Integration mit IPS oder NGFW als Inline-Geräte

Sicherheitsgeräte wie Intrusion Prevention System (IPS) und Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte können den Live-Datenverkehr überprüfen und werden in der Regel im Layer 2-Inline-Modus bereitgestellt. Citrix Secure Web Gateway (SWG) bietet Sicherheit für Benutzer und das Unternehmensnetzwerk beim Zugriff auf Ressourcen im Internet.

Eine Citrix SWG-Appliance kann in ein oder mehrere Inline-Geräte integriert werden, um Bedrohungen zu verhindern und erweiterten Sicherheitsschutz zu bieten. Bei den Inline-Geräten kann es sich um ein beliebiges Sicherheitsgerät wie IPS und NGFW handeln.

Einige Anwendungsfälle, in denen Sie von der Citrix SWG-Appliance und der Inline-Geräteintegration profitieren können, sind:

  • Überprüfen des verschlüsselten Datenverkehrs: Die meisten IPS- und NGFW-Appliances umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe werden können. Eine Citrix SWG-Appliance kann Datenverkehr entschlüsseln und zur Überprüfung an die Inline-Geräte senden. Diese Integration erhöht die Netzwerksicherheit des Kunden.

  • Entladen von Inline-Geräten aus der TLS/SSL -Verarbeitung: Die TLS/SSL -Verarbeitung ist teuer, was zu einer hohen CPU-Auslastung in IPS- oder NGFW-Appliances führen kann, wenn sie auch den Datenverkehr entschlüsseln. Eine Citrix SWG-Appliance hilft beim Auslagern der TLS/SSL -Verarbeitung von Inline-Geräten. Inline-Geräte können daher ein höheres Verkehrsaufkommen untersuchen.

  • Inline-Geräte laden: Wenn Sie mehrere Inline-Geräte für die Verwaltung von hohem Datenverkehr konfiguriert haben, kann eine Citrix SWG-Appliance den Lastausgleich ausgleichen und den Datenverkehr gleichmäßig auf diese Geräte verteilen.

  • Intelligente Auswahl des Datenverkehrs: Statt den gesamten Datenverkehr zur Inspektion an das Inline-Gerät zu senden, führt die Appliance eine intelligente Auswahl des Datenverkehrs durch. Beispielsweise wird das Senden von Textdateien zur Überprüfung an die Inline-Geräte übersprungen.

Citrix SWG-Integration mit Inline-Geräten

Das folgende Diagramm zeigt, wie eine Citrix SWG in Inline-Sicherheitsgeräte integriert ist.

ips Übersicht

Wenn Sie Inline-Geräte in die Citrix SWG-Appliance integrieren, interagieren die Komponenten wie folgt:

  1. Ein Client sendet eine Anforderung an eine Citrix SWG-Appliance.

  2. Die Appliance sendet die Daten an das Inline-Gerät zur Inhaltsüberprüfung basierend auf der Richtlinienbewertung. Bei HTTPS-Datenverkehr entschlüsselt die Appliance die Daten und sendet sie zur Inhaltsüberprüfung im Klartext an das Inline-Gerät.

    Hinweis:

    Wenn zwei oder mehr Inline-Geräte vorhanden sind, gleicht die Appliance die Geräte aus und sendet den Datenverkehr.

  3. Das Inline-Gerät prüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance gesendet werden sollen.

  4. Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.

  5. Bei HTTPS-Datenverkehr verschlüsselt die Appliance die Daten erneut und leitet die Anforderung an den Backend-Server weiter.

  6. Der Backend-Server sendet die Antwort an die Appliance.

  7. Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.

  8. Das Inline-Gerät prüft die Daten. Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.

  9. Die Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client.

Konfigurieren der Inline-Geräteintegration

Sie können eine Citrix SWG-Appliance mit einem Inline-Gerät wie folgt konfigurieren:

Szenario 1: Verwenden eines einzelnen Inline-Geräts

Um ein Sicherheitsgerät (IPS oder NGFW) in den Inline-Modus zu integrieren, müssen Sie die Inhaltsprüfung und die MAC-basierte Weiterleitung (MBF) im globalen Modus auf der SWG-Appliance aktivieren. Fügen Sie anschließend ein Inhaltsinspektionsprofil, einen TCP-Dienst, eine Inhaltsüberprüfungsaktion für Inline-Geräte hinzu, um den Datenverkehr basierend auf der Inspektion zurückzusetzen, zu blockieren oder zu löschen. Fügen Sie außerdem eine Richtlinie zur Inhaltsüberprüfung hinzu, die von der Appliance verwendet wird, um die Teilmenge des Datenverkehrs zu bestimmen, die an die Inline-Geräte gesendet werden soll. Konfigurieren Sie schließlich den virtuellen Proxyserver mit aktivierter Layer-2-Verbindung auf dem Server und binden Sie die Inhaltsüberprüfungsrichtlinie an diesen virtuellen Proxyserver.

einzelnes Inline-Gerät

Gehen Sie wie folgt vor:

  1. Aktivieren Sie den MAC-basierten Weiterleitungsmodus (MPF).

  2. Aktivieren Sie die Funktion zur Inhaltsüberprüfung.

  3. Fügen Sie ein Inhaltsinspektionsprofil für den Service hinzu. Das Inhaltsinspektionsprofil enthält die Inline-Geräteeinstellungen, die die SWG-Appliance in ein Inline-Gerät integrieren.

  4. (Optional) Fügen Sie einen TCP-Monitor hinzu.

    Hinweis:

    Transparente Geräte haben keine IP-Adresse. Um Integritätsprüfungen durchzuführen, müssen Sie daher einen Monitor explizit binden.

  5. Fügen Sie einen Dienst hinzu. Ein Dienst stellt ein Inline-Gerät dar.

  6. (Optional) Binden Sie den Dienst an den TCP-Monitor.

  7. Fügen Sie eine Inhaltsinspektionsaktion für den Service hinzu.

  8. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu, und geben Sie die Aktion an.

  9. Fügen Sie einen virtuellen HTTP- oder HTTPS-Proxyserver (Content Switching) hinzu.

  10. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach den meisten Befehlen angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Fügen Sie ein Inhaltsinspektionsprofil hinzu.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection profile ipsprof -type InlineInspection -ingressinterface "1/2" -egressInterface "1/3"
    <!--NeedCopy-->
    
  4. Fügen Sie einen Dienst hinzu. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Schalten Sie den Integritätsmonitor aus. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Beispiel:

    add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
    
    <!--NeedCopy-->
    
  5. Fügen Sie eine Inhaltsüberprüfungsaktion hinzu.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
    <!--NeedCopy-->
    
  6. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  7. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
    <!--NeedCopy-->
    

    Beispiel:

    add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
    <!--NeedCopy-->
    
  8. Binden Sie die Richtlinie an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

  4. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Content-Inspektionsprofil mit Service verknüpfen

    Weitere Einstellungen

    Einstellung der Gesundheitsüberwachung

  5. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  6. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  7. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  8. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servernameden zuvor erstellten TCP-Dienst aus.

    Inhaltsüberprüfungsaktion

  9. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  10. Klicken Sie auf Bind.

  11. Klicken Sie auf Fertig.

Szenario 2: Lastausgleich mehrerer Inline-Geräte mit dedizierten Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit dedizierten Schnittstellen ausgleichen. In diesem Fall gleicht die Citrix SWG-Appliance die Teilmenge des Datenverkehrs aus, der über eine dedizierte Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.

mehrere Inline-Geräte

Die Basiskonfiguration bleibt dieselbe wie in Szenario 1. Sie müssen jedoch für jedes Inline-Gerät ein Inhaltsinspektionsprofil erstellen und die Eingangs- und Ausgangsschnittstelle in jedem Profil angeben. Fügen Sie einen Dienst für jedes Inline-Gerät hinzu. Fügen Sie einen virtuellen Lastausgleichsserver hinzu, und geben Sie ihn in der Inhaltsüberprüfungsaktion an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Fügen Sie Content-Inspektionsprofile für jeden Service hinzu.

  2. Fügen Sie einen Dienst für jedes Gerät hinzu.

  3. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

  4. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Profil 1 für Service 1 hinzufügen.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
    <!--NeedCopy-->
    
  4. Profil 2 für Service 2 hinzufügen.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
    <!--NeedCopy-->
    
  5. Service 1 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Schalten Sie den Integritätsmonitor aus. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Beispiel:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    <!--NeedCopy-->
    
  6. Service 2 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Schalten Sie den Integritätsmonitor aus. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Beispiel:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
    <!--NeedCopy-->
    
  7. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    <!--NeedCopy-->
    

    Beispiel:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    <!--NeedCopy-->
    
  8. Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    <!--NeedCopy-->
    

    Beispiel:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    <!--NeedCopy-->
    
  9. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    <!--NeedCopy-->
    
  10. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  11. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    Beispiel:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    
  12. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

    Geben Sie die Eingangs- und Ausgangsschnittstellen an.

    Angeben von Eingangs- und Ausgangsschnittstellen

    Erstellen Sie zwei Profile. Geben Sie im zweiten Profil eine andere Eingangs- und Ausgangsschnittstelle an.

  4. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Content-Inspektionsprofil mit Service verknüpfen

    Weitere Einstellungen

    Einstellung der Gesundheitsüberwachung

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte.

  5. Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.

    Lastenausgleich virtueller Server

    Klicken Sie auf OK.

  6. Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.

    Klicken Sie auf den Pfeil

    Zu bindende Dienste auswählen

    Binden von Diensten an den virtuellen Server

  7. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  8. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  9. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  10. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.

    Inhaltsüberprüfungsaktion

  11. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  12. Klicken Sie auf Bind.

  13. Klicken Sie auf Fertig.

Szenario 3: Lastausgleich mehrerer Inline-Geräte mit gemeinsamen Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit gemeinsam genutzten Schnittstellen ausgleichen. In diesem Fall gleicht die Citrix SWG-Appliance die Teilmenge des Datenverkehrs aus, der über eine gemeinsame Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.

mehrere Inline-Geräte mit freigegebener Schnittstelle

Die Basiskonfiguration bleibt dieselbe wie in Szenario 2. Binden Sie für dieses Szenario die Schnittstellen an verschiedene VLANs, um den Datenverkehr für jedes Inline-Gerät zu trennen. Geben Sie die VLANs in den Content-Inspektionsprofilen an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.

  2. Geben Sie die Ein- und Ausgangs-VLANs in den Content-Inspektionsprofilen an.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    <!--NeedCopy-->
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    <!--NeedCopy-->
    
  3. Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.

    bind vlan <id> -ifnum <interface> -tagged
    <!--NeedCopy-->
    

    Beispiel:

    bind vlan 100 –ifnum 1/2 tagged
    bind vlan 200 –ifnum 1/3 tagged
    bind vlan 300 –ifnum 1/2 tagged
    bind vlan 400 –ifnum 1/3 tagged
    <!--NeedCopy-->
    
  4. Profil 1 für Service 1 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection profile ipsprof1 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 100 -ingressVlan 300
    <!--NeedCopy-->
    
  5. Profil 2 für Service 2 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection profile ipsprof2 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 200 -ingressVlan 400
    <!--NeedCopy-->
    
  6. Service 1 hinzufügen.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Beispiel:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    <!--NeedCopy-->
    
  7. Service 2 hinzufügen.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    <!--NeedCopy-->
    

    Beispiel:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
    <!--NeedCopy-->
    
  8. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    <!--NeedCopy-->
    

    Beispiel:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    <!--NeedCopy-->
    
  9. Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    <!--NeedCopy-->
    

    Beispiel:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    <!--NeedCopy-->
    
  10. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    <!--NeedCopy-->
    
  11. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    
  12. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    Beispiel:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    
  13. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu System > Netzwerk > VLANs > Hinzufügen. Fügen Sie vier VLANs hinzu und markieren Sie sie den Schnittstellen.

    VLAN 100 erstellen

    VLAN 200 erstellen

    VLAN 300 erstellen

    VLAN 400 erstellen

  4. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

    Geben Sie die Ein- und Aus-VLANs an.

    Angeben von Schnittstellen und VLANs für Profil 1

    Erstellen Sie weitere Profile. Geben Sie im zweiten Profil ein anderes Ingress- und Egress-VLAN an.

    Angeben von Schnittstellen und VLANs für Profil 2

  5. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest.

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte. Geben Sie Profil 1 in Dienst 1 und Profil 2 in Dienst 2 an.

    Content-Inspektionsprofil 1 mit Service 1 verknüpfen

    Content-Inspektionsprofil 2 mit Service 2 verknüpfen

    Weitere Einstellungen

    Einstellung der Gesundheitsüberwachung

  6. Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.

    Lastenausgleich virtueller Server

    Klicken Sie auf OK.

  7. Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.

    Klicken Sie auf den Pfeil

    Zu bindende Dienste auswählen

    Binden von Diensten an den virtuellen Server

  8. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  9. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  10. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  11. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.

    Inhaltsüberprüfungsaktion

  12. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  13. Klicken Sie auf Bind.

  14. Klicken Sie auf Fertig.

Integration mit IPS oder NGFW als Inline-Geräte