Datenerfassung für NetScaler Gateway-Appliances im Double-Hop-Modus aktivieren
Der Doppel-Hop-Modus von NetScaler Gateway bietet zusätzlichen Schutz für ein internes Organisationsnetzwerk, da ein Angreifer mehrere Sicherheitszonen oder Demilitarisierte Zonen (DMZ) durchdringen muss, um die Server im sicheren Netzwerk zu erreichen.
Als Administrator können Sie mithilfe der NetScaler Console Folgendes analysieren:
-
Die Anzahl der Hops (NetScaler Gateway-Appliances), über die die ICA-Verbindungen laufen
-
Die Details über die Latenz bei jeder TCP-Verbindung und wie sie sich gegen die vom Client wahrgenommene Gesamt-ICA-Latenz auswirkt
Das folgende Bild zeigt, dass die NetScaler Console und NetScaler Gateway in der ersten DMZ im selben Subnetz bereitgestellt werden.
Das NetScaler Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses NetScaler Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie die Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.
Das NetScaler Gateway in der zweiten DMZ dient als NetScaler Gateway-Proxygerät. Dieses NetScaler Gateway ermöglicht es dem ICA-Datenverkehr, die zweite DMZ zu durchlaufen, um Benutzerverbindungen zur Serverfarm herzustellen.
Die NetScaler Console kann entweder im Subnetz des NetScaler Gateway-Geräts in der ersten DMZ oder im Subnetz des NetScaler Gateway-Geräts in der zweiten DMZ bereitgestellt werden.
Im Double-Hop-Modus sammelt NetScaler Console TCP-Datensätze von einer Appliance und ICA-Datensätze von der anderen Appliance. Nachdem Sie die NetScaler Gateway-Appliances zum Inventar der NetScaler Console hinzugefügt und die Datenerfassung aktiviert haben, exportiert jedes Gerät die Berichte, indem es die Anzahl der Hops und die Verbindungsketten-ID verfolgt.
Damit NetScaler Console identifizieren kann, welche Appliance Datensätze exportiert, wird jede Appliance mit einer Hop-Anzahl und jede Verbindung mit einer Verbindungsketten-ID angegeben. Die Hop-Anzahl stellt die Anzahl der NetScaler Gateway-Geräte dar, über die der Datenverkehr von einem Client zu den Servern fließt. Die Verbindungsketten-ID stellt die End-to-End-Verbindungen zwischen dem Client und dem Server dar.
NetScaler Console verwendet die Hop-Anzahl und die Verbindungsketten-ID, um die Daten der beiden NetScaler Gateway-Appliances miteinander in Beziehung zu setzen und die Berichte zu generieren.
Um NetScaler Gateway-Appliances zu überwachen, die in diesem Modus bereitgestellt werden, müssen Sie zuerst das NetScaler Gateway zum NetScaler Console-Inventar hinzufügen, AppFlow auf der NetScaler Console aktivieren und dann die Berichte im NetScaler Console-Dashboard anzeigen.
Datenerfassung auf der NetScaler Console aktivieren
Wenn Sie NetScaler Console aktivieren, um mit der Erfassung der ICA-Details von beiden Appliances zu beginnen, sind die gesammelten Informationen überflüssig. Um diese Situation zu umgehen, müssen Sie AppFlow für TCP auf der ersten NetScaler Gateway-Appliance aktivieren und dann AppFlow für ICA auf der zweiten Appliance aktivieren. Auf diese Weise exportiert eine der Appliances ICA-AppFlow Datensätze, und die andere Appliance exportiert TCP-AppFlow-Datensätze. Dies spart auch die Verarbeitungszeit beim Analysieren des ICA-Datenverkehrs.
So aktivieren Sie die AppFlow-Funktion über die NetScaler Console:
-
Navigieren Sie zu Infrastruktur > Instanzen und wählen Sie die NetScaler-Instanz aus, für die Sie Analysen aktivieren möchten.
-
Wählen Sie in der Liste Aktion auswählen die Option Analytics konfigurieren aus.
-
Wählen Sie die virtuellen Server aus und klicken Sie auf Security & Analytics aktivieren.
-
Wählen Sie Web Insight
-
Klicken Sie auf OK.
Konfigurieren von NetScaler Gateway-Geräten zum Exportieren von Daten
Nach der Installation der NetScaler Gateway-Geräte müssen Sie die folgenden Einstellungen auf den NetScaler Gateway-Geräten konfigurieren, um die Berichte in die NetScaler Console zu exportieren:
-
Konfigurieren Sie virtuelle Server der NetScaler Gateway-Geräte in der ersten und zweiten DMZ für die Kommunikation miteinander.
-
Binden Sie den virtuellen NetScaler Gateway-Server in der zweiten DMZ an den virtuellen NetScaler Gateway-Server in der ersten DMZ.
-
Aktivieren Sie Double Hop auf dem NetScaler Gateway in der zweiten DMZ.
-
Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway-Server in der zweiten DMZ.
-
Aktivieren Sie eines der NetScaler Gateway-Appliances, um ICA-Datensätze zu exportieren
-
Aktivieren Sie das andere NetScaler Gateway-Gerät, um TCP-Datensätze zu exportieren:
-
Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway-Appliances.
Konfigurieren Sie NetScaler Gateway mit der Befehlszeilenschnittstelle:
-
Konfigurieren Sie den virtuellen NetScaler Gateway-Server in der ersten DMZ für die Kommunikation mit dem virtuellen NetScaler Gateway-Server in der zweiten DMZ.
add vpn nextHopServer [**-secure** (ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy-->
-
Binden Sie den virtuellen NetScaler Gateway-Server in der zweiten DMZ an den virtuellen NetScaler Gateway-Server in der ersten DMZ. Führen Sie den folgenden Befehl auf dem NetScaler Gateway in der ersten DMZ aus:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy-->
-
Aktivieren Sie Double Hop und AppFlow auf dem NetScaler Gateway in der zweiten DMZ.
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy-->
-
Deaktivieren Sie die Authentifizierung auf dem virtuellen NetScaler Gateway-Server in der zweiten DMZ.
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy-->
-
Aktivieren Sie eine der NetScaler Gateway-Appliances zum Exportieren von TCP-Datensätzen.
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST <!--NeedCopy-->
-
Aktivieren Sie die andere NetScaler Gateway-Appliance zum Exportieren von ICA-Datensätzen:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST <!--NeedCopy-->
-
Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway-Appliances:
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
Konfigurieren von NetScaler Gateway mit dem Konfigurationsdienstprogramm:
-
Konfigurieren Sie das NetScaler Gateway in der ersten DMZ für die Kommunikation mit dem NetScaler Gateway in der zweiten DMZ und binden Sie das NetScaler Gateway in der zweiten DMZ an das NetScaler Gateway in der ersten DMZ.
-
Erweitern Sie auf der Registerkarte KonfigurationNetScaler Gatewayund klicken Sie aufVirtuelle Server.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Veröffentlichte Anwendungen.
-
Klicken Sie auf Next Hop Server und binden Sie einen nächsten Hop-Server an das zweite NetScaler Gateway-Gerät.
-
-
Aktivieren Sie Double Hop auf dem NetScaler Gateway in der zweiten DMZ.
-
Erweitern Sie auf der Registerkarte KonfigurationNetScaler Gatewayund klicken Sie aufVirtuelle Server.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Grundeinstellungen auf das Bearbeitungssymbol.
-
Erweitern Sie Mehr, wählen Sie Double Hop und klicken Sie auf OK.
-
-
Deaktivieren Sie die Authentifizierung auf dem virtuellen Server auf dem NetScaler Gateway in der zweiten DMZ.
-
Erweitern Sie auf der Registerkarte KonfigurationNetScaler Gatewayund klicken Sie aufVirtuelle Server.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Grundeinstellungen auf das Bearbeitungssymbol.
-
Erweitern Sie Mehr und deaktivieren Sie Authentifizierung aktivieren .
-
-
Aktivieren Sie eine der NetScaler Gateway-Appliances zum Exportieren von TCP-Datensätzen.
-
Erweitern Sie auf der Registerkarte KonfigurationNetScaler Gatewayund klicken Sie aufVirtuelle Server.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.
-
Klicken Sie auf das Symbol + und wählen Sie in der Liste Choose policy die Option AppFlow aus und wählen Sie in der Liste Typ auswählen die Option Andere TCP-Anforderung aus.
-
Klicken Sie auf Weiter.
-
Fügen Sie eine Richtlinienbindung hinzu und klicken Sie auf Schließen .
-
-
Aktivieren Sie die andere NetScaler Gateway-Appliance zum Exportieren von ICA-Datensätzen:
-
Erweitern Sie auf der Registerkarte KonfigurationNetScaler Gatewayund klicken Sie aufVirtuelle Server.
-
Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.
-
Klicken Sie auf das Symbol + und wählen Sie in der Liste Choose policy die Option AppFlow aus und wählen Sie in der Liste Typ auswählen die Option Andere TCP-Anforderung aus.
-
Klicken Sie auf Weiter.
-
Fügen Sie eine Richtlinienbindung hinzu und klicken Sie auf Schließen .
-
-
Aktivieren Sie die Verbindungsverkettung auf beiden NetScaler Gateway-Appliances.
-
Navigieren Sie auf der Registerkarte Konfiguration zu System > Appflow.
-
Klicken Sie im rechten Bereich in der Gruppe Einstellungen auf Appflow-Einstellungen ändern.
-
Wählen Sie Verbindungsverkettung aus, und klicken Sie auf OK.
-