NetScaler VPX

NetScaler Web App Firewall auf AWS bereitstellen

Die NetScaler Web App Firewall kann entweder als Layer-3-Netzwerkgerät oder als Layer-2-Netzwerkbrücke zwischen Kundenservern und Kundenbenutzern installiert werden, üblicherweise hinter dem Router oder der Firewall des Kundenunternehmens. Die NetScaler Web App Firewall muss an einem Ort installiert werden, wo sie den Datenverkehr zwischen den Webservern und dem Hub oder Switch, über den Benutzer auf diese Webserver zugreifen, abfangen kann. Benutzer konfigurieren dann das Netzwerk so, dass Anfragen an die Web Application Firewall gesendet werden, anstatt direkt an ihre Webserver, und Antworten an die Web Application Firewall, anstatt direkt an ihre Benutzer. Die Web Application Firewall filtert diesen Datenverkehr, bevor sie ihn an sein endgültiges Ziel weiterleitet, unter Verwendung sowohl ihres internen Regelsatzes als auch der Benutzerergänzungen und -änderungen. Sie blockiert oder macht jede Aktivität unschädlich, die sie als schädlich erkennt, und leitet dann den verbleibenden Datenverkehr an den Webserver weiter. Die vorhergehende Abbildung bietet einen Überblick über den Filterprozess.

Weitere Informationen finden Sie unter Funktionsweise der NetScaler Web App Firewall.

Architektur für NetScaler Web App Firewall auf AWS für die Produktionsbereitstellung

Die Abbildung zeigt eine Virtual Private Cloud (VPC) mit Standardparametern, die eine NetScaler Web App Firewall-Umgebung in der AWS Cloud aufbaut.

Architektur für NetScaler Web App Firewall auf AWS für die Produktionsbereitstellung

Bei einer Produktionsbereitstellung werden die folgenden Parameter für die NetScaler Web App Firewall-Umgebung eingerichtet:

  • Diese Architektur setzt die Verwendung eines AWS CloudFormation-Templates voraus.

  • Eine VPC, die sich über zwei Availability Zones erstreckt, konfiguriert mit zwei öffentlichen und vier privaten Subnetzen, gemäß den Best Practices von AWS, um Ihnen Ihr eigenes virtuelles Netzwerk auf AWS mit einem /16 Classless Inter-Domain Routing (CIDR)-Block (ein Netzwerk mit 65.536 privaten IP-Adressen) bereitzustellen. *

  • Zwei Instanzen der NetScaler Web App Firewall (Primär und Sekundär), jeweils eine in jeder Availability Zone.

  • Drei Sicherheitsgruppen, eine für jede Netzwerkschnittstelle (Management, Client, Server), die als virtuelle Firewalls fungieren, um den Datenverkehr für ihre zugehörigen Instanzen zu steuern.

  • Drei Subnetze, für jede Instanz – eines für Management, eines für Client und eines für den Backend-Server.

  • Ein an die VPC angehängtes Internet-Gateway und eine Routing-Tabelle für öffentliche Subnetze, die mit öffentlichen Subnetzen verknüpft ist, um den Zugriff auf das Internet zu ermöglichen. Dieses Gateway wird vom Web App Firewall-Host verwendet, um Datenverkehr zu senden und zu empfangen. Weitere Informationen zu Internet-Gateways finden Sie unter: Internet-Gateways. *

  • 5 Routing-Tabellen – eine öffentliche Routing-Tabelle, die mit den Client-Subnetzen sowohl der primären als auch der sekundären Web App Firewall verknüpft ist. Die verbleibenden 4 Routing-Tabellen sind mit jedem der 4 privaten Subnetze (Management- und serverseitige Subnetze der primären und sekundären Web App Firewall) verknüpft. *

  • AWS Lambda in der Web App Firewall übernimmt Folgendes:

    • Konfiguration von zwei Web App Firewalls in jeder Verfügbarkeitszone im HA-Modus

    • Erstellen eines Beispiel-Web App Firewall-Profils und Übertragen dieser Konfiguration in Bezug auf die Web App Firewall

  • AWS Identity and Access Management (IAM) zur sicheren Steuerung des Zugriffs auf AWS-Dienste und -Ressourcen für Ihre Benutzer. Standardmäßig erstellt die CloudFormation-Vorlage (CFT) die erforderliche IAM-Rolle. Benutzer können jedoch ihre eigene IAM-Rolle für NetScaler ADC-Instanzen bereitstellen.

  • In den öffentlichen Subnetzen zwei verwaltete Network Address Translation (NAT)-Gateways, um ausgehenden Internetzugang für Ressourcen in öffentlichen Subnetzen zu ermöglichen.

Hinweis:

Die CFT Web App Firewall-Vorlage, die die NetScaler Web App Firewall in eine bestehende VPC bereitstellt, überspringt die mit Sternchen gekennzeichneten Komponenten und fordert Benutzer zur Eingabe ihrer bestehenden VPC-Konfiguration auf.

Backend-Server werden nicht von der CFT bereitgestellt.

Kosten und Lizenzierung

Benutzer sind für die Kosten der AWS-Dienste verantwortlich, die bei der Ausführung von AWS-Bereitstellungen verwendet werden. Die AWS CloudFormation-Vorlagen, die für diese Bereitstellung verwendet werden können, enthalten Konfigurationsparameter, die Benutzer nach Bedarf anpassen können. Einige dieser Einstellungen, wie z. B. der Instanztyp, beeinflussen die Bereitstellungskosten. Für Kostenschätzungen sollten Benutzer die Preisübersichten für jeden von ihnen verwendeten AWS-Dienst konsultieren. Die Preise können sich ändern.

Eine NetScaler Web App Firewall auf AWS erfordert eine Lizenz. Um die NetScaler Web App Firewall zu lizenzieren, müssen Benutzer den Lizenzschlüssel in einem S3-Bucket ablegen und dessen Speicherort beim Start der Bereitstellung angeben.

Hinweis:

Wenn Benutzer das Lizenzierungsmodell „Bring your own license“ (BYOL) wählen, sollten sie sicherstellen, dass die AppFlow-Funktion aktiviert ist. Weitere Informationen zur BYOL-Lizenzierung finden Sie unter: AWS Marketplace/Citrix VPX – Kundenlizenziert.

Die folgenden Lizenzierungsoptionen sind für Citrix® ADC Web App Firewall unter AWS verfügbar. Benutzer können ein AMI (Amazon Machine Image) basierend auf einem einzelnen Faktor wie dem Durchsatz auswählen.

  • Lizenzmodell: Pay as You Go (PAYG, für die Produktionslizenzen) oder Bring Your Own License (BYOL, für das kundenlizenzierte AMI – Citrix ADC Pooled Capacity). Weitere Informationen zu Citrix ADC Pooled Capacity finden Sie unter: Citrix ADC Pooled Capacity.

Hinweis:

Wenn Benutzer die Bandbreite einer VPX-Instanz dynamisch ändern möchten, sollten sie eine BYOL-Option wählen, zum Beispiel NetScaler Pooled Capacity, wo sie die Lizenzen von NetScaler Console zuweisen können, oder sie können die Lizenzen von NetScaler entsprechend der minimalen und maximalen Kapazität der Instanz bei Bedarf und ohne Neustart auschecken. Ein Neustart ist nur erforderlich, wenn Benutzer die Lizenzedition ändern möchten.

  • Durchsatz: 200 Mbit/s oder 1 Gbit/s

  • Paket: Premium

Bereitstellungsoptionen

Dieser Bereitstellungsleitfaden bietet zwei Bereitstellungsoptionen:

  • Die erste Option ist die Bereitstellung im Quick Start Guide-Format und die folgenden Optionen:

    • NetScaler Web App Firewall in einer neuen VPC bereitstellen (End-to-End-Bereitstellung). Diese Option erstellt eine neue AWS-Umgebung, bestehend aus VPC, Subnetzen, Sicherheitsgruppen und anderen Infrastrukturkomponenten, und stellt dann NetScaler Web App Firewall in dieser neuen VPC bereit.

    • NetScaler Web App Firewall in einer vorhandenen VPC bereitstellen. Diese Option stellt NetScaler Web App Firewall in der vorhandenen AWS-Infrastruktur des Benutzers bereit.

  • Die zweite Option ist die Bereitstellung mithilfe von Web App Firewall StyleBooks über NetScaler Console.

AWS Quick Start

Schritt 1: Melden Sie sich beim AWS-Konto des Benutzers an

  • Melden Sie sich beim Benutzerkonto bei AWS an: AWS mit einer IAM (Identity and Access Management)-Benutzerrolle, die die erforderlichen Berechtigungen zum Erstellen eines Amazon-Kontos (falls erforderlich) oder zum Anmelden bei einem Amazon-Konto besitzt.

  • Verwenden Sie die Regionsauswahl in der Navigationsleiste, um die AWS-Region auszuwählen, in der Benutzer Hochverfügbarkeit über AWS-Verfügbarkeitszonen hinweg bereitstellen möchten.

  • Stellen Sie sicher, dass das AWS-Konto des Benutzers korrekt konfiguriert ist; weitere Informationen finden Sie im Abschnitt „Technische Anforderungen“ dieses Dokuments.

Schritt 2: Abonnieren des NetScaler Web App Firewall AMI

  • Für diese Bereitstellung ist ein Abonnement für das AMI für NetScaler Web App Firewall im AWS Marketplace erforderlich.

  • Melden Sie sich beim AWS-Konto des Benutzers an.

  • Öffnen Sie die Seite für das NetScaler Web App Firewall-Angebot, indem Sie einen der Links in der folgenden Tabelle auswählen.

    • Wenn Benutzer den Quick Start Guide starten, um NetScaler Web App Firewall in Schritt 3 unten bereitzustellen, verwenden sie den Parameter NetScaler Web App Firewall Image, um das Bundle und die Durchsatzoption auszuwählen, die ihrem AMI-Abonnement entsprechen. Die folgende Liste zeigt die AMI-Optionen und die entsprechenden Parametereinstellungen. Die VPX AMI-Instanz erfordert mindestens 2 virtuelle CPUs und 2 GB Arbeitsspeicher.

Hinweis:

Um die AMI-ID abzurufen, siehe die Seite NetScaler Products on AWS Marketplace auf GitHub: Citrix Products on AWS Marketplace.

AWS Marketplace-Seite für eine NetScaler Web Application Firewall (Web App Firewall)

  • Überprüfen Sie die Geschäftsbedingungen für die Softwarenutzung und wählen Sie dann Bedingungen akzeptieren.

Akzeptieren der Bedingungen der NetScaler Web App Firewall-Benutzerlizenzvereinbarung

Hinweis:

Benutzer erhalten eine Bestätigungsseite, und eine E-Mail-Bestätigung wird an den Kontoinhaber gesendet. Detaillierte Anweisungen zum Abonnement finden Sie unter Erste Schritte in der AWS Marketplace-Dokumentation: Erste Schritte.

  • Wenn der Abonnementprozess abgeschlossen ist, verlassen Sie den AWS Marketplace ohne weitere Maßnahmen. Stellen Sie die Software nicht über den AWS Marketplace bereit – Benutzer stellen das AMI mit dem Quick Start Guide bereit.

Schritt 3: AWS Quick Start starten

Wichtig:

Wenn Benutzer NetScaler Web App Firewall in einer vorhandenen VPC bereitstellen, müssen sie sicherstellen, dass ihre VPC zwei Availability Zones umfasst, mit einem öffentlichen und zwei privaten Subnetzen in jeder Availability Zone für die Workload-Instanzen, und dass die Subnetze nicht gemeinsam genutzt werden. Dieses Bereitstellungshandbuch unterstützt keine gemeinsam genutzten Subnetze, siehe Arbeiten mit gemeinsam genutzten VPCs: Arbeiten mit gemeinsam genutzten VPCs. Diese Subnetze benötigen NAT-Gateways in ihren Routing-Tabellen, damit die Instanzen Pakete und Software herunterladen können, ohne sie dem Internet auszusetzen. Weitere Informationen zu NAT-Gateways finden Sie unter NAT-Gateways. Konfigurieren Sie die Subnetze so, dass es keine Überschneidungen von Subnetzen gibt.

Benutzer sollten außerdem sicherstellen, dass die Option für den Domänennamen in den DHCP-Optionen wie in der Amazon VPC-Dokumentation beschrieben konfiguriert ist: DHCP Options Sets DHCP Options Sets. Benutzer werden beim Start des Quick Start Guide nach ihren VPC-Einstellungen gefragt.

  • Jede Bereitstellung dauert etwa 15 Minuten.

  • Überprüfen Sie die AWS-Region, die in der oberen rechten Ecke der Navigationsleiste angezeigt wird, und ändern Sie sie bei Bedarf. Hier wird die Netzwerkinfrastruktur für Citrix Web App Firewall aufgebaut. Die Vorlage wird standardmäßig in der Region USA Ost (Ohio) gestartet.

Hinweis:

Diese Bereitstellung umfasst NetScaler Web App Firewall, das derzeit nicht in allen AWS-Regionen unterstützt wird. Eine aktuelle Liste der unterstützten Regionen finden Sie unter AWS Service Endpoints: AWS Service Endpoints.

  • Behalten Sie auf der Seite Vorlage auswählen die Standardeinstellung für die Vorlagen-URL bei und wählen Sie dann Weiter.

  • Geben Sie auf der Seite Details angeben den Stack-Namen nach Belieben des Benutzers an. Überprüfen Sie die Parameter für die Vorlage. Geben Sie Werte für die Parameter an, die eine Eingabe erfordern. Überprüfen Sie für alle anderen Parameter die Standardeinstellungen und passen Sie sie bei Bedarf an.

  • In der folgenden Tabelle sind die Parameter nach Kategorie aufgeführt und für die Bereitstellungsoption separat beschrieben:

  • Parameter zum Bereitstellen von NetScaler Web App Firewall in einer neuen oder vorhandenen VPC (Bereitstellungsoption 1)

  • Wenn Benutzer die Überprüfung und Anpassung der Parameter abgeschlossen haben, sollten sie Weiter wählen.

Parameter zum Bereitstellen von NetScaler Web App Firewall in einer neuen VPC

VPC-Netzwerkkonfiguration

Parameterbezeichnung (Name) Standard Beschreibung
Primäre Verfügbarkeitszone (PrimaryAvailabilityZone) Eingabe erforderlich Die Availability Zone für die Bereitstellung der primären NetScaler Web App Firewall
Sekundäre Availability Zone (SecondaryAvailabilityZone) Eingabe erforderlich Die Availability Zone für die Bereitstellung der sekundären NetScaler Web App Firewall
VPC-CIDR (VPCCIDR) 10.0.0.0/16 Der CIDR-Block für die VPC. Muss ein gültiger IP-CIDR-Bereich der Form x.x.x.x/x sein.
Remote SSH CIDR IP (Verwaltung) (RestrictedSSHCIDR) Eingabe erforderlich Der IP-Adressbereich, der per SSH auf die EC2-Instanz zugreifen kann (Port: 22).
Remote HTTP CIDR IP (Client) (RestrictedWebAppCIDR) 0.0.0.0/0 Der IP-Adressbereich, der per HTTP auf die EC2-Instanz zugreifen kann (Port: 80)
Remote HTTP CIDR IP (Client) (RestrictedWebAppCIDR) 0.0.0.0/0 Der IP-Adressbereich, der per HTTP auf die EC2-Instanz zugreifen kann (Port: 80)
Primäres privates Management-Subnetz-CIDR (PrimaryManagementPrivateSubnetCIDR) 10.0.1.0/24 Der CIDR-Block für das primäre Management-Subnetz in Verfügbarkeitszone 1.
Primäre private Management-IP (PrimaryManagementPrivateIP) Private IP, die der primären Management-ENI zugewiesen ist (das letzte Oktett muss zwischen 5 und 254 liegen) aus dem primären Management-Subnetz-CIDR.
Primäres öffentliches Client-Subnetz-CIDR (PrimaryClientPublicSubnetCIDR) 10.0.2.0/24 Der CIDR-Block für das primäre Client-Subnetz in Verfügbarkeitszone 1.
Primäre private Client-IP (PrimaryClientPrivateIP) Private IP, die der primären Client-ENI zugewiesen ist (das letzte Oktett muss zwischen 5 und 254 liegen) aus dem primären Client-Subnetz-CIDR.
Privater Subnetz-CIDR des primären Servers (PrimaryServerPrivateSubnetCIDR) 10.0.3.0/24 Der CIDR-Block für den primären Server in Verfügbarkeitszone 1.
Private IP des primären Servers (PrimaryServerPrivateIP) Private IP, die der ENI des primären Servers zugewiesen ist (das letzte Oktett muss zwischen 5 und 254) aus dem Subnetz-CIDR des primären Servers.
Privater Subnetz-CIDR für die sekundäre Verwaltung (SecondaryManagementPrivateSubnetCIDR) 10.0.4.0/24 Der CIDR-Block für das Subnetz der sekundären Verwaltung in Verfügbarkeitszone 2.
Private IP der sekundären Verwaltung (SecondaryManagementPrivateIP) Private IP, die der ENI der sekundären Verwaltung zugewiesen ist (das letzte Oktett muss zwischen 5 und 254). Sie würde die IP der sekundären Verwaltung aus dem Subnetz-CIDR der sekundären Verwaltung zuweisen.
Öffentlicher Subnetz-CIDR des sekundären Clients (SecondaryClientPublicSubnetCIDR) 10.0.5.0/24 Der CIDR-Block für das Subnetz des sekundären Clients in Verfügbarkeitszone 2.
Sekundäre private Client-IP (SecondaryClientPrivateIP) Private IP, die der sekundären Client-ENI zugewiesen ist (das letzte Oktett muss zwischen 5 und 254 liegen). Sie würde die sekundäre Client-IP aus dem CIDR des sekundären Client-Subnetzes zuweisen.
Sekundäres privates Server-Subnetz-CIDR (SecondaryServerPrivateSubnetCIDR) 10.0.6.0/24 Der CIDR-Block für das sekundäre Server-Subnetz in Verfügbarkeitszone 2.
Sekundäre private Server-IP (SecondaryServerPrivateIP) Private IP, die der sekundären Server-ENI zugewiesen ist (das letzte Oktett muss zwischen 5 und 254 liegen). Sie würde die sekundäre Server-IP aus dem CIDR des sekundären Server-Subnetzes zuweisen.
VPC-Tenancy-Attribut (VPCTenancy) Standard Die zulässige Tenancy von Instanzen, die in die VPC gestartet werden. Wählen Sie die dedizierte Tenancy, um EC2-Instanzen zu starten, die einem einzelnen Kunden gewidmet sind.

Bastion-Host-Konfiguration

Parameterbezeichnung (Name) Standard Beschreibung
Bastion-Host erforderlich (LinuxBastionHostEIP) Nein Standardmäßig wird kein Bastion-Host konfiguriert. Wenn Benutzer jedoch eine Sandbox-Bereitstellung wünschen, wählen Sie im Menü „Ja“ aus. Dadurch wird ein Linux-Bastion-Host im öffentlichen Subnetz mit einer EIP bereitgestellt, die Benutzern den Zugriff auf die Komponenten im privaten und öffentlichen Subnetz ermöglicht.

NetScaler Web App Firewall-Konfiguration

Parameterbezeichnung (Name) Standard Beschreibung
Schlüsselpaarname (KeyPairName) Eingabe erforderlich Ein öffentliches/privates Schlüsselpaar, das Benutzern eine sichere Verbindung zur Benutzerinstanz nach deren Start ermöglicht. Dies ist das Schlüsselpaar, das Benutzer in ihrer bevorzugten AWS-Region erstellt haben; siehe den Abschnitt „Technische Anforderungen“.
NetScaler-Instanztyp (CitrixADCInstanceType) m4.xlarge Der EC2-Instanztyp, der für die ADC-Instanzen verwendet werden soll. Stellen Sie sicher, dass der gewählte Instanztyp mit den auf dem AWS Marketplace verfügbaren Instanztypen übereinstimmt, da sonst die CFT fehlschlagen könnte.
NetScaler ADC AMI-ID (CitrixADCImageID) Das AWS Marketplace AMI, das für die Bereitstellung der NetScaler Web App Firewall verwendet werden soll. Dies muss mit dem AMI übereinstimmen, das Benutzer in Schritt 2 abonniert haben.
NetScaler ADC VPX IAM-Rolle (iam:GetRole) Diese Vorlage: AWS-Quickstart/Quickstart-Citrix-ADC-VPX/Templates erstellt die IAM-Rolle und das Instance Profile, die für NetScaler VPX erforderlich sind. Wenn leer gelassen, erstellt CFT die erforderliche IAM-Rolle.
Client PublicIP(EIP) (ClientPublicEIP) Nein Wählen Sie „Ja“, wenn Benutzer eine öffentliche EIP der Client-Netzwerkschnittstelle des Benutzers zuweisen möchten. Andernfalls haben Benutzer auch nach der Bereitstellung immer noch die Möglichkeit, sie bei Bedarf später zuzuweisen.

Konfiguration der Pool-Lizenzierung

Parameterbezeichnung (Name) Standard Beschreibung
NetScaler Console Pool-Lizenzierung Nein Wenn Sie die BYOL-Option für die Lizenzierung wählen, wählen Sie Ja aus der Liste. Dies ermöglicht Benutzern, ihre bereits erworbenen Lizenzen hochzuladen. Bevor Benutzer beginnen, sollten sie die NetScaler ADC Pool-Kapazität konfigurieren, um sicherzustellen, dass die NetScaler Console Pool-Lizenzierung verfügbar ist, siehe Configure NetScalerPooled Capacity
Erreichbare NetScaler Console / NetScaler Console Agent IP Erfordert Eingabe Für die Option „Kundenlizenziert“ stellen Sie sicher, dass eine erreichbare NetScaler Console IP vorhanden ist, die dann als Eingabeparameter verwendet wird, unabhängig davon, ob Benutzer NetScaler Console lokal oder einen Agenten in der Cloud bereitstellen.
Lizenzierungsmodus


Optional


Benutzer können aus den 3 Lizenzierungsmodi wählen:
  • NetScaler Pooled Capacity konfigurieren. Weitere Informationen finden Sie unter Citrix ADC Pooled Capacity konfigurieren
  • NetScaler VPX Check-in- und Check-out-Lizenzierung (CICO). Weitere Informationen finden Sie unter Citrix ADC VPX Check-in- und Check-out-Lizenzierung
  • NetScaler virtuelle CPU-Lizenzierung. Weitere Informationen finden Sie unter Citrix ADC virtuelle CPU-Lizenzierung
  • Lizenzbandbreite in MBit/s 0 MBit/s Dieses Feld wird nur relevant, wenn der Lizenzierungsmodus Pooled-Licensing ist. Es weist eine anfängliche Lizenzbandbreite in MBit/s zu, die nach der Erstellung von BYOL ADCs zugewiesen werden soll. Sie sollte ein Vielfaches von 10 MBit/s sein.
    Lizenzedition Premium Die Lizenzedition für den Pooled Capacity Licensing Mode ist Premium.
    Appliance-Plattformtyp Optional Wählen Sie den erforderlichen Appliance-Plattformtyp nur aus, wenn Benutzer den CICO-Lizenzierungsmodus wählen. Benutzern stehen die folgenden Optionen zur Verfügung: VPX-200, VPX-1000, VPX-3000, VPX-5000, VPX-8000.
    Lizenzedition Premium Die Lizenzedition für die vCPU-basierte Lizenzierung ist Premium.

    AWS Quick Start-Konfiguration

    Hinweis:

    Wir empfehlen Benutzern, die Standardeinstellungen für die folgenden beiden Parameter beizubehalten, es sei denn, sie passen die Quick Start Guide-Vorlagen für ihre eigenen Bereitstellungsprojekte an. Das Ändern der Einstellungen dieser Parameter aktualisiert automatisch Code-Referenzen, um auf einen neuen Quick Start Guide-Speicherort zu verweisen. Weitere Informationen finden Sie im AWS Quick Start Guide Contributor’s Guide hier: AWS Quick Starts/Option 1 - Adopt a Quick Start.

    Parameterbezeichnung (Name) Standard Beschreibung
    S3-Bucket-Name des Quick Start Guide (QSS3BucketName) aws-quickstart Der S3-Bucket, den Benutzer für ihre Kopie der Quick Start Guide-Assets erstellt haben, falls sie den Quick Start Guide für ihre eigene Nutzung anpassen oder erweitern möchten. Der Bucket-Name kann Zahlen, Kleinbuchstaben, Großbuchstaben und Bindestriche enthalten, sollte aber nicht mit einem Bindestrich beginnen oder enden.
    S3-Schlüsselpräfix des Quick Start Guide (QSS3KeyPrefix) quickstart-citrix-adc-vpx/ Das S3-Schlüsselnamenpräfix aus dem Objekt-Schlüssel und Metadaten: Objekt-Schlüssel und Metadaten wird verwendet, um einen Ordner für die Benutzerkopie der Quick Start Guide-Assets zu simulieren, falls Benutzer den Quick Start Guide für ihre eigene Nutzung anpassen oder erweitern möchten. Dieses Präfix kann Zahlen, Kleinbuchstaben, Großbuchstaben, Bindestriche und Schrägstriche enthalten.
    • Auf der Seite Optionen können Benutzer ein Ressourcen-Tag oder ein Schlüssel-Wert-Paar für Ressourcen in Ihrem Stack angeben und erweiterte Optionen festlegen. Weitere Informationen zu Ressourcen-Tags finden Sie unter: Ressourcen-Tag. Weitere Informationen zum Festlegen von AWS CloudFormation Stack-Optionen finden Sie unter: Festlegen von AWS CloudFormation Stack-Optionen. Wenn Benutzer fertig sind, sollten sie Weiter wählen.

    • Überprüfen und bestätigen Sie auf der Seite Überprüfung die Vorlageneinstellungen. Aktivieren Sie unter Funktionen die beiden Kontrollkästchen, um zu bestätigen, dass die Vorlage IAM-Ressourcen erstellt und möglicherweise die Fähigkeit zur automatischen Erweiterung von Makros erfordert.

    • Wählen Sie Erstellen, um den Stack bereitzustellen.

    • Überwachen Sie den Status des Stacks. Wenn der Status CREATE_COMPLETE lautet, ist die NetScaler Web App Firewall-Instanz bereit.

    • Verwenden Sie die im Tab Ausgaben für den Stack angezeigten URLs, um die erstellten Ressourcen anzuzeigen.

    NetScaler Web App Firewall-Ausgaben nach erfolgreicher Bereitstellung

    Schritt 4: Bereitstellung testen

    Wir bezeichnen die Instanzen in dieser Bereitstellung als primär und sekundär. Jede Instanz hat unterschiedliche IP-Adressen, die ihr zugeordnet sind. Wenn der Quick Start erfolgreich bereitgestellt wurde, läuft der Datenverkehr über die primäre NetScaler Web App Firewall-Instanz, die in Verfügbarkeitszone 1 konfiguriert ist. Bei Failover-Bedingungen, wenn die primäre Instanz nicht auf Client-Anfragen reagiert, übernimmt die sekundäre Web App Firewall-Instanz.

    Die Elastic IP-Adresse der virtuellen IP-Adresse der primären Instanz migriert zur sekundären Instanz, die als neue primäre Instanz übernimmt.

    Beim Failover-Prozess führt NetScaler Web App Firewall Folgendes aus:

    • NetScaler Web App Firewall überprüft die virtuellen Server, denen IP-Sets zugeordnet sind.

    • NetScaler Web App Firewall findet die IP-Adresse, die eine zugehörige öffentliche IP-Adresse hat, aus den beiden IP-Adressen, auf denen der virtuelle Server lauscht. Eine, die direkt dem virtuellen Server zugeordnet ist, und eine, die über das IP-Set zugeordnet ist.

    • NetScaler Web App Firewall ordnet die öffentliche Elastic IP-Adresse der privaten IP-Adresse neu zu, die zur neuen primären virtuellen IP-Adresse gehört.

    Um die Bereitstellung zu validieren, führen Sie Folgendes aus:

    • Verbindung zur primären Instanz herstellen

    Zum Beispiel mit einem Proxy-Server, einem Jump-Host (einer Linux-/Windows-/FW-Instanz, die in AWS läuft, oder dem Bastion-Host) oder einem anderen Gerät, das für diese VPC oder eine Direct Connect erreichbar ist, wenn es um On-Premise-Konnektivität geht.

    • Führen Sie eine Trigger-Aktion aus, um ein Failover zu erzwingen, und prüfen Sie, ob die sekundäre Instanz übernimmt.

    Tipp:

    Um die Konfiguration bezüglich NetScaler Web App Firewall weiter zu validieren, führen Sie nach der Verbindung mit der primären NetScaler Web App Firewall-Instanz den folgenden Befehl aus:

    Sh appfw profile QS-Profile

    Verbindung zum NetScaler Web App Firewall HA-Paar über Bastion-Host herstellen

    Wenn Benutzer sich für die Sandbox-Bereitstellung entscheiden (z. B. im Rahmen von CFT, entscheiden sich Benutzer für die Konfiguration eines Bastion-Hosts), wird ein Linux-Bastion-Host, der in einem öffentlichen Subnetz bereitgestellt wird, für den Zugriff auf die Web App Firewall-Schnittstellen konfiguriert.

    Wählen Sie in der AWS CloudFormation-Konsole, auf die Sie sich hier anmelden können: Anmelden, den Master-Stack aus und suchen Sie auf der Registerkarte Outputs den Wert von LinuxBastionHostEIP1.

    NetScaler Web App Firewall HA-Paar-Bereitstellungsressourcen

    • Der Wert der Schlüssel PrivateManagementPrivateNSIP und PrimaryADCInstanceID wird in den späteren Schritten für den SSH-Zugriff auf den ADC verwendet.

    • Wählen Sie Services.

    • Wählen Sie auf der Registerkarte Compute die Option EC2.

      • Wählen Sie unter Resources die Option Running Instances.

      • Notieren Sie auf der Registerkarte Description der primären Web App Firewall-Instanz die öffentliche IPv4-Adresse. Benutzer benötigen diese IP-Adresse, um den SSH-Befehl zu erstellen.

    Amazon EC2-Konsole mit Beschreibung der primären Instanz

    • Um den Schlüssel im Benutzerschlüsselbund zu speichern, führen Sie den Befehl ssh-add -K [your-key-pair].pem aus.

    Unter Linux müssen Benutzer möglicherweise das Flag -K weglassen.

    • Melden Sie sich mit dem folgenden Befehl beim Bastion-Host an, wobei Sie den Wert für LinuxBastionHostEIP1 verwenden, den Sie in Schritt 1 notiert haben.

    ssh -A ubuntu@[LinuxBastionHostEIP1]

    • Vom Bastion-Host aus können Benutzer über SSH eine Verbindung zur primären Web App Firewall-Instanz herstellen.

    ssh nsroot@[Primary Management Private NSIP]

    Passwort: [Primary ADC Instance ID]

    Verbindung zur primären NetScaler Web App Firewall Instanz herstellen

    Benutzer sind nun mit der primären NetScaler Web App Firewall Instanz verbunden. Um die verfügbaren Befehle anzuzeigen, können Benutzer den Befehl „help“ ausführen. Um die aktuelle HA-Konfiguration anzuzeigen, können Benutzer den Befehl „show HA node“ ausführen.

    NetScaler Console

    Der NetScaler Application Delivery Management Service bietet eine einfache und skalierbare Lösung zur Verwaltung von NetScaler-Bereitstellungen, die NetScaler MPX, NetScaler VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler SDX, NetScaler ADC CPX und NetScaler SD-WAN Appliances umfassen, die On-Premises oder in der Cloud bereitgestellt werden.

    Die Dokumentation zum NetScaler Console Service enthält Informationen zum Einstieg in den Dienst, eine Liste der vom Dienst unterstützten Funktionen und die spezifische Konfiguration für diese Dienstlösung.

    Weitere Informationen finden Sie unter NetScaler Console – Übersicht.

    Bereitstellen von NetScaler VPX-Instanzen auf AWS mit NetScaler Console

    Wenn Kunden ihre Anwendungen in die Cloud verlagern, nehmen die Komponenten ihrer Anwendung zu, werden stärker verteilt und müssen dynamisch verwaltet werden.

    Weitere Informationen finden Sie unter Bereitstellen von NetScaler VPX-Instanzen auf AWS.

    NetScaler Web App Firewall und OWASP Top 10 – 2017

    Das Open Web Application Security Project: OWASP hat die OWASP Top 10 für 2017 für die Sicherheit von Webanwendungen veröffentlicht. Diese Liste dokumentiert die häufigsten Schwachstellen von Webanwendungen und ist ein guter Ausgangspunkt zur Bewertung der Websicherheit. Hier wird detailliert beschrieben, wie die NetScaler Web App Firewall (Web App Firewall) konfiguriert wird, um diese Schwachstellen zu mindern. Die Web App Firewall ist als integriertes Modul im NetScaler (Premium Edition) sowie als vollständige Palette von Appliances verfügbar.

    Das vollständige OWASP Top 10 Dokument ist unter OWASP Top Ten verfügbar.

    Signaturen bieten die folgenden Bereitstellungsoptionen, um Benutzern zu helfen, den Schutz ihrer Anwendungen zu optimieren:

    • Negatives Sicherheitsmodell: Mit dem negativen Sicherheitsmodell verwenden Benutzer einen umfangreichen Satz vorkonfigurierter Signaturregeln, um die Leistungsfähigkeit des Musterabgleichs zur Erkennung von Angriffen und zum Schutz vor Anwendungsschwachstellen zu nutzen. Benutzer blockieren nur das, was sie nicht wollen, und erlauben den Rest. Benutzer können ihre eigenen Signaturregeln basierend auf den spezifischen Sicherheitsanforderungen ihrer Anwendungen hinzufügen, um ihre eigenen angepassten Sicherheitslösungen zu entwerfen.

    • Hybrides Sicherheitsmodell: Zusätzlich zur Verwendung von Signaturen können Benutzer positive Sicherheitsprüfungen verwenden, um eine Konfiguration zu erstellen, die ideal für Benutzeranwendungen geeignet ist. Verwenden Sie Signaturen, um zu blockieren, was Benutzer nicht möchten, und verwenden Sie positive Sicherheitsprüfungen, um durchzusetzen, was erlaubt ist.

    Um Benutzeranwendungen mithilfe von Signaturen zu schützen, müssen Benutzer ein oder mehrere Profile konfigurieren, um ihr Signaturenobjekt zu verwenden. In einer hybriden Sicherheitskonfiguration werden die SQL-Injection- und Cross-Site-Scripting-Muster sowie die SQL-Transformationsregeln im Benutzer-Signaturenobjekt nicht nur von den Signaturregeln verwendet, sondern auch von den positiven Sicherheitsprüfungen, die im Web Application Firewall-Profil konfiguriert sind, das das Signaturenobjekt verwendet.

    Die Web Application Firewall untersucht den Datenverkehr zu benutzergeschützten Websites und Webdiensten, um Datenverkehr zu erkennen, der einer Signatur entspricht. Eine Übereinstimmung wird nur ausgelöst, wenn jedes Muster in der Regel dem Datenverkehr entspricht. Wenn eine Übereinstimmung auftritt, werden die angegebenen Aktionen für die Regel aufgerufen. Benutzer können eine Fehlerseite oder ein Fehlerobjekt anzeigen, wenn eine Anforderung blockiert wird. Protokollmeldungen können Benutzern helfen, Angriffe zu identifizieren, die gegen Benutzeranwendungen gestartet werden. Wenn Benutzer Statistiken aktivieren, pflegt die Web Application Firewall Daten über Anforderungen, die einer Web Application Firewall-Signatur oder Sicherheitsprüfung entsprechen.

    Wenn der Datenverkehr sowohl einer Signatur als auch einer positiven Sicherheitsprüfung entspricht, wird die restriktivere der beiden Aktionen erzwungen. Wenn beispielsweise eine Anforderung einer Signaturregel entspricht, für die die Blockierungsaktion deaktiviert ist, die Anforderung aber auch einer positiven SQL-Injection-Sicherheitsprüfung entspricht, für die die Aktion Blockieren ist, wird die Anforderung blockiert. In diesem Fall wird die Signaturverletzung möglicherweise als [not blocked] protokolliert, obwohl die Anforderung durch die SQL-Injection-Prüfung blockiert wird.

    Anpassung: Bei Bedarf können Benutzer eigene Regeln zu einem Signaturenobjekt hinzufügen. Benutzer können auch die SQL/XSS-Muster anpassen. Die Möglichkeit, eigene Signaturregeln basierend auf den spezifischen Sicherheitsanforderungen von Benutzeranwendungen hinzuzufügen, gibt Benutzern die Flexibilität, ihre eigenen maßgeschneiderten Sicherheitslösungen zu entwerfen. Benutzer blockieren nur, was sie nicht möchten, und erlauben den Rest. Ein spezifisches Schnellabgleichsmuster an einem bestimmten Ort kann den Verarbeitungsaufwand erheblich reduzieren, um die Leistung zu optimieren. Benutzer können SQL-Injection- und Cross-Site-Scripting-Muster hinzufügen, ändern oder entfernen. Integrierte RegEx- und Ausdruckseditoren helfen Benutzern, Benutzermuster zu konfigurieren und deren Genauigkeit zu überprüfen.

    NetScaler Web App Firewall

    Die Web App Firewall ist eine Unternehmenslösung, die modernste Schutzfunktionen für moderne Anwendungen bietet. Die NetScaler Web App Firewall mindert Bedrohungen für öffentlich zugängliche Assets, einschließlich Websites, Webanwendungen und APIs. Sie umfasst IP-Reputations-basiertes Filtern, Bot-Minderung, Schutz vor OWASP Top 10 Anwendungsbedrohungen, Layer 7 DDoS-Schutz und mehr. Ebenfalls enthalten sind Optionen zur Erzwingung von Authentifizierung, starken SSL/TLS-Chiffren, TLS 1.3, Ratenbegrenzung und Rewrite-Richtlinien. Durch die Verwendung sowohl grundlegender als auch erweiterter Schutzfunktionen bietet die NetScaler Web App Firewall umfassenden Schutz für Ihre Anwendungen mit unübertroffener Benutzerfreundlichkeit. Die Inbetriebnahme ist eine Sache von Minuten. Darüber hinaus spart dieses Produkt den Benutzern durch die Verwendung eines automatisierten Lernmodells, genannt dynamisches Profiling, wertvolle Zeit. Indem es automatisch lernt, wie eine geschützte Anwendung funktioniert, passt es sich der Anwendung an, selbst wenn Entwickler die Anwendungen bereitstellen und ändern. Es hilft bei der Einhaltung aller wichtigen regulatorischen Standards und Gremien, einschließlich PCI-DSS, HIPAA und mehr. Mit unseren CloudFormation-Vorlagen war es noch nie einfacher, schnell einsatzbereit zu sein. Mit der automatischen Skalierung können Benutzer sicher sein, dass ihre Anwendungen geschützt bleiben, selbst wenn ihr Datenverkehr zunimmt.

    Web App Firewall Bereitstellungsstrategie

    Der erste Schritt bei der Bereitstellung der Web Application Firewall besteht darin, zu bewerten, welche Anwendungen oder spezifischen Daten maximalen Sicherheitsschutz benötigen, welche weniger anfällig sind und welche sicherheitsrelevanten Prüfungen sicher umgangen werden können. Dies hilft Benutzern, eine optimale Konfiguration zu erstellen und geeignete Richtlinien und Bindungspunkte zu entwerfen, um den Datenverkehr zu trennen. Benutzer könnten beispielsweise eine Richtlinie konfigurieren, um die Sicherheitsprüfung von Anforderungen für statische Webinhalte wie Bilder, MP3-Dateien und Filme zu umgehen, und eine andere Richtlinie konfigurieren, um erweiterte Sicherheitsprüfungen auf Anforderungen für dynamische Inhalte anzuwenden. Benutzer können mehrere Richtlinien und Profile verwenden, um verschiedene Inhalte derselben Anwendung zu schützen.

    Der nächste Schritt ist die Basislinienbestimmung der Bereitstellung. Beginnen Sie mit der Erstellung eines virtuellen Servers und leiten Sie Testdatenverkehr darüber, um eine Vorstellung von der Rate und Menge des Datenverkehrs zu erhalten, der durch das Benutzersystem fließt.

    Stellen Sie dann die Web App Firewall bereit. Verwenden Sie die NetScaler-Konsole und das Web App Firewall StyleBook, um die Web App Firewall zu konfigurieren. Weitere Informationen finden Sie im Abschnitt StyleBook weiter unten in diesem Handbuch.

    Nachdem die Web App Firewall bereitgestellt und mit dem Web App Firewall StyleBook konfiguriert wurde, wäre ein nützlicher nächster Schritt die Implementierung der NetScaler ADC Web App Firewall und OWASP Top 10.

    Schließlich sind drei der Web App Firewall-Schutzfunktionen besonders wirksam gegen gängige Arten von Webangriffen und werden daher häufiger verwendet als alle anderen. Daher sollten sie in der Erstbereitstellung implementiert werden.

    NetScaler Console

    Die NetScaler-Konsole bietet eine skalierbare Lösung zur Verwaltung von NetScaler ADC-Bereitstellungen, die NetScaler ADC MPX, NetScaler ADC VPX, NetScaler Gateway, NetScaler Secure Web Gateway, NetScaler ADC SDX, NetScaler ADC CPX und NetScaler SD-WAN-Appliances umfassen, die vor Ort oder in der Cloud bereitgestellt werden.

    NetScaler Console Anwendungsanalyse- und Verwaltungsfunktionen

    Die auf der NetScaler Console unterstützten Funktionen sind entscheidend für die Rolle der NetScaler Console in der App-Sicherheit.

    Weitere Informationen zu den Funktionen finden Sie unter Funktionen und Lösungen.

    Voraussetzungen

    Bevor Benutzer versuchen, eine VPX-Instanz in AWS zu erstellen, sollten sie sicherstellen, dass die Voraussetzungen erfüllt sind. Weitere Informationen finden Sie unter Voraussetzungen:

    Einschränkungen und Nutzungsrichtlinien

    Die unter Einschränkungen und Nutzungsrichtlinien verfügbaren Einschränkungen und Nutzungsrichtlinien gelten bei der Bereitstellung einer Citrix ADC VPX-Instanz in AWS.

    Technische Anforderungen

    Bevor Benutzer den Quick Start Guide starten, um eine Bereitstellung zu beginnen, muss das Benutzerkonto wie in der folgenden Ressourcentabelle angegeben konfiguriert werden. Andernfalls könnte die Bereitstellung fehlschlagen.

    Ressourcen

    Melden Sie sich bei Bedarf beim Amazon-Benutzerkonto an und fordern Sie hier eine Erhöhung der Dienstlimits für die folgenden Ressourcen an: AWS/Anmelden. Dies kann erforderlich sein, wenn Sie bereits eine bestehende Bereitstellung haben, die diese Ressourcen nutzt, und Sie der Meinung sind, dass Sie mit dieser Bereitstellung die Standardlimits überschreiten könnten. Die Standardlimits finden Sie in den AWS Service Quotas in der AWS-Dokumentation: AWS Service Quotas.

    Der AWS Trusted Advisor, zu finden unter: AWS/Anmelden, bietet eine Überprüfung der Dienstlimits, die die Nutzung und Limits für einige Aspekte bestimmter Dienste anzeigt.

    Ressource Diese Bereitstellung verwendet
    VPCs 1
    Elastische IP-Adressen 0/1 (für Bastion-Host)
    IAM-Sicherheitsgruppen 3
    IAM-Rollen 1
    Subnetze 6 (3/Verfügbarkeitszone)
    Internet-Gateway 1
    Routing-Tabellen 5
    Web App Firewall VPX-Instanzen 2
    Bastion-Host 0/1
    NAT-Gateway 2

    Regionen

    NetScaler Web App Firewall auf AWS wird derzeit nicht in allen AWS-Regionen unterstützt. Eine aktuelle Liste der unterstützten Regionen finden Sie unter AWS Service Endpoints in der AWS-Dokumentation: AWS Service Endpoints.

    Weitere Informationen zu AWS-Regionen und warum Cloud-Infrastruktur wichtig ist, finden Sie unter: Globale Infrastruktur.

    Schlüsselpaar

    Stellen Sie sicher, dass mindestens ein Amazon EC2-Schlüsselpaar im AWS-Konto des Benutzers in der Region vorhanden ist, in der Benutzer die Bereitstellung mithilfe des Quick Start Guide planen. Notieren Sie sich den Namen des Schlüsselpaares. Benutzer werden während der Bereitstellung nach diesen Informationen gefragt. Um ein Schlüsselpaar zu erstellen, befolgen Sie die Anweisungen für Amazon EC2-Schlüsselpaare und Linux-Instanzen in der AWS-Dokumentation: Amazon EC2-Schlüsselpaare und Linux-Instanzen.

    Wenn Benutzer den Quick Start Guide zu Test- oder Proof-of-Concept-Zwecken bereitstellen, empfehlen wir, ein neues Schlüsselpaar zu erstellen, anstatt ein Schlüsselpaar anzugeben, das bereits von einer Produktionsinstanz verwendet wird.

    Referenzen