Datenerfassung für im Double-Hop-Modus bereitgestellte NetScaler Gateway Appliances aktivieren
Der NetScaler Gateway Double-Hop-Modus bietet zusätzlichen Schutz für das interne Netzwerk einer Organisation, da ein Angreifer mehrere Sicherheitszonen oder Demilitarisierte Zonen (DMZ) durchdringen müsste, um die Server im sicheren Netzwerk zu erreichen. Wenn Sie die Anzahl der Hops (NetScaler Gateway Appliances) analysieren möchten, durch die die ICA-Verbindungen verlaufen, sowie Details zur Latenz jeder TCP-Verbindung und wie diese im Vergleich zur vom Client wahrgenommenen gesamten ICA-Latenz abschneidet, müssen Sie NetScaler ADM installieren, damit die NetScaler Gateway Appliances diese wichtigen Statistiken melden.
Abbildung 3. NetScaler® ADM im Double-Hop-Modus bereitgestellt
Das NetScaler Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses NetScaler Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.
Das NetScaler Gateway in der zweiten DMZ dient als NetScaler Gateway Proxy-Gerät. Dieses NetScaler Gateway ermöglicht es dem ICA-Verkehr, die zweite DMZ zu durchqueren, um Benutzerverbindungen zur Serverfarm herzustellen.
Der NetScaler ADM kann entweder im Subnetz der NetScaler Gateway Appliance in der ersten DMZ oder im Subnetz der NetScaler Gateway Appliance in der zweiten DMZ bereitgestellt werden. Im obigen Bild sind der NetScaler ADM und das NetScaler Gateway in der ersten DMZ im selben Subnetz bereitgestellt.
Im Double-Hop-Modus sammelt NetScaler ADM TCP-Datensätze von einer Appliance und ICA-Datensätze von der anderen Appliance. Nachdem Sie die NetScaler Gateway Appliances zum NetScaler ADM-Inventar hinzugefügt und die Datenerfassung aktiviert haben, exportiert jede Appliance die Berichte, indem sie die Hop-Anzahl und die Verbindungs-Ketten-ID verfolgt.
Damit NetScaler ADM identifizieren kann, welche Appliance Datensätze exportiert, wird jede Appliance mit einer Hop-Anzahl und jede Verbindung mit einer Verbindungs-Ketten-ID versehen. Die Hop-Anzahl stellt die Anzahl der NetScaler Gateway Appliances dar, durch die der Datenverkehr von einem Client zu den Servern fließt. Die Verbindungs-Ketten-ID stellt die End-to-End-Verbindungen zwischen Client und Server dar.
NetScaler ADM verwendet die Hop-Anzahl und die Verbindungs-Ketten-ID, um die Daten beider NetScaler Gateway Appliances zu korrelieren und die Berichte zu generieren.
Um NetScaler Gateway Appliances zu überwachen, die in diesem Modus bereitgestellt werden, müssen Sie zuerst das NetScaler Gateway zum NetScaler ADM-Inventar hinzufügen, AppFlow auf NetScaler ADM aktivieren und dann die Berichte im NetScaler ADM-Dashboard anzeigen.
Datenerfassung auf NetScaler ADM aktivieren
Wenn Sie NetScaler ADM so konfigurieren, dass es die ICA-Details von beiden Appliances sammelt, sind die gesammelten Details redundant. Das heißt, beide Appliances melden dieselben Metriken. Um diese Situation zu vermeiden, müssen Sie AppFlow für TCP auf einer der ersten NetScaler Gateway Appliances aktivieren und dann AppFlow für ICA auf der zweiten Appliance aktivieren. Dadurch exportiert eine der Appliances ICA AppFlow-Datensätze und die andere Appliance TCP AppFlow-Datensätze. Dies spart auch Verarbeitungszeit beim Parsen des ICA-Verkehrs.
So aktivieren Sie die AppFlow®-Funktion über NetScaler ADM:
-
Navigieren Sie zu Infrastructure > Instances und wählen Sie die NetScaler-Instanz aus, für die Sie Analysen aktivieren möchten.
-
Wählen Sie aus der Liste Action die Option Enable/Disable Insight aus.
-
Wählen Sie die VPN Virtual Server aus und klicken Sie auf Enable AppFlow.
-
Geben Sie im Feld Enable AppFlow den Wert true ein und wählen Sie ICA/TCP für ICA-Verkehr bzw. TCP-Verkehr aus.
Hinweis
Wenn die AppFlow-Protokollierung für die Dienste oder Dienstgruppen auf der NetScaler Appliance nicht aktiviert ist, zeigt das NetScaler ADM-Dashboard die Datensätze nicht an, selbst wenn die Spalte “Insight” den Status “Enabled” anzeigt.
-
Klicken Sie auf OK.
NetScaler Gateway Appliances für den Datenexport konfigurieren
Nach der Installation der NetScaler Gateway Appliances müssen Sie die folgenden Einstellungen auf den NetScaler Gateway Appliances konfigurieren, um die Berichte an NetScaler ADM zu exportieren:
-
Konfigurieren Sie die virtuellen Server der NetScaler Gateway Appliances in der ersten und zweiten DMZ so, dass sie miteinander kommunizieren.
-
Binden Sie den virtuellen NetScaler Gateway Server in der zweiten DMZ an den virtuellen NetScaler Gateway Server in der ersten DMZ.
-
Aktivieren Sie Double-Hop auf dem NetScaler Gateway in der zweiten DMZ.
-
Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway Server in der zweiten DMZ.
-
Aktivieren Sie eine der NetScaler Gateway Appliances für den Export von ICA-Datensätzen.
-
Aktivieren Sie die andere NetScaler Gateway Appliance für den Export von TCP-Datensätzen:
-
Aktivieren Sie die Verbindungsverkettung (Connection Chaining) auf beiden NetScaler Gateway Appliances.
NetScaler Gateway über die Befehlszeilenschnittstelle konfigurieren:
-
Konfigurieren Sie den virtuellen NetScaler Gateway Server in der ersten DMZ so, dass er mit dem virtuellen NetScaler Gateway Server in der zweiten DMZ kommuniziert.
add vpn nextHopServer [**-secure**(ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy--> -
Binden Sie den virtuellen NetScaler Gateway Server in der zweiten DMZ an den virtuellen NetScaler Gateway Server in der ersten DMZ. Führen Sie den folgenden Befehl auf dem NetScaler Gateway in der ersten DMZ aus:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy--> -
Aktivieren Sie Double-Hop und AppFlow auf dem NetScaler Gateway in der zweiten DMZ.
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy--> -
Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway Server in der zweiten DMZ.
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy--> -
Aktivieren Sie eine der NetScaler Gateway Appliances für den Export von TCP-Datensätzen.
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP\_REQUEST <!--NeedCopy--> -
Aktivieren Sie die andere NetScaler Gateway Appliance für den Export von ICA-Datensätzen:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA\_REQUEST <!--NeedCopy--> -
Aktivieren Sie die Verbindungsverkettung (Connection Chaining) auf beiden NetScaler Gateway Appliances:
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
NetScaler Gateway mithilfe des Konfigurationsdienstprogramms konfigurieren:
-
Konfigurieren Sie das NetScaler Gateway in der ersten DMZ so, dass es mit dem NetScaler Gateway in der zweiten DMZ kommuniziert, und binden Sie das NetScaler Gateway in der zweiten DMZ an das NetScaler Gateway in der ersten DMZ.
-
Erweitern Sie auf der Registerkarte Configuration den Eintrag NetScaler Gateway und klicken Sie auf Virtual Servers.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und erweitern Sie in der Gruppe Advanced den Eintrag Published Applications.
-
Klicken Sie auf Next Hop Server und binden Sie einen Next Hop Server an die zweite NetScaler Gateway Appliance.
-
-
Aktivieren Sie Double-Hop auf dem NetScaler Gateway in der zweiten DMZ.
-
Erweitern Sie auf der Registerkarte Configuration den Eintrag NetScaler Gateway und klicken Sie auf Virtual Servers.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Basic Settings auf das Bearbeitungssymbol.
-
Erweitern Sie More, wählen Sie Double Hop aus und klicken Sie auf OK.
-
-
Deaktivieren Sie die Authentifizierung auf dem virtuellen Server auf dem NetScaler Gateway in der zweiten DMZ.
-
Erweitern Sie auf der Registerkarte Configuration den Eintrag NetScaler Gateway und klicken Sie auf Virtual Servers.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Basic Settings auf das Bearbeitungssymbol.
-
Erweitern Sie More und deaktivieren Sie Enable Authentication.
-
-
Aktivieren Sie eine der NetScaler Gateway Appliances für den Export von TCP-Datensätzen.
-
Erweitern Sie auf der Registerkarte Configuration den Eintrag NetScaler Gateway und klicken Sie auf Virtual Servers.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und erweitern Sie in der Gruppe Advanced den Eintrag Policies.
-
Klicken Sie auf das +-Symbol und wählen Sie aus der Liste Choose Policy die Option AppFlow und aus der Dropdown-Liste Choose Type die Option Other TCP Request aus.
-
Klicken Sie auf Continue.
-
Fügen Sie eine Richtlinienbindung hinzu und klicken Sie auf Close.
-
-
Aktivieren Sie die andere NetScaler Gateway Appliance für den Export von ICA-Datensätzen:
-
Erweitern Sie auf der Registerkarte Configuration den Eintrag NetScaler Gateway und klicken Sie auf Virtual Servers.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und erweitern Sie in der Gruppe Advanced den Eintrag Policies.
-
Klicken Sie auf das +-Symbol und wählen Sie aus der Dropdown-Liste Choose Policy die Option AppFlow und aus der Dropdown-Liste Choose Type die Option Other TCP Request aus.
-
Klicken Sie auf Continue.
-
Fügen Sie eine Richtlinienbindung hinzu und klicken Sie auf Close.
-
-
Aktivieren Sie die Verbindungsverkettung (Connection Chaining) auf beiden NetScaler Gateway Appliances.
-
Navigieren Sie auf der Registerkarte Configuration zu Settings > Appflow.
-
Klicken Sie im rechten Bereich in der Gruppe Settings auf Change Appflow Settings.
-
Wählen Sie Connection Chaining aus und klicken Sie auf OK.
-