Gateway

VPN-Richtlinien über erweiterte Richtlinien erstellen

Classic Policy Engine (PE) und Advance Policy Infrastructure (PI) sind zwei verschiedene Frameworks für die Richtlinienkonfiguration und -bewertung, die Citrix ADC derzeit unterstützt.

Advance Policy Infrastructure besteht aus einer extrem leistungsfähigen Ausdruckssprache. Die Ausdruckssprache kann verwendet werden, um Regeln in Policy zu definieren, verschiedene Teile von Action zu definieren und andere unterstützte Entitäten zu definieren. Die Ausdruckssprache kann jeden Teil der Anfrage oder Antwort analysieren und ermöglicht es Ihnen auch, die Header und die Nutzdaten genau zu durchsehen. Dieselbe Ausdruckssprache wird erweitert und funktioniert durch jedes logische Modul, das Citrix ADC unterstützt.

Hinweis: Sie werden aufgefordert, erweiterte Richtlinien zum Erstellen von Richtlinien zu verwenden.

Warum von Classic Policy zu Advance Policy migrieren?

Advanced Policy hat einen umfangreichen Ausdruckssatz und bietet eine viel größere Flexibilität als Classic Policy. Da Citrix ADC skaliert und auf eine Vielzahl von Kunden zugeschnitten ist, ist es unerlässlich, Ausdrücke zu unterstützen, die die erweiterten Richtlinien bei weitem überschreiten. Weitere Informationen finden Sie unter Richtlinien und Ausdrücke.

Im Folgenden sind die zusätzlichen Funktionen für Advance-Richtlinien aufgeführt.

  • Möglichkeit, auf den Hauptteil der Nachrichten zuzugreifen.
  • Unterstützt viele zusätzliche Protokolle.
  • Greift auf viele zusätzliche Funktionen des Systems zu.
  • Hat mehr Grundfunktionen, Operatoren und Datentypen.
  • Erreicht das Parsen von HTML-, JSON- und XML-Dateien.
  • Ermöglicht schnelles paralleles Matching mehrerer Zeichenketten (Patsets usw.).

Jetzt können die folgenden VPN-Richtlinien mithilfe von Advance Policy konfiguriert werden.

  • Sitzungsrichtlinie
  • Autorisierungsrichtlinie
  • Traffic Richtlinie
  • Tunnel-Richtlinie
  • Audit-Richtlinie

Außerdem kann Endpunktanalyse (EPA) als nFactor für die Authentifizierungsfunktion konfiguriert werden. EPA wird als Gatekeeper für Endpunktgeräte verwendet, die versuchen, eine Verbindung zum Gateway-Gerät herzustellen. Bevor die Gateway-Anmeldeseite auf einem Endpunktgerät angezeigt wird, wird das Gerät auf die Mindestanforderungen an Hardware und Software überprüft, abhängig von den vom Gateway-Administrator konfigurierten Zulassungskriterien. Der Zugriff auf Gateway wird auf der Grundlage des Ergebnisses der durchgeführten Prüfungen gewährt. Zuvor wurde EPA als Teil der Sitzungsrichtlinie konfiguriert. Jetzt kann es mit nFactor verknüpft werden, was mehr Flexibilität bietet, wann es durchgeführt werden kann. Weitere Informationen zu EPA finden Sie unter Funktionsweise von Endpunkt-Richtlinien. Weitere Informationen zu nFactor finden Sie unter Thema nFactor-Authentifizierung.

Anwendungsfälle:

Vorauthentifizierung EPA mit Advanced EPA

Der EPA-Scan vor der Authentifizierung erfolgt, bevor der Benutzer die Anmeldeinformationen eingibt. Informationen zur Konfiguration von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scan vor der Authentifizierung als einem der Authentifizierungsfaktoren finden Sie im Thema CTX224268.

EPA nach der Authentifizierung mit Advanced EPA

Der EPA-Scan nach der Authentifizierung erfolgt, nachdem die Benutzeranmeldeinformationen überprüft wurden. In der klassischen Richtlinieninfrastruktur wurde EPA nach der Authentifizierung als Teil der Sitzungsrichtlinie oder Sitzungsaktion konfiguriert. Unter Advanced Policy Infrastructure muss der EPA-Scan als EPA-Faktor in der N-Faktor-Authentifizierung konfiguriert werden. Informationen zur Konfiguration von Citrix Gateway für die n-Faktor-Authentifizierung mit EPA-Scan nach der Authentifizierung als einem der Authentifizierungsfaktoren finden Sie im Thema CTX224303.

Vor- und Nachauthentifizierung EPA mithilfe erweiterter Richtlinien

EPA kann vor der Authentifizierung und nach der Authentifizierung durchgeführt werden. Informationen zur Konfiguration von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scans vor und nach der Authentifizierung finden Sie unter CTX231362 Thema.

Periodischer EPA-Scan als Faktor bei der nFactor-Authentifizierung

Unter der klassischen Richtlinieninfrastruktur wurde der periodische EPA-Scan als Teil der Sitzungsrichtlinienaktion konfiguriert. Im Rahmen einer fortschrittlichen Richtlinieninfrastruktur kann es als Teil der EPA-Faktor-in-n-Faktor-Authentifizierung konfiguriert werden.

Weitere Informationen zum Konfigurieren des periodischen EPA-Scans als Faktor bei der nFactor-Authentifizierung erhalten Sie, indem Sie aufCTX231361 Thema klicken.

Problembehandlung:

Die folgenden Punkte sind bei der Fehlerbehebung zu beachten.

  • Klassische und Advance-Richtlinien desselben Typs (z. B. Sitzungsrichtlinie) können nicht an dieselbe Entität/denselben Bindungspunkt gebunden werden.
  • Die Priorität ist für alle PI-Richtlinien obligatorisch.
  • Die VPN-Vorabrichtlinie kann an alle Bindpunkte gebunden werden.
  • Advance Policy mit derselben Priorität kann an einen einzigen Bindpunkt gebunden werden.
  • Wenn keine der konfigurierten Autorisierungsrichtlinien erreicht wird, wird die im VPN-Parameter konfigurierte globale Autorisierungsaktion angewendet.
  • In der Autorisierungsrichtlinie wird die Autorisierungsaktion nicht rückgängig gemacht, wenn die Autorisierungsregel fehlschlägt.

Häufig verwendete äquivalente Ausdrücke für erweiterte Richtlinien für klassische Richtlinien:

Klassische Richtlinienausdrücke Erweiterte Richtlinienausdrücke
ns_true wahr
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS “bar” .CONTAINS („bar“) [Beachten Sie die Verwendung von „.“.]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
VPN-Richtlinien über erweiterte Richtlinien erstellen