Gateway

Usar la directiva avanzada para crear directivas VPN

Classic Policy Engine (PE) y Advance Policy Infrastructure (PI) son dos marcos de configuración y evaluación de directivas diferentes que NetScaler ADC admite actualmente.

La infraestructura de políticas avanzadas consiste en un lenguaje de expresión extremadamente poderoso. El lenguaje de expresiones se puede usar para definir reglas en la política, definir varias partes de la acción y otras entidades compatibles. El lenguaje de expresión puede analizar cualquier parte de la solicitud o respuesta y también le permite examinar en profundidad los encabezados y la carga útil. El mismo lenguaje de expresiones se expande y funciona en todos los módulos lógicos compatibles con NetScaler ADC.

Nota: Le recomendamos que utilice directivas avanzadas para crear directivas.

¿Por qué migrar de la directiva clásica a la directiva anticipada?

Advanced Policy tiene un conjunto de expresiones enriquecido y ofrece una flexibilidad mucho mayor que la directiva clásica. A medida que Citrix ADC escala y atiende a una gran variedad de clientes, es imperativo admitir expresiones que superen con creces las políticas avanzadas. Para obtener más información, consulte Directivas y expresiones.

A continuación se presentan las capacidades agregadas para la Directiva Anticipada.

  • Posibilidad de acceder al cuerpo de los mensajes.
  • Soporta muchos protocolos adicionales.
  • Accede a muchas funciones adicionales del sistema.
  • Tiene más funciones básicas, operadores y tipos de datos.
  • Permite analizar archivos HTML, JSON y XML.
  • Facilita la rápida coincidencia paralela de múltiples cadenas (conjuntos de patrones, etc.).

Ahora se pueden configurar las siguientes directivas de VPN mediante Advance Policy.

  • Directiva de sesión
  • Directiva de autorización
  • Directiva de tráfico
  • Directiva de túnel
  • Directiva de auditoría

Además, el análisis de punto final (EPA) se puede configurar como una función nFactor para autenticación. La EPA se utiliza como control de acceso para los dispositivos de punto final que intentan conectarse al dispositivo Gateway. Antes de que aparezca la página de inicio de sesión de Gateway en un dispositivo de punto final, se comprueban los requisitos mínimos de hardware y software del dispositivo, según los criterios de aptitud configurados por el administrador de Gateway. El acceso a Gateway se concede en función del resultado de las comprobaciones realizadas. Anteriormente, EPA se configuraba como parte de la directiva de sesión. Ahora se puede vincular a nFactor proporcionando más flexibilidad en cuanto a cuándo se puede realizar. Para obtener más información sobre la EPA, consulte el tema Cómo funcionan las directivas de dispositivos de punto final. Para obtener más información sobre nFactor, consulte el tema Autenticación nFactor.

Casos de uso:

EPA previo a la autenticación mediante EPA avanzado

El escaneo EPA previo a la autenticación se realiza antes de que el usuario proporcione las credenciales de inicio de sesión. Para obtener información sobre cómo configurar NetScaler Gateway para la autenticación nFactor con la exploración EPA previa a la autenticación como uno de los factores de autenticación, consulte el tema CTX224268.

EPA posterior a la autenticación con EPA avanzada

El escaneo EPA posterior a la autenticación se realiza después de verificar las credenciales del usuario. En la infraestructura de políticas clásica, la EPA posterior a la autenticación se configuraba como parte de la política de sesión o la acción de sesión. En la infraestructura de políticas avanzada, el escaneo de la EPA se configurará como el factor EPA en la autenticación del factor n. Para obtener información sobre la configuración de Citrix Gateway para la autenticación de factores n con el escaneo EPA posterior a la autenticación como uno de los factores de autenticación, consulte el tema CTX224303 .

EPA de autenticación previa y versiones posteriores a la autenticación mediante directivas avanzadas

EPA se puede realizar antes de la autenticación y versiones posteriores a la autenticación. Para obtener información sobre cómo configurar NetScaler Gateway para la autenticación nFactor con exploraciones EPA previas y posteriores a la autenticación, consulte el tema CTX231362.

Escaneo periódico de la EPA como factor en la autenticación nFactor

En la infraestructura de políticas clásica, el escaneo periódico de la EPA se configuró como parte de la acción de la política de sesión. En una infraestructura de políticas avanzada, se puede configurar como parte de la autenticación de factor n de la EPA.

Para obtener más información sobre cómo configurar la exploración EPA periódica como factor en la autenticación nFactor, haga clic en el temaCTX231361.

Solución de problemas:

Los siguientes puntos deben tenerse en cuenta para la solución de problemas.

  • Las directivas clásicas y avanzadas del mismo tipo (por ejemplo, directiva de sesión) no pueden vincularse a la misma entidad o punto de enlace.
  • La prioridad es obligatoria para todas las políticas de PI.
  • La política avanzada para VPN se puede vincular a todos los puntos de enlace.
  • La política avanzada con la misma prioridad se puede vincular a un único punto de enlace.
  • Si no se aplica ninguna de las políticas de autorización configuradas, se aplica la acción de autorización global configurada en el parámetro VPN.
  • En la directiva de autorización, la acción de autorización no se invierte si se produce un error en la regla de autorización.

Expresiones equivalentes de directivas avanzadas de uso común para Classic Policy:

Expresiones clásicas de directivas Expresiones de directiva anticipada
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS («bar») [Tenga en cuenta el uso de «.».]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
Usar la directiva avanzada para crear directivas VPN