Application Delivery Management

Activer la collecte de données pour les appliances NetScaler Gateway déployées en mode double saut

February 1, 2024

Contributeur:

Le mode double saut de NetScaler Gateway fournit une protection supplémentaire au réseau interne d’une entreprise, car un attaquant devrait pénétrer plusieurs zones de sécurité ou zones démilitarisées (DMZ) pour atteindre les serveurs du réseau sécurisé. Si vous souhaitez analyser le nombre de sauts (appliances NetScaler Gateway) par lesquels passent les connexions ICA, ainsi que les détails concernant la latence de chaque connexion TCP et sa comparaison avec la latence ICA totale perçue par le client, vous devez installer NetScaler ADM, afin que les appliances NetScaler Gateway publient ces statistiques vitales.

Figure 3. NetScaler ADM déployé en mode double saut

Mode double saut

Le NetScaler Gateway de la première zone démilitarisée gère les connexions des utilisateurs et exécute les fonctions de sécurité d’un VPN SSL. Ce NetScaler Gateway chiffre les connexions utilisateur, détermine la manière dont les utilisateurs sont authentifiés et contrôle l’accès aux serveurs du réseau interne.

Le NetScaler Gateway situé dans la deuxième zone démilitarisée sert de périphérique proxy NetScaler Gateway. Ce NetScaler Gateway permet au trafic ICA de traverser la deuxième zone démilitarisée pour terminer les connexions des utilisateurs au parc de serveurs.

Le NetScaler ADM peut être déployé soit dans le sous-réseau appartenant à l’appliance NetScaler Gateway dans la première DMZ, soit dans le sous-réseau appartenant à la seconde DMZ de l’appliance NetScaler Gateway. Dans l’image ci-dessus, NetScaler ADM et NetScaler Gateway de la première zone démilitarisée sont déployés dans le même sous-réseau.

En mode double saut, NetScaler ADM collecte les enregistrements TCP d’une appliance et les enregistrements ICA de l’autre appliance. Une fois que vous avez ajouté les appliances NetScaler Gateway à l’inventaire NetScaler ADM et activé la collecte de données, chaque appliance exporte les rapports en effectuant le suivi du nombre de sauts et de l’ID de la chaîne de connexion.

Pour que NetScaler ADM puisse identifier l’appliance qui exporte des enregistrements, chaque appliance est spécifiée avec un nombre de sauts et chaque connexion est spécifiée avec un ID de chaîne de connexion. Le nombre de sauts représente le nombre d’appliances NetScaler Gateway via lesquelles le trafic circule d’un client vers les serveurs. L’ID de chaîne de connexion représente les connexions de bout en bout entre le client et le serveur.

NetScaler ADM utilise le nombre de sauts et l’ID de la chaîne de connexion pour corréler les données provenant des deux appliances NetScaler Gateway et générer les rapports.

Pour surveiller les appliances NetScaler Gateway déployées dans ce mode, vous devez d’abord ajouter NetScaler Gateway à l’inventaire NetScaler ADM, activer AppFlow sur NetScaler ADM, puis consulter les rapports sur le tableau de bord NetScaler ADM.

Activer la collecte de données sur NetScaler ADM

Si vous autorisez NetScaler ADM à commencer à collecter les détails ICA à partir des deux appliances, les détails collectés sont redondants. Il s’agit des deux appliances qui signalent les mêmes mesures. Pour remédier à cette situation, vous devez activer AppFlow pour TCP sur l’une des premières appliances NetScaler Gateway, puis activer AppFlow pour ICA sur le second dispositif. Ce faisant, l’une des appliances exporte les enregistrements ICA AppFlow et l’autre exporte les enregistrements TCP AppFlow. Cela permet également d’économiser le temps de traitement lors de l’analyse du trafic ICA.

Pour activer la fonctionnalité AppFlow depuis NetScaler ADM :

Accédez à Infrastructure > Instances, puis sélectionnez l’instance NetScaler pour laquelle vous souhaitez activer les analyses.
Dans la liste Action, sélectionnez Activer/Désactiver Insight.
Sélectionnez les serveurs virtuels VPN, puis cliquez sur Activer AppFlow.
Dans le champ Activer AppFlow, tapez trueet sélectionnez ICA/TCP pour le trafic ICA un trafic TCP respectivement.

Remarque

Si la journalisation AppFlow n’est pas activée pour les services ou les groupes de services de l’appliance NetScaler, le tableau de bord NetScaler ADM n’affiche pas les enregistrements, même si la colonne Insight indique Activé.
Cliquez sur OK.

Configurer les appliances NetScaler Gateway pour exporter des données

Après avoir installé les appliances NetScaler Gateway, vous devez configurer les paramètres suivants sur les appliances NetScaler Gateway pour exporter les rapports vers NetScaler ADM :

Configurez les serveurs virtuels des appliances NetScaler Gateway dans la première et la deuxième zone démilitarisée pour communiquer entre eux.
Liez le serveur virtuel NetScaler Gateway situé dans la deuxième zone démilitarisée au serveur virtuel NetScaler Gateway situé dans la première zone démilitarisée.
Activez le double saut sur NetScaler Gateway Gateway dans la deuxième zone démilitarisée.
Désactivez l’authentification sur le serveur virtuel NetScaler Gateway dans la deuxième zone démilitarisée.
Activer l’une des appliances NetScaler Gateway pour exporter des enregistrements ICA
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements TCP :
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway.

Configurez NetScaler Gateway à l’aide de l’interface de ligne de commande :

Configurez le serveur virtuel NetScaler Gateway dans la première DMZ pour communiquer avec le serveur virtuel NetScaler Gateway dans la seconde DMZ.

add vpn nextHopServer [**-secure**(ON OFF)] [-imgGifToPng] …
```
add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON

```
Liez le serveur virtuel NetScaler Gateway situé dans la deuxième zone démilitarisée au serveur virtuel NetScaler Gateway situé dans la première zone démilitarisée. Exécutez la commande suivante sur NetScaler Gateway dans la première zone démilitarisée :

bind vpn vserver <name> -nextHopServer <name>
```
bind vpn vserver vs1 -nextHopServer nh1

```
Activez le double saut et AppFlow sur NetScaler Gateway dans la deuxième zone démilitarisée.

set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )]
```
set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED

```
Désactivez l’authentification sur le serveur virtuel NetScaler Gateway dans la deuxième zone démilitarisée.

set vpn vserver [**-authentication** (ON OFF)]
```
set vpn vserver vs -authentication OFF

```
Activez l’une des appliances NetScaler Gateway pour exporter des enregistrements TCP.

bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
```
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST

```
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements ICA :

bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
```
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST

```
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway :

set appFlow param [-connectionChaining (ENABLED DISABLED)]
```
set appflow param -connectionChaining ENABLED

```

Configuration de NetScaler Gateway à l’aide de l’utilitaire de configuration :

Configurez le NetScaler Gateway dans la première DMZ pour communiquer avec le NetScaler Gateway dans la seconde DMZ et liez le Citrix NetScaler dans la seconde DMZ au NetScaler Gateway dans la première DMZ.
1. Dans l’onglet Configuration, développez NetScaler Gateway et cliquez sur Virtual Servers.
2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupe Avancé, développezApplications publiées.
3. Cliquez surNext Hop Server et liez un serveur Next Hop à la deuxième appliance NetScaler Gateway.
Activez le double saut sur NetScaler Gateway Gateway dans la deuxième zone démilitarisée.
1. Dans l’onglet Configuration, développez NetScaler Gateway et cliquez sur Virtual Servers.
2. Dans le volet droit, double-cliquez sur le serveur virtuel, puis dans le groupe Paramètres de base, cliquez sur l’icône Modifier.
3. DéveloppezPlus, sélectionnezDouble sautet cliquez surOK.
Désactivez l’authentification sur le serveur virtuel sur NetScaler Gateway dans la deuxième zone démilitarisée.
1. Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
2. Dans le volet droit, double-cliquez sur le serveur virtuel, puis dans le groupe Paramètres de base, cliquez sur l’icône Modifier.
3. DéveloppezPlusetdésactivez Activer l’authentification.
Activez l’une des appliances NetScaler Gateway pour exporter des enregistrements TCP.
1. Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
2. Dans le volet droit, double-cliquez sur le serveur virtuel et dans le groupe Avancé, développez Stratégies.
3. Cliquez sur l’icône + et, dans la listeChoisir une stratégie, sélectionnezAppFlow, puis dans la liste déroulanteChoisir un type, sélectionnezAutre demande TCP.
4. Cliquez sur Continuer.
5. Ajoutez une liaison de stratégie, puis cliquez surFermer.
Activez l’autre appliance NetScaler Gateway pour exporter les enregistrements ICA :
1. Dans l’onglet Configuration , développez NetScaler Gateway et cliquez sur Virtual Servers.
2. Dans le volet droit, double-cliquez sur le serveur virtuel et, dans le groupeAvancé, développezStratégies.
3. Cliquez sur l’icône + et, dans la liste déroulanteChoisir une stratégie, sélectionnezAppFlowet, dans la liste déroulante Choisir un type, sélectionnezAutre demande TCP.
4. Cliquez sur Continuer.
5. Ajoutez une liaison de stratégie, puis cliquez surFermer.
Activez le chaînage des connexions sur les deux appliances NetScaler Gateway.
1. Dans l’ongletConfiguration, accédez àParamètres > Appflow.
2. Dans le volet droit, dans le groupe Paramètres, cliquez sur Modifier les paramètres de flux d’applications.
3. Select Chaîne de connexion et cliquez sur OK.

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Activer la collecte de données pour les appliances NetScaler Gateway déployées en mode double saut

February 1, 2024

Contributeur:

February 1, 2024

Contributeur:

Dans cet article

Activer la collecte de données sur NetScaler ADM
Configurer les appliances NetScaler Gateway pour exporter des données

Cela vous a-t-il été utile ?