Infrastructure de politiques avancée
L’infrastructure de stratégie avancée vous permet d’analyser de nombreux éléments de données (par exemple, le corps d’une requête HTTP) et de configurer de nombreuses opérations dans la règle de stratégie (par exemple, transformer les données du corps d’une demande en en-tête HTTP). Vous devez lier la stratégie à un point particulier du traitement associé aux fonctionnalités de NetScaler. Le point de liaison est l’un des facteurs qui déterminent le moment où la stratégie sera évaluée.
Avantages de l’utilisation de stratégies avancées
Les stratégies avancées utilisent un puissant langage d’expression basé sur un modèle class-objet et proposent plusieurs options qui améliorent votre capacité à configurer le comportement de diverses fonctionnalités de NetScaler. Grâce à une infrastructure de stratégies avancée, vous pouvez effectuer les opérations suivantes :
- Effectuer des analyses minces du trafic réseau des couches 2 à 7.
- Évaluez toute partie de l’en-tête ou du corps d’une requête ou réponse HTTP ou HTTPS.
- Liez les stratégies aux multiples points de liaison que l’infrastructure de stratégies avancée prend en charge au niveau du serveur par défaut, du serveur de remplacement et du serveur virtuel.
- Utilisez des outils spéciaux tels que des ensembles de modèles, des étiquettes de stratégie, des identificateurs de limite de débit, des légendes HTTP et des variables, qui vous permettent de configurer efficacement les stratégies pour des cas d’utilisation complexes.
En outre, l’utilitaire de configuration étend la prise en charge d’une interface graphique robuste pour l’infrastructure et les expressions de stratégies avancées et permet aux utilisateurs ayant une connaissance limitée des protocoles réseau de configurer rapidement et facilement des stratégies. L’utilitaire de configuration inclut également une fonction d’évaluation des stratégies avancées. Vous pouvez utiliser cette fonctionnalité pour évaluer une stratégie avancée et tester son comportement avant de la valider, réduisant ainsi le risque d’erreurs de configuration.
Composants de base d’une stratégie avancée
Voici quelques caractéristiques d’une stratégie avancée :
-
Nom. Chaque stratégie possède un nom unique.
-
Rule. La règle est une expression logique qui permet à la fonctionnalité NetScaler d’évaluer un élément de trafic ou un autre objet. Par exemple, une règle peut permettre à NetScaler de déterminer si une requête HTTP provient d’une adresse IP particulière ou si l’en-tête Cache-Control d’une requête HTTP possède la valeur « No-Cache ».
-
Fixations. Pour vous assurer que NetScaler peut invoquer une stratégie lorsque cela est nécessaire, vous associez la stratégie, ou vous la liez, à un ou plusieurs points de liaison.
Vous pouvez lier une stratégie globalement ou à un serveur virtuel. Pour plus d’informations, voir À propos des liaisons de stratégies.
-
Une action associée. Une action est une entité distincte d’une stratégie. L’évaluation des stratégies aboutit finalement à l’exécution d’une action par NetScaler.
Par exemple, une stratégie du cache intégré peut identifier les requêtes HTTP pour les fichiers .gif ou .jpeg. Une action que vous associez à cette stratégie détermine que les réponses à ces types de demandes sont diffusées à partir du cache.
Pour certaines fonctionnalités, vous configurez des actions dans le cadre d’un ensemble d’instructions plus complexe appelé profil.
Comment les différentes fonctionnalités de NetScaler utilisent les stratégies
Le NetScaler prend en charge diverses fonctionnalités qui s’appuient sur des stratégies de fonctionnement. Le tableau suivant récapitule la manière dont les fonctionnalités de NetScaler utilisent les stratégies.
Nom de la fonctionnalité | Comment utiliser les stratégies de la fonctionnalité |
---|---|
Réécriture | Pour identifier les données que vous souhaitez modifier avant de les diffuser. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier les données HTTP pour rediriger une demande vers une nouvelle page d’accueil, un nouveau serveur ou un serveur sélectionné en fonction de l’adresse de la demande entrante, ou vous pouvez modifier les données pour masquer les informations du serveur dans une réponse à des fins de sécurité. La fonction URL Transformer identifie les URL dans les transactions HTTP et les fichiers texte afin d’évaluer si une URL doit être transformée. |
Répondeur | Pour configurer le comportement de la fonction Responder. Une stratégie de répondeur est basée sur une règle, qui consiste en une ou plusieurs expressions. La règle est associée à une action, qui est exécutée si une demande correspond à la règle. |
Commutation de contenu | Déterminer quel serveur ou groupe de serveurs est chargé de fournir les réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé. |
Redirection de cache | Pour déterminer si les réponses sont diffusées à partir d’un cache ou d’un serveur d’origine. |
Contrôle de la compression | Déterminer quel type de trafic doit être compressé. |
DNS | Pour modifier diverses parties des requêtes et des réponses DNS |
Accès VPN sans client | Pour déterminer comment NetScaler Gateway exécute les fonctions d’authentification, d’autorisation, d’audit et autres, et pour définir des règles de réécriture pour l’accès Web général à l’aide de NetScaler Gateway. |
Mettre en cache | Pour déterminer s’il faut envoyer une réponse depuis le cache ou le serveur d’origine. |
Stratégie de transformation d’URL | Pour sélectionner les demandes et les réponses que NetScaler doit transformer à l’aide du profil de transformation d’URL. |
Stratégie de pare-feu des applications | Attribuer différentes règles de filtrage à différents types de contenu Web. |
Authorization | Fournir un accès au contenu demandé sans exposer de détails inutiles sur la configuration réelle du site Web. |
Trafic TM | Pour définir les caractéristiques (telles que le délai d’expiration de la connexion, l’authentification unique et le lancement de la déconnexion) du trafic de l’application au moment de l’exécution. |
Session TM | Pour personnaliser les sessions utilisateur une fois que l’utilisateur s’est connecté au serveur virtuel d’autorisation, d’autorisation et de comptabilité. |
Stratégies SSL | Pour définir un contrôle ou une action sur les données à exécuter sur les demandes. Les stratégies SSL peuvent donc être classées en stratégies de contrôle et en stratégies de données. Une stratégie de contrôle utilise une action de contrôle, telle que forcer l’authentification du client. Une stratégie de données utilise une action de données, telle que l’insertion de certaines données dans la demande. |
Autoscale | Augmenter ou réduire le nombre de serveurs virtuels de manière fluide et automatique en fonction des conditions définies. |
AppFlow | Permettre à NetScaler d’exporter les données de flux vers des outils de collecte, souvent utilisés pour l’analyse du réseau ou de la sécurité. |
Optimisation du contenu | Pour réduire les temps de transaction entre les clients et les serveurs et réduire la consommation de bande passante. Également pour améliorer les performances du serveur en déchargeant certaines tâches et en rendant d’autres plus efficaces. |
débordement | Utiliser une règle NetScaler pour spécifier les conditions d’un débordement. Les règles vous offrent la flexibilité nécessaire pour configurer le spillover en fonction de différentes conditions opérationnelles. |
ICA | Pour générer dynamiquement une demande ICAP, recevez la réponse ICAP et enregistrez les données d’inspection du contenu. |
Session VPN | Sur un NetScaler Gateway, pour configurer Endpoint Analysis (EPA) afin de vérifier si une machine utilisateur répond à certaines exigences de sécurité et, en conséquence, d’autoriser l’utilisateur à accéder aux ressources internes. |
Trafic VPN | Sur un NetScaler Gateway, pour configurer Endpoint Analysis (EPA) afin de vérifier si une machine utilisateur répond à certaines exigences de sécurité et, en conséquence, d’autoriser l’utilisateur à accéder aux ressources internes. |
syslog | Pour définir les messages à enregistrer sur le serveur Syslog spécifié. |
nslog | Pour définir les messages à enregistrer sur le serveur nslog spécifié. |
Détection d’optimisation vidéo | Pour créer une étiquette de stratégie de détection d’optimisation vidéo définie par l’utilisateur, à laquelle vous pouvez lier des stratégies de détection. Une étiquette de stratégie est un outil permettant d’évaluer un ensemble de stratégies dans un ordre spécifique. À l’aide d’une étiquette de stratégie, vous pouvez configurer la fonction d’optimisation vidéo pour choisir la stratégie suivante, invoquer une étiquette de stratégie différente ou terminer complètement une évaluation de stratégie en vérifiant si la stratégie précédente avait la valeur VRAI ou FAUX. |
Creusement de tunnels | Pour définir le type de compression à utiliser pour le trafic tunnelisé. |
Inspection du contenu | Pour spécifier les demandes que le NetScaler ADC intercepte et exécute l’action spécifiée. |
URL DU VPN | Créer un lien de signet vers une ressource externe ou interne qui apparaît sur l’interface d’accès, selon le type, sous forme de lien de site Web ou de lien de partage de fichiers. |
Bot | Pour créer une étiquette de stratégie de bot définie par l’utilisateur, à laquelle vous pouvez lier des stratégies. Une étiquette de stratégie est un outil permettant d’évaluer un ensemble de stratégies dans un ordre spécifique. En utilisant une étiquette de stratégie, vous pouvez configurer la fonction de réponse pour choisir la stratégie suivante, invoquer une étiquette de stratégie différente ou terminer complètement une évaluation de stratégie en vérifiant si la stratégie précédente avait la valeur TRUE ou FALSE. |
Stratégie relative aux applications intranet VPN | Définir les applications intranet à rendre accessibles via NetScaler Gateway. |
SmartAccess | Pour créer un profil d’accès ICA qui spécifie l’état des fonctionnalités (par défaut ou désactivé). |
Équilibrage de charge | Pour définir comment répartir les connexions client entre les serveurs à charge équilibrée qu’il gère. |
À propos des actions et des profils
Les stratégies n’agissent pas elles-mêmes sur les données. Les stratégies fournissent une logique en lecture seule pour évaluer le trafic. Pour permettre à une fonctionnalité d’effectuer une opération basée sur une évaluation de stratégie, vous configurez des actions ou des profils et vous les associez à des stratégies.
Remarque :
Les actions et les profils sont spécifiques à des fonctionnalités particulières. Pour plus d’informations sur l’affectation d’actions et de profils aux fonctionnalités, consultez la documentation relative aux fonctionnalités individuelles.
À propos des actions
Les actions sont des étapes que NetScaler exécute, en fonction de l’évaluation de l’expression dans la stratégie. Par exemple, si une expression d’une stratégie correspond à une adresse IP source particulière dans une demande, l’action associée à cette stratégie détermine si la connexion est autorisée.
Les types d’actions que NetScaler peut effectuer sont spécifiques aux fonctionnalités. Par exemple, dans Réécrire, les actions peuvent remplacer le texte d’une demande, modifier l’URL de destination d’une demande, etc. Dans Integrated Caching, les actions déterminent si les réponses HTTP sont diffusées à partir du cache ou d’un serveur d’origine.
Dans certaines fonctionnalités de NetScaler, les actions sont prédéfinies, tandis que dans d’autres, elles sont configurables. Dans certains cas (par exemple, Rewrite), vous configurez les actions à l’aide des mêmes types d’expressions que ceux que vous utilisez pour configurer la règle de stratégie associée.
Remarque :
Les combinaisons de fonction, de protocole, de direction et d’entité ne sont pas toutes valides.
À propos des profils
Certaines fonctionnalités de NetScaler vous permettent d’associer des profils, ou à la fois des actions et des profils, à une stratégie. Un profil est un ensemble de paramètres qui permettent à la fonctionnalité d’exécuter une fonction complexe. Par exemple, dans le pare-feu d’application, un profil de données XML peut effectuer plusieurs opérations de filtrage, telles que l’examen des données à la recherche d’une syntaxe XML illégale ou d’une preuve d’injection SQL.
À propos des liaisons de stratégie
Une stratégie est associée ou liée à une entité qui permet d’invoquer la stratégie. Par exemple, vous pouvez lier une stratégie à une évaluation au moment de la demande qui s’applique à tous les serveurs virtuels. Un ensemble de stratégies liées à un point de liaison particulier constitue une banque de stratégies.
Vous trouverez ci-dessous un aperçu des différents types de points de liaison d’une stratégie :
- Temps de demande global. Une stratégie peut être disponible pour tous les composants d’une fonctionnalité au moment de la demande.
- Temps de réponse global. Une stratégie peut être disponible pour tous les composants d’une fonctionnalité au moment de la réponse.
- Heure de la demande, spécifique au serveur virtuel. Une stratégie peut être liée au traitement au moment de la demande pour un serveur virtuel particulier. Par exemple, vous pouvez lier une stratégie de temps de demande à un serveur virtuel de redirection de cache pour vous assurer que des demandes particulières sont transférées vers un serveur virtuel d’équilibrage de charge pour le cache, et que les autres demandes sont envoyées à un serveur virtuel d’équilibrage de charge pour l’origine.
- Temps de réponse, spécifique au serveur virtuel. Une stratégie peut également être liée au traitement du temps de réponse pour un serveur virtuel particulier.
- Étiquette de stratégie définie par l’utilisateur. Pour une infrastructure de stratégies avancée, vous pouvez configurer des groupes personnalisés de stratégies (banques de stratégies) en définissant une étiquette de stratégie et en collectant un ensemble de stratégies associées sous cette étiquette.
- Autres points de liaison. La disponibilité de points de liaison supplémentaires dépend du type de stratégie avancée et des spécificités de la fonctionnalité NetScaler correspondante.
Pour plus d’informations sur les liaisons de stratégie avancées, consultez la rubrique Liaison de stratégies qui utilisent la rubrique Stratégies avancées .
À propos de l’ordre d’évaluation des stratégies
Les fonctionnalités de NetScaler sont traitées dans un certain ordre, ce qui inclut l’évaluation des stratégies relatives à la fonctionnalité et l’exécution des actions sélectionnées. Pour plus d’informations, consultez la section Flux de paquets.
À tout moment du traitement des messages, l’évaluation des stratégies est effectuée en fonction de la combinaison des éléments suivants :
- Protocole (tel que HTTP, SIP, TCP ou Diameter)
- Direction (demande ou réponse)
- Fonctionnalité (telle que Rewrite, Responder ou Bot)
Les combinaisons ne peuvent pas être mélangées. Les stratégies sont évaluées dans des groupes de stratégies appelés banques (également appelés étiquettes de stratégie ou points de liaison) dans l’ordre suivant :
- Dépassement global
- Serveur virtuel LB spécifique utilisé
- Si un serveur virtuel CS spécifique est utilisé
- Valeur par défaut globale
Au sein d’une banque, les stratégies sont évaluées de la priorité la plus faible à la plus élevée. Si une règle de stratégie est considérée comme fausse, l’évaluation passe automatiquement à la priorité numérotée la plus élevée suivante dans la même banque. S’il n’existe aucune règle de stratégie dans la même banque, l’évaluation porte sur la première stratégie de la banque suivante dans la commande. S’il n’y a plus de stratégies, l’évaluation des stratégies prend fin. Si une règle de stratégie est considérée comme vraie, l’action ou le profil correspondant est mémorisé en vue d’une éventuelle exécution ultérieure.
Si la stratégie est évaluée comme vraie, la valeur « GoToPriorityExpression » est vérifiée. Si « gotoPriorityExpression » a la valeur « END », l’évaluation de la stratégie s’arrête. Si « NEXT », la stratégie suivante (comme décrit ci-dessus) est évaluée. S’il s’agit d’une expression, cette expression est évaluée et la stratégie ayant cette priorité est ensuite sélectionnée.
Remarque
La valeur par défaut « GoToPriorityExpression », à l’exception des libellés de stratégie, est « END ». Cependant, pour certaines fonctionnalités qui peuvent exécuter toutes les actions, nous vous recommandons de spécifier explicitement la valeur « GoToPriorityExpression ».
Une fois l’évaluation des stratégies terminée, la fonctionnalité exécute la liste ordonnée des actions ou des profils. Les fonctionnalités exécutent toutes les actions (par exemple, Rewrite) ou exécutent une seule action (par exemple, Responder ou Bot). Si plusieurs actions ou profils sont associés à une fonction qui ne peut en exécuter qu’une, la norme consiste à exécuter la dernière. Si aucune action ou aucun profil n’est sélectionné, la fonctionnalité exécute son action par défaut.
Order of evaluation based on traffic flow
Certaines stratégies influent sur le résultat d’autres stratégies. Voici des exemples :
-
Si une réponse est fournie à partir du cache intégré, certaines autres fonctionnalités de NetScaler ne traitent pas la réponse ni la demande qui l’a initiée.
-
Si le pare-feu d’application rejette une demande entrante, aucune autre fonctionnalité ne peut la traiter.
-
La plupart des actions effectuées par Responder interrompent le traitement ultérieur.
-
Les actions Drop et Reset effectuées par Rewrite interrompent le traitement ultérieur.
Dans cet article
- Avantages de l’utilisation de stratégies avancées
- Composants de base d’une stratégie avancée
- Comment les différentes fonctionnalités de NetScaler utilisent les stratégies
- À propos des actions et des profils
- À propos des liaisons de stratégie
- À propos de l’ordre d’évaluation des stratégies
- Order of evaluation based on traffic flow