NetScaler SDX

Zugriffssteuerungslisten

Eine Zugriffssteuerungsliste (ACL) ist eine Reihe von Bedingungen, die Sie auf eine Netzwerk-Appliance anwenden können, um IP-Verkehr zu filtern und Ihre Appliance vor unbefugtem Zugriff zu schützen.

Sie können eine ACL auf Ihrer NetScaler SDX Management Service-GUI konfigurieren, um den Zugriff auf die Appliance einzuschränken und zu kontrollieren.

Hinweis:

ACLs auf SDX-Appliances werden ab Version 12.0 57.19 unterstützt.

Dieses Artikel enthält die folgenden Abschnitte:

  • Richtlinien für die Verwendung
  • Wie konfiguriert man ACLs
  • Andere Aktionen für ACL-Regeln
  • Problembehandlung

Richtlinien für die Verwendung

Beachten Sie beim Erstellen von ACLs auf Ihrer Appliance die folgenden Punkte:

  • Wenn Sie die SDX-Appliance auf Version 11.0 57.19 aktualisieren, ist die ACL-Funktion standardmäßig deaktiviert.
  • SDX-Administratoren können nur eingehende Pakete über ACL auf der SDX-Appliance steuern.
  • Wenn Sie NetScaler Console zur Verwaltung Ihrer SDX-Appliance verwenden, müssen Sie entsprechende ACL-Regeln erstellen, um die Kommunikation zwischen MAS und dem SDX Management Service zu ermöglichen.
  • Alle anderen Konfigurationen auf der SDX-Appliance wie das Bereitstellen oder Löschen von VPXs, das Hinzufügen/Löschen externer Server und die SNMP-Verwaltung erfordern keine Änderungen an der vorhandenen ACL-Konfiguration. Die Kommunikation mit diesen Stellen wird vom Management Service übernommen.

So konfigurieren Sie eine ACL

Das Konfigurieren einer ACL umfasst die folgenden Schritte:

  • Aktivieren der ACL-Funktion
  • Erstellen einer ACL-Regel
  • Aktivieren der ACL-Regel

Hinweis:

Sie können ACL-Regeln erstellen, ohne die ACL-Funktion zu aktivieren. Wenn die Funktion jedoch nicht aktiviert ist, können Sie eine ACL-Regel nicht aktivieren, nachdem Sie sie erstellt haben.

Aktivieren der ACL-Funktion

  1. Um die ACL-Funktion zu aktivieren, melden Sie sich bei der SDX Management Service GUI an und navigieren Sie zu Konfiguration > System > ACL.

  2. Schalten Sie mit der Umschalttaste die ACL-Funktion ein.

    ACL-Regel

Erstellen einer ACL-Regel

  1. Klicken Sie auf der ACL-Seite auf Regel erstellen.

  2. Das Fenster Regel erstellen wird geöffnet. Fügen Sie die in der folgenden Tabelle aufgeführten Details hinzu.

    Eigenschaft Beschreibung
    Name Füge einen Namen hinzu.
    Protokoll Wählen Sie im Menü ein Protokoll aus. Standardmäßig ist TCP ausgewählt. Sie können ANY auswählen, um alle Protokolle zuzulassen.
    Quell-IP-Adresse/Subnetz Geben Sie die Quell-IP-Adresse oder das Quellsubnetz an, für das die Regel gilt. Wählen Sie ANY aus, wenn die Regel auf den gesamten eingehenden Verkehr angewendet werden muss.
    Ziel-IP Die IP-Adresse des SDX Management Service wird automatisch als Ziel-IP gefüllt. Dieses Feld kann nicht bearbeitet werden.
    Destination port Geben Sie den Zielport an, für den die Regel gilt. Wählen Sie ANY aus, wenn die Regel für alle Zielports gilt.
    Aktion Wählen Sie die Aktion für die Regel aus: Zulassen oder Verweigern.
    Priorität Weisen Sie Priorität zu, um die Reihenfolge festzulegen, in der die Regel ausgewertet werden soll. Prioritätsnummern bestimmen die Reihenfolge, in der ACL-Regeln mit einem eingehenden Paket abgeglichen werden. Eine niedrigere Prioritätszahl hat eine höhere Priorität. Beispielsweise hat die Prioritätsnummer 1 eine höhere Priorität als die Prioritätsnummer 1. Wenn keine der Regeln mit dem eingehenden Paket übereinstimmt, ist das Paket gesperrt.
  3. Klicken Sie auf OK, um die Regel zu erstellen.

    Abbildung: Ein Beispiel für eine ACL-Regel

    SDX-ACL-Regel

    Nachdem die Regel erstellt wurde, befindet sie sich im Status Deaktiviert. Um die Regel wirksam zu machen, müssen Sie die Regel aktivieren.

    Hinweis:

    Um eine Regel zu aktivieren, muss die ACL-Funktion aktiviert sein. Wenn die Funktion deaktiviert ist und Sie versuchen, eine ACL-Regel zu aktivieren, wird die Meldung “ACL wird nicht ausgeführt” angezeigt.

Eine ACL-Regel aktivieren

  1. Fahren Sie mit der Maus über die Regel, die Sie aktivieren möchten, und klicken Sie auf den Kreis mit drei Punkten.

  2. Wählen Sie im Menü die Option Aktivierenaus.

  3. Wählen Sie alternativ das Optionsfeld für diese Regel aus und klicken Sie auf die Registerkarte Aktivieren .

  4. Klicken Sie bei der Eingabeaufforderung zur Bestätigung auf Ja .

Andere Aktionen für ACL-Regeln

Sie können die folgenden Aktionen auf die ACL-Regeln anwenden:

  1. Deaktivieren einer ACL-Regel

  2. Bearbeiten einer ACL-Regel

  3. Löschen einer ACL-Regel

  4. Nummerieren Sie die Priorität der ACL-Regeln neu

Deaktivieren einer ACL-Regel

  1. Bewegen Sie die Maus über die Regel, die Sie deaktivieren möchten, und wählen Sie den Kreis mit drei Punkten aus.

  2. Klicken Sie in der Liste auf Deaktivieren .

  3. Wählen Sie alternativ das Optionsfeld für diese Regel aus und klicken Sie auf die Registerkarte Deaktivieren .

  4. Klicken Sie zur Bestätigung auf Ja.

Hinweis:

Wenn Sie eine Regel deaktivieren, gilt die Regel nicht mehr für eingehenden Datenverkehr. Die Regelkonfiguration bleibt jedoch unter den ACL-Einstellungen.

Bearbeiten einer ACL-Regel

  1. Bewegen Sie den Mauszeiger über die Regel, die Sie bearbeiten möchten, und wählen Sie den Kreis mit drei Punkten aus.

  2. Klicken Sie in der Liste auf Regel bearbeiten . Das Fenster Regel ändern wird geöffnet.

  3. Wählen Sie alternativ das Optionsfeld für diese Regel aus und klicken Sie auf die Registerkarte Regel bearbeiten . Das Fenster Regel ändern wird geöffnet.

  4. Nehmen Sie die Änderungen vor und klicken Sie auf OK.

Hinweis:

Sie können eine Regel sowohl im aktivierten als auch im deaktivierten Status bearbeiten. Wenn Sie eine Regel bearbeiten, die bereits aktiviert ist, werden die Änderungen sofort angewendet. Für eine Regel im Status Deaktiviert werden die Änderungen übernommen, wenn Sie die Regel aktivieren.

Löschen einer ACL-Regel

  1. Stellen Sie sicher, dass sich die Regel im deaktivierten Zustand befindet.

  2. Bewegen Sie den Mauszeiger über die Regel, die Sie löschen möchten, und wählen Sie den Kreis mit drei Punkten aus. Klicken Sie in der Liste auf Regel löschen .

  3. Wählen Sie alternativ das Optionsfeld für diese Regel aus und klicken Sie auf die Registerkarte Regel löschen .

  4. Klicken Sie zur Bestätigung auf Ja.

Hinweis:

Sie können eine Regel im aktivierten Status nicht löschen.

Nummerieren Sie die Prioritäten der ACL-Regeln neu

  1. Bewegen Sie den Mauszeiger über die Regel, für die Sie die Prioritäten neu nummerieren möchten, und wählen Sie den Kreis mit drei Punkten aus. Klicken Sie in der Liste auf Priorität (n) neu nummerieren .

  2. Wählen Sie alternativ das Optionsfeld für diese Regel aus und klicken Sie auf die Registerkarte Aktion auswählen .

  3. Wählen Sie Priorität (n) neu nummerieren.

  4. Der SDX Management Service weist allen vorhandenen Regeln automatisch neue Prioritätsnummern zu, die ein Vielfaches von 10 sind.

  5. Bearbeiten Sie die Regeln, um Prioritätsnummern entsprechend Ihrer Anforderung zuzuweisen. Weitere Informationen zum Bearbeiten einer Regel finden Sie im Abschnitt “So bearbeiten Sie eine ACL-Regel”.

Abbildung. Ein Beispiel für vorhandene Prioritätsnummern

Bestehende Prioritätsnummer

Abbildung. Ein Beispiel für Prioritätszahlen in Vielfachen von 10, nachdem Prioritäten neu nummeriert wurden

Nummeriert die Priorität neu

Problembehandlung

Wenn ACL-Regeln nicht ordnungsgemäß eingerichtet wurden, kann allen Benutzerkonten der Zugriff verweigert werden. Wenn Sie versehentlich den gesamten Netzwerkzugriff auf den SDX Management Service aufgrund einer falschen ACL-Setup verlieren, gehen Sie folgendermaßen vor, um Zugriff zu erhalten.

  1. Melden Sie sich mit SSH und Ihrem “root” -Konto bei der Citrix Hypervisor Management-IP-Adresse an.

  2. Melden Sie sich mit Administratorrechten an der Konsole der Management Service-VM an.

  3. Führen Sie den Befehl pfctl –d aus.

  4. Melden Sie sich über die GUI beim Management Service an und konfigurieren Sie die ACL entsprechend neu.

Zugriffssteuerungslisten