Gateway

Utilisation de la stratégie avancée pour créer des stratégies VPN

Classic Policy Engine (PE) et Advance Policy Infrastructure (PI) sont deux cadres de configuration et d’évaluation de stratégies différents que Citrix ADC prend actuellement en charge.

Advance Policy Infrastructure se compose d’un langage d’expression extrêmement puissant. Le langage d’expression peut être utilisé pour définir des règles dans la stratégie, définir les différentes parties de l’action et d’autres entités prises en charge. Le langage d’expression peut analyser n’importe quelle partie de la requête ou de la réponse et vous permet également d’examiner en profondeur les en-têtes et la charge utile. Le même langage d’expression se développe et fonctionne sur tous les modules logiques pris en charge par Citrix ADC.

Remarque : Nous vous encourageons à utiliser des stratégies avancées pour créer des stratégies.

Pourquoi migrer de la stratégie classique vers la stratégie avancée ?

Advanced Policy dispose d’un jeu d’expressions riche et offre une plus grande flexibilité que la stratégie classique. Citrix ADC évoluant et répondant à une grande variété de clients, il est impératif de prendre en charge des expressions qui dépassent largement les politiques avancées. Pour plus d’informations, voir Stratégies et expressions.

Voici les fonctionnalités ajoutées pour Advance Policy.

  • Possibilité d’accéder au corps des messages.
  • Supporte de nombreux protocoles supplémentaires.
  • Permet d’accéder à de nombreuses fonctionnalités supplémentaires du système.
  • Il dispose d’un plus grand nombre de fonctions, d’opérateurs et de types de données de base.
  • S’adresse à l’analyse des fichiers HTML, JSON et XML.
  • Facilite la mise en correspondance parallèle rapide de plusieurs chaînes (patsets, etc.).

Les stratégies VPN suivantes peuvent désormais être configurées à l’aide de la stratégie avancée.

  • Stratégie de session
  • Stratégie d’autorisation
  • Stratégie de trafic
  • Stratégie de tunnel
  • Stratégie d’audit

En outre, l’analyse des points de terminaison (EPA) peut être configurée en tant que fonction nFactor pour l’authentification. L’EPA est utilisé comme contrôleur d’accès pour les terminaux qui tentent de se connecter à l’appliance Gateway. Avant que la page de connexion à Gateway ne s’affiche sur un terminal, la configuration matérielle et logicielle minimale de celui-ci est vérifiée, en fonction des critères d’éligibilité configurés par l’administrateur de Gateway. L’accès à Gateway est accordé en fonction des résultats des contrôles effectués. Auparavant, l’EPA était configuré dans le cadre de la stratégie de session. Désormais, il peut être lié à nFactor pour plus de flexibilité quant au moment où il peut être exécuté. Pour plus d’informations sur EPA, consultez la rubrique Fonctionnement des stratégies de point de terminaison. Pour en savoir plus sur NFactor, consultez la rubrique Authentification NFactor.

Cas d’utilisation :

EPA de pré-authentification à l’aide de l’EPA avancée

L’analyse EPA de pré-authentification est effectuée avant que l’utilisateur ne fournisse les informations d’identification de connexion. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec l’analyse EPA de pré-authentification comme l’un des facteurs d’authentification, consultez la rubrique CTX224268.

EPA post-authentification utilisant Advanced EPA

Le scan EPA post-authentification est effectué une fois que les informations d’identification de l’utilisateur ont été vérifiées. Dans le cadre de l’infrastructure de politique classique, l’EPA de post-authentification était configurée dans le cadre de la politique de session ou de l’action de session. Dans le cadre de l’infrastructure stratégique avancée, le scan EPA doit être configuré en tant que facteur EPA dans l’authentification à n facteurs. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification à n facteurs avec l’analyse EPA post-authentification comme facteur d’authentification, consultez la rubrique CTX224303 .

EPA de pré-authentification et de post-authentification à l’aide de stratégies avancées

L’EPA peut être effectuée avant l’authentification et la post-authentification. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec des analyses EPA avant et après authentification, consultez la rubrique CTX231362.

Analyse EPA périodique en tant que facteur d’authentification nFactor

Dans le cadre de l’infrastructure stratégique classique, un scan EPA périodique a été configuré dans le cadre de l’action stratégique de session. Dans le cadre d’une infrastructure stratégique avancée, il peut être configuré dans le cadre de l’authentification à facteur N de l’EPA.

Pour plus d’informations sur la configuration de l’analyse EPA périodique en tant que facteur d’authentification nFactor, cliquez sur la rubriqueCTX231361.

Résolution des problèmes :

Les points suivants doivent être gardés à l’esprit pour le dépannage.

  • Les stratégies Classic et Advance du même type (par exemple, stratégie de session) ne peuvent pas être liées à la même entité/point de liaison.
  • La priorité est obligatoire pour toutes les politiques PI.
  • La politique avancée pour les VPN peut être liée à tous les points de liaison.
  • Une politique avancée ayant la même priorité peut être liée à un point de liaison unique.
  • Si aucune des politiques d’autorisation configurées n’est atteinte, l’action d’autorisation globale configurée dans le paramètre VPN est appliquée.
  • Dans la stratégie d’autorisation, l’action d’autorisation n’est pas annulée si la règle d’autorisation échoue.

Expressions équivalentes à la stratégie avancée couramment utilisées pour la stratégie classique :

Expressions de stratégie classiques Expressions de stratégie avancée
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS (« bar ») [Notez l’utilisation de «. ».]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
Utilisation de la stratégie avancée pour créer des stratégies VPN