Anwendungsklassifizierung
Die Citrix SD-WAN-Appliances führen Deep Packet Inspection (DPI) durch, um Anwendungen mithilfe der folgenden Techniken zu identifizieren und zu klassifizieren:
- Klassifizierung der DPI-Bibliothek
- Citrix proprietäre Independent Computing Architecture (ICA) -Klassifizierung
- Anwendungshersteller-APIs (z. B. Microsoft REST-APIs für Office 365)
- Domänennamenbasierte Anwendungsklassifizierung
Klassifizierung der DPI-Bibliothek
Die Deep Packet Inspection (DPI) Bibliothek erkennt Tausende kommerzieller Anwendungen. Es ermöglicht die Erkennung und Klassifizierung von Anwendungen in Echtzeit. Mithilfe der DPI-Technologie analysiert die SD-WAN-Appliance die eingehenden Pakete und klassifiziert den Datenverkehr als zu einer bestimmten Anwendung oder Anwendungsfamilie. Die Anwendungsklassifizierung für jede Verbindung benötigt einige Pakete.
Informationen zum Aktivieren der DPI-Bibliotheksklassifizierung im Citrix SD-WAN Orchestrator Service finden Sie unter Klassifizierung der DPI-Bibliothek.
ICA-Klassifizierung
Citrix SD-WAN Appliances können Citrix HDX-Datenverkehr auch für virtuelle Apps und Desktops identifizieren und klassifizieren. Citrix SD-WAN erkennt die folgenden Varianten des ICA-Protokolls:
- ICA
- ICA-CGP
- Einzelstream-ICA (SSI)
- Multistream-ICA (MSI)
- ICA über TCP
- ICA über UDP/EDT
- ICA über nicht standardmäßige Ports (einschließlich Multi-Port-ICA)
- HDX Adaptiver Transport
- ICA über WebSocket (wird von HTML5 Receiver verwendet)
Hinweis
Die Klassifizierung von ICA-Datenverkehr, der über SSL/TLS oder DTLS bereitgestellt wird, wird in SD-WAN Standard Edition nicht unterstützt.
Die Klassifizierung des Netzwerkverkehrs erfolgt während der anfänglichen Verbindungen oder der Flow-Einrichtung. Daher werden bereits bestehende Verbindungen nicht als ICA klassifiziert. Die Klassifizierung von Verbindungen geht auch verloren, wenn die Verbindungstabelle manuell gelöscht wird.
Framehawk Datenverkehr und Audio-over-UDP/RTP werden nicht als HDX-Anwendungen klassifiziert. Sie werden entweder als “UDP” oder “Unbekanntes Protokoll” gemeldet.
Seit Version 10 Version 1 kann die SD-WAN-Appliance jeden ICA-Datenstrom in Multistream-ICA auch in einer Single-Port-Konfiguration unterscheiden. Jeder ICA-Stream wird als separate Anwendung mit einer eigenen Standard-QoS-Klasse zur Priorisierung klassifiziert.
Damit die Multistream-ICA-Funktionalität ordnungsgemäß funktioniert, müssen Sie über SD-WAN Standard Edition 10.1 oder höher verfügen.
Damit benutzerbasierte HDX-Berichte im SDWAN-Center angezeigt werden, müssen Sie über SD-WAN Standard Edition 11.0 oder höher verfügen.
Minimale Softwareanforderungen für den virtuellen HDX-Informationskanal:
Eine aktuelle Version von Citrix Virtual Apps and Desktops (früher XenApp und XenDesktop), da die erforderliche Funktionalität in XenApp und XenDesktop 7.17 eingeführt wurde und nicht in der Version 7.15 Langzeitdienst enthalten ist.
Eine Version der Citrix Workspace App (oder deren Vorgänger Citrix Receiver), die Multi-Stream-ICA und den virtuellen HDX Insights-Informationskanal CTXNSAP unterstützt. Suchen Sie in der Citrix Workspace-App Feature Matrix nach HDX Insight mit NSAP VCund Multiport/Multistream-ICA. Sehen Sie sich die aktuell unterstützten Release-Versionen bei HDX Insightsan.
Ab Version 11.2 ist die Paketduplizierung jetzt standardmäßig für HDX-Echtzeitverkehr aktiviert, wenn Multistream-ICA verwendet wird.
Nach der Klassifizierung kann die ICA-Anwendung in Anwendungsregeln und zum Anzeigen von Anwendungsstatistiken ähnlich wie bei anderen klassifizierten Anwendungen verwendet werden.
Es gibt fünf Standardanwendungsregeln für ICA-Anwendungen jeweils eine für die folgenden Prioritäts-Tags:
- Unabhängige Datenverarbeitungsarchitektur (Citrix) (ICA)
- ICA Echtzeit (ica_priority_0)
- ICA Interaktiv (ica_priority_1)
- ICA Bulk-Transfer (ica_prority_2)
- ICA-Hintergrund (ica_priority_3)
Weitere Informationen finden Sie unter Regeln nach Anwendungsname
Wenn Sie eine Kombination von Software ausführen, die Multi-Stream-ICA nicht über einen einzigen Port unterstützt, müssen Sie zum Ausführen von QoS mehrere Ports konfigurieren, einen für jeden ICA-Stream. Um HDX auf nicht standardmäßigen Ports wie in der XA/XD-Serverrichtlinie konfiguriert zu klassifizieren, müssen Sie diese Ports in ICA-Portkonfigurationen hinzufügen. Um den Datenverkehr an diesen Ports mit gültigen IP-Regeln abzugleichen, müssen Sie außerdem die ICA-IP-Regeln aktualisieren.
In der ICA-IP- und Portliste können Sie nicht standardmäßige Ports angeben, die in der XA/XD-Richtlinie für die HDX-Klassifizierung verwendet werden. IP-Adresse wird verwendet, um die Ports weiter auf ein bestimmtes Ziel zu beschränken. Verwenden Sie ‘*’ für den Port, der für eine beliebige IP-Adresse bestimmt ist. IP-Adresse mit Kombination aus SSL-Port wird auch verwendet, um anzuzeigen, dass der Datenverkehr wahrscheinlich ICA ist, obwohl der Datenverkehr nicht endgültig als ICA klassifiziert wird. Diese Angabe wird verwendet, um L4 AppFlow Datensätze zur Unterstützung von Multi-Hop-Berichten in Citrix Application Delivery Management zu senden.
Informationen zum Aktivieren der ICA-basierten Klassifizierung für den Citrix SD-WAN Orchestrator Service finden Sie unter ICA-Klassifizierung.
Anwendungshersteller-API-basierte Klassifizierung
Citrix SD-WAN unterstützt die folgende API-basierte Klassifikation des Anwendungsherstellers:
-
Office 365. Weitere Informationen finden Sie unter Office 365-Optimierung.
-
Citrix Cloud und Citrix Gateway Service Weitere Informationen finden Sie unter Gateway Service Optimization.
Domänennamenbasierte Anwendungsklassifizierung
Die DPI-Klassifikations-Engine wurde erweitert, um Anwendungen basierend auf dem Domänennamen und -mustern zu klassifizieren. Nachdem der DNS-Weiterleitung die DNS-Anforderungen abgefangen und analysiert hat, verwendet die DPI-Engine den IP-Klassifizierer, um die erste Paketklassifizierung durchzuführen. Weitere DPI-Bibliothek und ICA-Klassifizierung werden durchgeführt und die auf Domänennamen basierende Anwendungs-ID wird angehängt.
Mit der auf Domänennamen basierenden Anwendungsfunktion können Sie mehrere Domainnamen gruppieren und als eine einzige Anwendung behandeln. Dies erleichtert die Anwendung von Firewall, Anwendungssteuerung, QoS und anderen Regeln. Maximal 64 auf Domänennamen basierende Anwendungen können konfiguriert werden.
Informationen zum Definieren von auf Domänennamen basierenden Anwendungen im Citrix SD-WAN Orchestrator Service finden Sie unter Domänennamen basierte Anwendungsklassifizierung.
Hinweis
Ab Version 11.4.2 unterstützen die auf Domänennamen basierenden Anwendungen konfigurierbare Ports und Protokolle im Citrix SD-WAN Orchestrator Service. Weitere Informationen finden Sie unter Domänen und Anwendungen.
Ab der Version Citrix SD-WAN 11.5.0 werden AAAA-Datensätze im Citrix SD-WAN Orchestrator Service unterstützt.
Einschränkungen
- Wenn keine DNS-Anfrage/Antwort vorhanden ist, die einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänenbasierte Anwendung nicht und wendet daher nicht die Anwendungsregeln an, die der domänenbasierten Anwendung entsprechen.
- Wenn ein Anwendungsobjekt so erstellt wird, dass der Portbereich Port 80 und/oder Port 443 mit einem bestimmten IP-Adressenübereinstimmungstyp enthält, der einer domänennamenbasierten Anwendung entspricht, klassifiziert das DPI-Modul die domänennamenbasierte Anwendung nicht.
- Wenn explizite Webproxys konfiguriert sind, müssen Sie der PAC-Datei alle Domänennamenmuster hinzufügen, um sicherzustellen, dass die DNS-Antwort nicht immer dieselbe IP-Adresse zurückgibt.
- Die domänennamenbasierten Anwendungsklassifizierungen werden beim Konfigurationsupdate zurückgesetzt. Die Reklassifizierung erfolgt basierend auf Klassifizierungstechniken vor 11.0.2, wie DPI-Bibliotheksklassifizierung, ICA-Klassifizierung und Anbieteranwendungs-APIs basierend auf Klassifizierung.
- Die erlernten Anwendungssignaturen (Ziel-IP-Adressen) nach der domänenbasierten Anwendungsklassifizierung werden bei der Konfigurationsupdate zurückgesetzt.
- Nur die standardmäßigen DNS-Abfragen und deren Antworten werden verarbeitet.
- DNS-Antwortdatensätze, die auf mehrere Pakete aufgeteilt sind, werden nicht verarbeitet. Es werden nur DNS-Antworten in einem einzigen Paket verarbeitet.
- DNS über TCP wird nicht unterstützt.
- Nur Top-Level-Domains werden als Domainnamenmuster unterstützt.
Verschlüsselten Datenverkehr klassifizieren
Die Citrix SD-WAN Appliance erkennt und meldet verschlüsselten Datenverkehr im Rahmen der Anwendungsberichterstattung mit den folgenden zwei Methoden:
- Für den HTTPS-Verkehr überprüft die DPI-Engine das SSL-Zertifikat, um den gebräuchlichen Namen zu lesen, der den Namen des Dienstes trägt (z. B. Facebook, Twitter). Abhängig von der Anwendungsarchitektur kann nur ein Zertifikat für mehrere Diensttypen verwendet werden (z. B. E-Mail, Nachrichten usw.). Wenn verschiedene Dienste unterschiedliche Zertifikate verwenden, kann die DPI-Engine zwischen Diensten unterscheiden.
- Für Anwendungen, die ihr eigenes Verschlüsselungsprotokoll verwenden, sucht die DPI-Engine in den Datenflüssen nach binären Mustern, z. B. sucht die DPI-Engine bei Skype nach einem binären Muster innerhalb des Zertifikats und bestimmt die Anwendung.
Anwendungsobjekte
Anwendungsobjekte ermöglichen es Ihnen, verschiedene Arten von Übereinstimmungskriterien in einem einzigen Objekt zu gruppieren, das für Firewall-Richtlinien und Anwendungssteuerung verwendet werden kann. IP-Protokoll, Anwendung und Anwendungsfamilie sind die verfügbaren Übereinstimmungstypen.
Die folgenden Funktionen verwenden das Anwendungsobjekt als Übereinstimmungstyp:
Verwenden der Anwendungsklassifizierung mit einer Firewall
Die Klassifizierung des Datenverkehrs als Anwendungen, Anwendungsfamilien oder Domainnamen ermöglicht es Ihnen, die Anwendung, Anwendungsfamilien und Anwendungsobjekte als Übereinstimmungstypen zu verwenden, um den Datenverkehr zu filtern und Firewall-Richtlinien und -Regeln anzuwenden. Sie gilt für alle Vor-, Post- und lokalen Richtlinien. Weitere Informationen zur Firewall finden Sie unter Stateful Firewall und NAT-Support.
—>
Anwendungsklassifizierung anzeigen
Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie den Anwendungsnamen und die Anwendungsfamilie in den folgenden Berichten anzeigen:
-
Firewall-Verbindungsstatistiken
-
Informationen zu Flows
-
Anwendungsstatistiken
Firewall-Verbindungsstatistiken
Navigieren Sie zu Überwachung > Firewall. Im Abschnitt Verbindungen werden in den Spalten Anwendung und Familie die Anwendungen und die zugehörige Familie aufgeführt.
Wenn Sie die Anwendungsklassifizierung nicht aktivieren, zeigen die Spalten Anwendung und Familie keine Daten an.
Informationen zu Flows
Navigieren Sie zu Monitoring > Flows. Im Abschnitt “ Flows Data “ werden in der Spalte “ Anwendung “ die Anwendungsdetails aufgeführt.
Anwendungsstatistiken
Navigieren Sie zu Überwachung > Statistik. Im Abschnitt Anwendungsstatistiken werden in der Spalte Anwendung die Anwendungsdetails aufgelistet.
Problembehandlung
Nachdem Sie die Anwendungsklassifizierung aktiviert haben, können Sie die Berichte im Abschnitt Überwachung anzeigen und sicherstellen, dass sie Anwendungsdetails anzeigen. Weitere Informationen finden Sie unter Anzeigen der Anwendungsklassifizierung.
Wenn ein unerwartetes Verhalten vorliegt, sammeln Sie das STS-Diagnosepaket, während das Problem beobachtet wird, und teilen Sie es mit dem Citrix Supportteam.
Das STS-Paket kann mit Konfiguration > Systemwartung > Diagnose > Diagnoseinformationenerstellt und heruntergeladen werden.
In diesem Artikel
- Klassifizierung der DPI-Bibliothek
- ICA-Klassifizierung
- Anwendungshersteller-API-basierte Klassifizierung
- Domänennamenbasierte Anwendungsklassifizierung
- Verschlüsselten Datenverkehr klassifizieren
- Anwendungsobjekte
- Verwenden der Anwendungsklassifizierung mit einer Firewall
- Anwendungsklassifizierung anzeigen
- Problembehandlung