlinien Authentifizierungsschemata für verschiedene Authentifizierungsmethoden. Beispielsweise können Sie LDAP- und zertifikatbasierte Authentifizierungsschemata konfigurieren. Sie konfigurieren auch Richtlinien in der Überwachungsfunktion. |
| DNS | Advanced | Um zu bestimmen, wie eine DNS-Auflösung für Anfragen durchgeführt wird. |
| SSL | Klassisch und Fortgeschritten | Festlegen, wann eine Verschlüsselungsfunktion angewendet und Zertifikatsinformationen zu Klartext hinzugefügt werden sollen. Um End-to-End-Sicherheit zu gewährleisten, verschlüsselt die SSL-Funktion nach der Entschlüsselung einer Nachricht Klartext erneut und verwendet SSL für die Kommunikation mit Webservern. |
| Komprimierung | Klassisch und Fortgeschritten | Um festzustellen, welche Art von Verkehr komprimiert ist. |
| Integriertes Caching | Advanced | Um festzustellen, ob HTTP-Antworten cachbar sind. |
| Responder | Advanced | Um das Verhalten der Responder-Funktion zu konfigurieren. |
| Schutz-Funktionen | Klassisch | Konfigurieren des Verhaltens der Funktionen Filter, SureConnect und Priority Queuing. |
| Content Switching | Klassisch und Fortgeschritten | Um festzustellen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anfrage. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver. |
| AAA - Verkehrsmanagement | Klassisch. Ausnahmen: Verkehrsrichtlinien unterstützen nur erweiterte Richtlinieninfrastrukturen (PIs), und Autorisierungsrichtlinien unterstützen erweiterte Richtlinieninfrastruktur (PI). | So überprüfen Sie die clientseitige Sicherheit, bevor sich Benutzer anmelden und eine Sitzung einrichten. Verkehrsrichtlinien, die bestimmen, ob Single Sign-On (SSO) erforderlich ist, verwenden nur die erweiterte Richtlinie. Autorisierungsrichtlinien autorisieren Benutzer und Gruppen, die über die Appliance auf Intranetressourcen zugreifen. |
| Cacheumleitung | Klassisch | Um festzustellen, ob Antworten von einem Cache oder von einem Ursprungsserver aus bedient werden. |
| Rewrite | Advanced | Um HTTP-Daten zu identifizieren, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung basierend auf der Adresse der eingehenden Anforderung an eine neue Homepage oder einen neuen Server oder einen ausgewählten Server umzuleiten, oder Sie können die Daten ändern, um Serverinformationen in einer Antwort aus Sicherheitsgründen zu maskieren. Die Funktion URL Transformer identifiziert URLs in HTTP-Transaktionen und Textdateien, um zu bewerten, ob eine URL transformiert werden soll. |
| Anwendungs-Firewall | Klassisch und Fortgeschritten | Identifizierung von Merkmalen von Verkehr und Daten, die über die Firewall zugelassen werden sollten oder nicht. |
| NetScaler Gateway, Clientless Access-Funktion | Advanced | Definieren von Rewriteregeln für den allgemeinen Webzugriff mithilfe von NetScaler Gateway. |
| NetScaler Gateway | Klassisch | Um festzustellen, wie das NetScaler Gateway Authentifizierung, Autorisierung, Überwachung und andere Funktionen ausführt. |
Über Aktionen und Profile
Richtlinien selbst ergreifen keine Maßnahmen in Bezug auf Daten. Richtlinien bieten schreibgeschützte Logik für die Auswertung des Datenverkehrs. Damit eine Funktion einen Vorgang basierend auf einer Richtlinienbewertung ausführen kann, konfigurieren Sie Aktionen oder Profile und verknüpfen sie mit Richtlinien.
Hinweis: Aktionen und Profile sind spezifisch für bestimmte Funktionen. Informationen zum Zuweisen von Aktionen und Profilen zu Funktionen finden Sie in der Dokumentation für die einzelnen Funktionen.
Über Aktionen
Aktionen sind Schritte, die der NetScaler abhängig von der Auswertung des Ausdrucks in der Richtlinie durchführt. Wenn beispielsweise ein Ausdruck in einer Richtlinie mit einer bestimmten Quell-IP-Adresse in einer Anforderung übereinstimmt, bestimmt die Aktion, die dieser Richtlinie zugeordnet ist, ob die Verbindung zulässig ist.
Die Arten von Aktionen, die der NetScaler ausführen kann, sind funktionsspezifisch. In Rewrite können Aktionen beispielsweise Text in einer Anforderung ersetzen, die Ziel-URL für eine Anforderung ändern usw. Im integrierten Caching bestimmen Aktionen, ob HTTP-Antworten aus dem Cache oder einem Ursprungsserver bereitgestellt werden.
In einigen NetScaler-Funktionen sind Aktionen vordefiniert, in anderen sind sie konfigurierbar. In einigen Fällen (z. B. Rewrite) konfigurieren Sie die Aktionen mit denselben Ausdruckstypen, die Sie zum Konfigurieren der zugehörigen Richtlinienregel verwenden.
Übersicht über Profile
Mit einigen NetScaler-Funktionen können Sie Profile oder sowohl Aktionen als auch Profile einer Richtlinie zuordnen. Ein Profil ist eine Sammlung von Einstellungen, die es der Funktion ermöglichen, eine komplexe Funktion auszuführen. In der Anwendungsfirewall kann ein Profil für XML-Daten beispielsweise mehrere Überprüfungsvorgänge ausführen, z. B. die Untersuchung der Daten auf illegale XML-Syntax oder Hinweise auf eine SQL-Einschleusung.
Verwendung von Aktionen und Profilen in bestimmten Funktionen
In der folgenden Tabelle wird die Verwendung von Aktionen und Profilen in verschiedenen NetScaler-Funktionen zusammengefasst. Die Tabelle erhebt keinen Anspruch auf Vollständigkeit. Weitere Informationen zur spezifischen Verwendung von Aktionen und Profilen für eine Funktion finden Sie in der Dokumentation für die Funktion.
| Feature | Verwendung einer Aktion | Verwendung eines Profils |
|---|---|---|
| Anwendungs-Firewall | Synonym für ein Profil | Alle Anwendungsfirewall-Funktionen verwenden Profile, um komplexe Verhaltensweisen zu definieren, einschließlich musterbasiertem Lernen. Sie fügen diese Profile zu Richtlinien hinzu. |
| NetScaler Gateway | Die folgenden Funktionen des NetScaler Gateway verwenden Aktionen: Vorauthentifizierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einem Profil hinzu., Autorisierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einer Richtlinie hinzu. TCP-Kompression. Verwendet verschiedene Aktionen. Sie fügen diese Aktionen zu einer Richtlinie hinzu. | Die folgenden Funktionen verwenden ein Profil: Vorauthentifizierung, Sitzung, Verkehr und clientloser Zugriff. Nachdem Sie die Profile konfiguriert haben, fügen Sie sie zu Richtlinien hinzu. |
| Rewrite | Sie konfigurieren Rewrite-Aktionen von URLs und fügen sie einer Richtlinie hinzu. | Nicht benutzt. |
| Integriertes Caching | Sie konfigurieren Caching- und Invalidierungsaktionen innerhalb einer Richtlinie | Nicht benutzt. |
| AAA - Verkehrsmanagement | Sie wählen einen Authentifizierungstyp aus, legen eine Autorisierungsaktion von Allow oder DENY fest oder setzen die Überwachung auf SYSLOG oder NSLOG. | Sie können Sitzungsprofile mit einem Standard-Timeout und einer Autorisierungsaktion konfigurieren. |
| Schutz-Funktionen | Sie konfigurieren Aktionen innerhalb von Richtlinien für die folgenden Funktionen: Filter, Komprimierung, Responder und SureConnect. | Nicht benutzt. |
| SSL | Sie konfigurieren Aktionen innerhalb von SSL-Richtlinien | Nicht benutzt. |
| System | Die Aktion ist impliziert. Für die Authentifizierungsfunktion ist es entweder Zulassen oder Verweigern. Für Auditing ist es Auditing On oder Auditing Off. | Nicht benutzt. |
| DNS | Die Aktion ist impliziert. Es ist entweder Drop Packets oder der Standort eines DNS-Servers. | Nicht benutzt. |
| SSL-Offload | Die Aktion ist impliziert. Sie basiert auf einer Richtlinie, die Sie mit einem virtuellen SSL-Server oder einem Dienst verknüpfen. | Nicht benutzt. |
| Komprimierung | Bestimmen Sie die Art der Komprimierung, die auf die Daten angewendet werden soll | Nicht benutzt. |
| Content Switching | Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den virtuellen Server geleitet, der der Richtlinie zugeordnet ist. | Nicht benutzt. |
| Cacheumleitung | Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den Ursprungsserver weitergeleitet. | Nicht benutzt. |
Informationen zu Richtlinienbindungen
Eine Richtlinie ist mit einer Entität verknüpft oder an diese gebunden, die den Aufruf der Richtlinie ermöglicht. Beispielsweise können Sie eine Richtlinie an die Auswertung der Anforderungszeit binden, die für alle virtuellen Server gilt. Eine Sammlung von Policen, die an einen bestimmten Bindepunkt gebunden sind, bildet eine Policenbank.
Es folgt eine Übersicht über verschiedene Arten von Bindungspunkten für eine Richtlinie:
- Globale Uhrzeit anfordern. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Anforderungszeit verfügbar sein.
- Reaktionszeit global. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Reaktionszeit verfügbar sein.
- Anforderungszeit, spezifisch für virtuelle Server.
Eine Richtlinie kann an die Anforderungszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein. Sie können beispielsweise eine Richtlinie für die Anforderungszeit an einen virtuellen Cache-Umleitungsserver binden, um sicherzustellen, dass bestimmte Anforderungen an einen virtuellen Lastausgleichsserver für den Cache weitergeleitet werden und andere Anforderungen an einen virtuellen Lastausgleichsserver für den Ursprung gesendet werden.
- Reaktionszeit, spezifisch für virtuelle Server. Eine Richtlinie kann auch an die Reaktionszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein.
- Benutzerdefinierte Richtlinienbezeichnung. Für Advanced Policy Infrastructure (PI) können Sie benutzerdefinierte Gruppierungen von Richtlinien (Richtlinienbanken) konfigurieren, indem Sie ein Policy Label definieren und eine Reihe verwandter Richtlinien unter dem Policy Label sammeln.
- Andere Bindungspunkte. Die Verfügbarkeit zusätzlicher Bindepunkte hängt von der Art der erweiterten Richtlinie und den Besonderheiten der entsprechenden NetScaler-Funktion ab.
Weitere Informationen zu erweiterten Richtlinienbindungen finden Sie unter Bindungsrichtlinien, die das Thema “Erweiterte Richtlinien” verwenden .
Informationen zur Evaluierungsreihenfolge von Richtlinien
Die Policy-Gruppen und Richtlinien innerhalb einer Gruppe werden in einer bestimmten Reihenfolge ausgewertet, abhängig von den folgenden:
- Der Bindepunkt für die Richtlinie, z. B. ob die Richtlinie an die Verarbeitung der Anforderungszeit für einen virtuellen Server oder eine globale Reaktionszeitverarbeitung gebunden ist. Zum Beispiel wertet der NetScaler zur Anforderungszeit alle Anforderungszeitrichtlinien aus, bevor er virtuelle Server-spezifische Richtlinien auswertet.
- Die Prioritätsstufe für die Richtlinie. Für jeden Punkt im Evaluierungsprozess bestimmt eine Prioritätsstufe, die einer Richtlinie zugewiesen ist, die Reihenfolge der Bewertung im Vergleich zu anderen Richtlinien, die denselben Bindepunkt haben. Wenn der NetScaler beispielsweise eine Reihe von virtuellen Server-spezifischen Richtlinien für die Anforderungszeit auswertet, beginnt dies mit der Richtlinie, die dem niedrigsten Prioritätswert zugewiesen ist. In Richtlinien müssen Prioritätsstufen über alle Bindepunkte hinweg eindeutig sein.
Für erweiterte Richtlinien wählt NetScaler eine Gruppierung oder eine Reihe von Richtlinien an einem bestimmten Punkt in der Gesamtverarbeitung aus. Es folgt die Reihenfolge der Bewertung der grundlegenden Gruppierungen oder Banken von Advanced-Richtlinien:
- Globale Überschreibung für Anforderungszeit
- Anforderungszeit, spezifisch für virtuelle Server (ein Bindepunkt pro virtuellem Server)
- Globaler Standard für Anforderungszeit
- Globale Überschreibung der Reaktionszeit
- Reaktionszeit für virtuelle Server spezifisch
- Globaler Standard für Reaktionszeit
In einer der vorhergehenden Policenbanken ist die Reihenfolge der Bewertung jedoch flexibler als in Richtlinien. Innerhalb einer Policenbank können Sie unabhängig von der Prioritätsstufe auf die nächste Richtlinie verweisen, die bewertet werden soll, und Sie können Policenbanken aufrufen, die anderen Bindungspunkten und benutzerdefinierten Policenbanken angehören.
Reihenfolge der Bewertung basierend auf dem Verkehrsfluss
Während der Datenverkehr durch den NetScaler fließt und von verschiedenen Funktionen verarbeitet wird, führt jede Funktion eine Richtlinienbewertung durch. Immer wenn eine Richtlinie mit dem Datenverkehr übereinstimmt, speichert NetScaler die Aktion und setzt die Verarbeitung fort, bis die Daten den NetScaler verlassen. Zu diesem Zeitpunkt wendet der NetScaler normalerweise alle übereinstimmenden Aktionen an. Integriertes Caching, das nur eine letzte Cache- oder NoCache-Aktion anwendet, ist eine Ausnahme.
Einige Richtlinien wirken sich auf das Ergebnis anderer Richtlinien aus. Es folgen Beispiele:
- Wenn eine Antwort aus dem integrierten Cache bereitgestellt wird, verarbeiten einige andere NetScaler-Funktionen die Antwort oder die Anforderung, die sie initiiert hat, nicht.
- Wenn die Funktion Content-Filter verhindert, dass eine Antwort bereitgestellt wird, werten keine nachfolgenden Funktionen die Antwort aus.
Wenn die Anwendungsfirewall eine eingehende Anforderung ablehnt, können sie von anderen Features nicht verarbeitet werden.
In diesem Artikel
- Vorteile der Verwendung erweiterter Richtlinien
- Grundkomponenten einer erweiterten Richtlinie
- Wie verschiedene NetScaler-Funktionen Richtlinien verwenden
- Über Aktionen und Profile
- Informationen zu Richtlinienbindungen
- Informationen zur Evaluierungsreihenfolge von Richtlinien
- Reihenfolge der Bewertung basierend auf dem Verkehrsfluss