Gateway

Utilisation de la stratégie avancée pour créer des stratégies VPN

Classic Policy Engine (PE) et Advance Policy Infrastructure (PI) sont deux cadres de configuration et d’évaluation de stratégies différents que Citrix ADC prend actuellement en charge.

Advance Policy Infrastructure est un langage d’expression puissant. Le langage d’expression peut être utilisé pour définir des règles dans la stratégie, définir diverses parties de l’action et d’autres entités prises en charge. Le langage d’expression peut analyser n’importe quelle partie de la requête ou de la réponse et vous permet également d’examiner en profondeur les en-têtes et la charge utile. Le même langage d’expression se développe et fonctionne sur tous les modules logiques pris en charge par Citrix ADC.

Remarque : Nous vous encourageons à utiliser des stratégies avancées pour créer des stratégies.

Pourquoi migrer de la stratégie classique vers la stratégie avancée ?

Advanced Policy dispose d’un jeu d’expressions riche et offre une plus grande flexibilité que la stratégie classique. Comme Citrix ADC évolue et s’adresse à une grande variété de clients, il est impératif de prendre en charge des expressions qui dépassent largement les stratégies avancées. Pour plus d’informations, voir Stratégies et expressions.

Voici les fonctionnalités ajoutées pour Advance Policy.

  • Possibilité d’accéder au corps des messages.
  • Prend en charge de nombreux autres protocoles.
  • Permet d’accéder à de nombreuses autres fonctionnalités du système.
  • Il dispose d’un plus grand nombre de fonctions, d’opérateurs et de types de données de base.
  • S’adresse à l’analyse des fichiers HTML, JSON et XML.
  • Facilite la mise en correspondance rapide de plusieurs chaînes parallèles (patsetset ainsi de suite).

Les stratégies VPN suivantes peuvent désormais être configurées à l’aide de la stratégie avancée.

  • Stratégie de session
  • Stratégie d’autorisation
  • Stratégie de trafic
  • Stratégie de tunnel
  • Stratégie d’audit

En outre, l’analyse des points de terminaison (EPA) peut être configurée en tant que fonction nFactor pour l’authentification. L’EPA est utilisé comme contrôleur d’accès pour les terminaux qui tentent de se connecter à l’appliance Gateway. Avant que la page d’ouverture de session de la passerelle ne s’affiche sur un périphérique de point de terminaison, la configuration matérielle et logicielle minimale requise est vérifiée sur le périphérique, en fonction des critères d’éligibilité configurés par l’administrateur de la passerelle. L’accès à la passerelle est accordé en fonction du résultat des vérifications effectuées. Auparavant, l’EPA était configuré dans le cadre de la stratégie de session. Désormais, il peut être lié à nFactor pour plus de flexibilité quant au moment où il peut être exécuté. Pour plus d’informations sur EPA, consultez la rubrique Fonctionnement des stratégies de point de terminaison. Pour en savoir plus sur NFactor, consultez la rubrique Authentification NFactor.

Cas d’utilisation :

EPA de pré-authentification à l’aide de l’EPA avancée

L’analyse EPA de pré-authentification a lieu avant qu’un utilisateur ne fournisse les informations d’identification d’ouverture de session. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec l’analyse EPA de pré-authentification comme l’un des facteurs d’authentification, consultez la rubrique CTX224268.

EPA post-authentification à l’aide de l’EPA avancée

L’analyse EPA post-authentification se produit après la vérification des informations d’identification de l’utilisateur. Dans l’infrastructure de stratégie classique, l’EPA post-authentification a été configuré dans le cadre de la stratégie de session ou de l’action de session. Dans l’infrastructure de stratégie avancée, l’analyse EPA doit être configurée en tant que facteur EPA dans l’authentification nFactor. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec l’analyse EPA post-authentification comme l’un des facteurs d’authentification, consultez la rubrique CTX224303.

EPA de pré-authentification et de post-authentification à l’aide de stratégies avancées

L’EPA peut être effectuée avant l’authentification et la post-authentification. Pour plus d’informations sur la configuration de Citrix Gateway pour l’authentification nFactor avec des analyses EPA avant et après authentification, consultez la rubrique CTX231362.

Analyse EPA périodique en tant que facteur d’authentification nFactor

Dans l’infrastructure de stratégie classique, une analyse EPA périodique a été configurée dans le cadre de l’action de stratégie de session. Dans l’infrastructure de stratégie avancée, il peut être configuré dans le cadre du facteur EPA dans l’authentification nFactor.

Pour plus d’informations sur la configuration de l’analyse EPA périodique en tant que facteur d’authentification nFactor, cliquez sur la rubriqueCTX231361.

Résolution des problèmes :

Les points suivants doivent être gardés à l’esprit pour le dépannage.

  • Les stratégies Classic et Advance du même type (par exemple, stratégie de session) ne peuvent pas être liées à la même entité/point de liaison.
  • La priorité est obligatoire pour toutes les stratégies PI.
  • La stratégie avancée pour le VPN peut être liée à tous les points de liaison.
  • Une stratégie avancée avec la même priorité peut être liée à un seul point de liaison.
  • Si aucune des stratégies d’autorisation configurées n’est sélectionnée, l’action d’autorisation globale configurée dans le paramètre VPN est appliquée.
  • Dans la stratégie d’autorisation, l’action d’autorisation n’est pas annulée si la règle d’autorisation échoue.

Expressions équivalentes à la stratégie avancée couramment utilisées pour la stratégie classique :

Expressions de stratégie classiques Expressions de stratégie avancée
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS(“bar”) [Note use of “..”]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT