高度なポリシーインフラストラクチャ
警告
従来のポリシー式は、NetScaler 12.0ビルド56.20以降では廃止され、代わりに高度なポリシーを使用することをお勧めします。詳細については、「 高度なポリシー」を参照してください。
高度なポリシーインフラストラクチャ(PI)を使用すると、より多くのデータ(HTTP 要求の本文など)を分析し、ポリシールールでより多くの操作を構成できます(たとえば、要求の本文のデータを HTTP ヘッダーに変換する)。
ポリシーにアクションまたはプロファイルを割り当てるだけでなく、Citrix ADC機能に関連する処理の特定のポイントにポリシーをバインドします。バインドポイントは、ポリシーがいつ評価されるかを決定する要素の 1 つです。
高度なポリシーを使用する利点
高度なポリシーポリシーは、クラスオブジェクトモデルに基づいて構築された強力な式言語を使用し、さまざまなCitrix ADC機能の動作を構成する機能を強化するいくつかのオプションを提供します。高度なポリシーインフラストラクチャ (PI) を使用すると、次の操作を実行できます。
- レイヤ 2 ~ 7 のネットワークトラフィックのきめ細かな分析を実行します。
- HTTP または HTTPS リクエストまたはレスポンスのヘッダーまたは本体の任意の部分を評価します。
- デフォルトレベル、オーバーライド、および仮想サーバーレベルで高度なポリシーインフラストラクチャ (PI) がサポートする複数のバインドポイントにポリシーをバインドします。
- goto 式を使用して、式の評価の結果によって決定される他のポリシーおよびバインドポイントに制御を転送します。
- パターンセット、ポリシーラベル、レート制限識別子、HTTP コールアウトなどの特殊なツールを使用すると、複雑なユースケースに対して効果的にポリシーを設定できます。
また、構成ユーティリティは、高度なポリシーインフラストラクチャ(PI)および式に対する堅牢なグラフィカルユーザーインターフェイスのサポートを拡張し、ネットワークプロトコルに関する知識が限られているユーザーは、ポリシーをすばやく簡単に構成できます。構成ユーティリティには、高度なポリシーのポリシー評価機能も含まれています。この機能を使用すると、高度なポリシーを評価し、コミットする前にその動作をテストできるため、構成エラーのリスクが軽減されます。
詳細ポリシーの基本コンポーネント
次に、高度なポリシーの特性をいくつか示します。
-
Name:各ポリシーには一意の名前があります。
-
ルール。ルールは、Citrix ADC機能がトラフィックの一部または別のオブジェクトを評価できるようにする論理式です。たとえば、ルールにより、Citrix ADCは、HTTPリクエストが特定のIPアドレスから発信されたかどうか、またはHTTPリクエストのCache-Controlヘッダーの値が「No-Cache」であるかどうかを判断できます。
高度なポリシーでは、SSL VPN クライアントのクラシック式を除き、クラシックポリシーで使用できるすべての式を使用できます。さらに、高度なポリシーを使用すると、より複雑な式を構成できます。
- バインディング。Citrix ADCが必要なときにポリシーを呼び出すことができるようにするには、ポリシーを1つ以上のバインドポイントに関連付ける(バインドする)。
ポリシーは、グローバルにバインドすることも、仮想サーバにバインドすることもできます。詳細については、「 ポリシーバインディングについて」を参照してください。
- 関連付けられたアクション。アクションは、ポリシーとは別のエンティティです。ポリシーの評価は、最終的にCitrix ADCがアクションを実行します。
たとえば、統合キャッシュ内のポリシーは、.gif または.jpeg ファイルに対する HTTP 要求を識別できます。このポリシーに関連付けるアクションによって、これらのタイプの要求に対する応答がキャッシュから提供されることが決定されます。
一部の機能では、プロファイルと呼ばれるより複雑な一連の手順の一部としてアクションを設定します。
Citrix ADC機能の異なるポリシーの使用方法
Citrix ADCは、操作にポリシーに依存するさまざまな機能をサポートしています。次の表は、Citrix ADC機能がポリシーをどのように使用するかをまとめたものです。
| 機能名 | ポリシーの種類 | 機能でのポリシーの使用方法 |
|---|---|---|
| システム | クラシック | 認証機能の場合、ポリシーにはさまざまな認証方法の認証スキームが含まれています。たとえば、LDAP および証明書ベースの認証方式を設定できます。また、監査機能でポリシーを構成します。 |
| DNS | 詳細設定 | リクエストに対する DNS 解決の実行方法を決定する。 |
| SSL | クラシックとアドバンス | 暗号化機能を適用するタイミングを決定し、証明書情報をクリアテキストに追加する。エンドツーエンドのセキュリティを提供するために、メッセージが復号化された後、SSL 機能はクリアテキストを再暗号化し、SSL を使用して Web サーバーと通信します。 |
| 圧縮 | クラシックとアドバンス | 圧縮されるトラフィックのタイプを判別するため。 |
| 統合キャッシング | 詳細設定 | HTTP レスポンスがキャッシュ可能かどうかを判断する。 |
| レスポンダー | 詳細設定 | レスポンダー関数の動作を構成するには。 |
| 保護機能 | クラシック | フィルタ、SureConnect、およびプライオリティキューイング機能の動作を設定します。 |
| コンテンツスイッチ | クラシックとアドバンス | 受信要求の特性に基づいて、レスポンスの処理を担当するサーバーまたはサーバーのグループを特定すること。要求特性には、デバイスタイプ、言語、Cookie、HTTP メソッド、コンテンツタイプ、および関連するキャッシュサーバが含まれます。 |
| AAA-トラフィック管理 | クラシック。例外:トラフィックポリシーは高度なポリシーインフラストラクチャ(PI)だけをサポートし、認可ポリシーは高度なポリシーインフラストラクチャ(PI)をサポートします。 | ユーザーがログインしてセッションを確立する前に、クライアント側のセキュリティをチェックする。シングルサインオン(SSO)が必要かどうかを決定するトラフィックポリシーは、詳細ポリシーのみを使用します。承認ポリシーは、アプライアンスを介してイントラネットリソースにアクセスするユーザーおよびグループを承認します。 |
| キャッシュリダイレクト | クラシック | レスポンスがキャッシュまたはオリジンサーバーのどちらから提供されているかを判断する。 |
| 書き換え | 詳細設定 | 提供する前に変更する HTTP データを識別するため。ポリシーは、データを変更するためのルールを提供します。たとえば、HTTP データを変更して、要求を新しいホームページ、新しいサーバー、または着信要求のアドレスに基づいて選択したサーバーにリダイレクトしたり、セキュリティ上の目的で応答のサーバー情報をマスクするようにデータを変更したりできます。URL トランスフォーマー関数は、URL を変換する必要があるかどうかを評価するために、HTTP トランザクションおよびテキストファイル内の URL を識別します。 |
| アプリケーションファイアウォール | クラシックとアドバンス | ファイアウォールを介して許可されるべきまたは許可されるべきでないトラフィックおよびデータの特性を識別するため。 |
| NetScaler Gateway、クライアントレスアクセス機能 | 詳細設定 | NetScaler Gateway を使用して一般的なWebアクセスの書き換えルールを定義する。 |
| NetScaler Gateway | クラシック | NetScaler Gateway が認証、承認、監査、およびその他の機能をどのように実行するかを決定する。 |
アクションとプロファイルについて
ポリシー自体は、データに対してアクションを実行しません。ポリシーは、トラフィックを評価するための読み取り専用ロジックを提供します。ポリシー評価に基づいて操作を実行する機能を有効にするには、アクションまたはプロファイルを設定し、それらをポリシーに関連付けます。
注: アクションとプロファイルは、特定の機能に固有です。アクションとプロファイルをフィーチャーに割り当てる方法については、各機能のドキュメントを参照してください。
アクションについて
アクションは、ポリシー内の式の評価に応じて、Citrix ADCが実行する手順です。たとえば、ポリシー内の式がリクエスト内の特定の送信元 IP アドレスと一致する場合、このポリシーに関連付けられているアクションによって、接続が許可されるかどうかが決まります。
Citrix ADCが実行できるアクションの種類は、機能に固有です。たとえば、Rewrite では、アクションによってリクエスト内のテキストを置き換えたり、リクエストの宛先 URL を変更したりできます。統合キャッシュでは、アクションによって HTTP 応答がキャッシュまたはオリジンサーバーのどちらから提供されるかが決まります。
Citrix ADC機能の中には、アクションが事前定義されているものもあれば、構成可能なものもあります。場合によっては (たとえば、書き換え)、関連付けられたポリシールールの構成に使用するのと同じタイプの式を使用してアクションを構成します。
プロファイルについて
一部のCitrix ADC機能では、プロファイル、またはアクションとプロファイルの両方をポリシーに関連付けることができます。プロファイルは、機能が複雑な機能を実行できるようにする設定の集まりです。たとえば、アプリケーションファイアウォールでは、XML データのプロファイルで、不正な XML 構文や SQL インジェクションの証拠がないかデータを調べるなど、複数のスクリーニング操作を実行できます。
特定の機能におけるアクションとプロファイルの使用
次の表は、さまざまなCitrix ADC機能でのアクションとプロファイルの使用をまとめたものです。表は網羅的ではありません。機能のアクションとプロファイルの特定の使用方法の詳細については、その機能のドキュメントを参照してください。
| 機能 | アクションの使用 | プロファイルの使用 |
|---|---|---|
| Application firewall | プロフィールと同義語 | すべてのアプリケーションファイアウォール機能は、プロファイルを使用して、パターンベースの学習を含む複雑な動作を定義します。これらのプロファイルをポリシーに追加します。 |
| NetScaler Gateway | NetScaler Gateway の次の機能は、アクションを使用します。事前認証。許可アクションと拒否アクションを使用します。これらのアクションをプロファイルに追加します。、承認。許可アクションと拒否アクションを使用します。これらのアクションをポリシーに追加します。TCP 圧縮。さまざまなアクションを使用します。これらのアクションをポリシーに追加します。 | プロファイルを使用する機能は、事前認証、セッション、トラフィック、およびクライアントレスアクセスです。プロファイルを設定したら、ポリシーに追加します。 |
| 書き換え | URL 書き換えアクションを設定し、ポリシーに追加します。 | 使われない。 |
| 統合キャッシング | キャッシュアクションと無効化アクションはポリシー内で設定します。 | 使われない。 |
| AAA-トラフィック管理 | 認証の種類を選択するか、許可アクションを [許可] または [拒否] に設定するか、監査を [SYSLOG] または [NSLOG] に設定します。 | デフォルトのタイムアウトおよび認可アクションを使用して、セッションプロファイルを設定できます。 |
| 保護機能 | フィルタ、圧縮、レスポンダー、SureConnect の各機能のアクションをポリシー内で構成します。 | 使われない。 |
| SSL | SSL ポリシー内でアクションを設定します。 | 使われない。 |
| システム | アクションは暗示されます。認証機能の場合、[許可] または [拒否] のいずれかです。[監査] の場合、[監査オン] または [監査オフ] です。 | 使われない。 |
| DNS | アクションは暗示されます。これは、パケットをドロップするか、DNS サーバの場所のいずれかです。 | 使われない。 |
| SSLオフロード | アクションは暗示されます。これは、SSL 仮想サーバまたはサービスに関連付けるポリシーに基づいています。 | 使われない。 |
| 圧縮 | データに適用する圧縮のタイプを決定する | 使われない。 |
| コンテンツスイッチ | アクションは暗示されます。リクエストがポリシーと一致する場合、リクエストはポリシーに関連付けられた仮想サーバに送信されます。 | 使われない。 |
| キャッシュリダイレクト | アクションは暗示されます。リクエストがポリシーと一致する場合、リクエストはオリジンサーバーに送信されます。 | 使われない。 |
ポリシーバインディングについて
ポリシーは、ポリシーの呼び出しを可能にするエンティティに関連付けられるか、エンティティにバインドされます。たとえば、すべての仮想サーバーに適用される要求時の評価にポリシーをバインドできます。特定のバインドポイントにバインドされたポリシーのコレクションは、ポリシーバンクを構成します。
次に、ポリシーのさまざまなタイプのバインドポイントの概要を示します。
- リクエスト時間グローバル。ポリシーは、要求時に機能のすべてのコンポーネントで使用できます。
- レスポンス・タイム・グローバル。ポリシーは、応答時に機能のすべてのコンポーネントで使用できます。
- 要求時間、仮想サーバ固有。
ポリシーは、特定の仮想サーバーの要求時処理にバインドできます。たとえば、要求時間ポリシーをキャッシュリダイレクト仮想サーバーにバインドして、特定の要求がキャッシュの負荷分散仮想サーバーに転送され、他の要求がオリジンの負荷分散仮想サーバーに送信されるようにすることができます。
- 応答時間、仮想サーバ固有。ポリシーは、特定の仮想サーバーの応答時間処理にバインドすることもできます。
- ユーザー定義のポリシーラベル。Advanced Policy Infrastructure(PI)の場合、ポリシーラベルを定義し、ポリシーラベルの下に一連の関連ポリシーを収集することにより、ポリシー(ポリシーバンク)のカスタムグループを設定できます。
- その他のバインドポイント。追加のバインドポイントを使用できるかどうかは、高度なポリシーの種類と、関連するCitrix ADC機能の詳細によって異なります。
高度なポリシーバインディングの詳細については、「 高度なポリシーを使用するバインドポリシー 」を参照してください。
ポリシーの評価順序について
ポリシーグループおよびグループ内のポリシーは、次の条件に応じて特定の順序で評価されます。
- ポリシーのバインドポイント。たとえば、ポリシーが仮想サーバーのリクエスト時間処理にバインドされているか、グローバル応答時間処理にバインドされているかなどです。たとえば、要求時に、Citrix ADCは、仮想サーバー固有のポリシーを評価する前に、すべての要求時間ポリシーを評価します。
- ポリシーのプライオリティレベル。評価プロセスの各ポイントについて、ポリシーに割り当てられた優先度レベルによって、同じバインドポイントを共有する他のポリシーに対する評価の順序が決まります。たとえば、Citrix ADCが要求時間の仮想サーバー固有のポリシーのバンクを評価する場合、優先順位が最も低い値に割り当てられたポリシーから開始されます。ポリシーでは、プライオリティレベルはすべてのバインドポイントで一意である必要があります。
高度なポリシーの場合、Citrix ADCは、全体的な処理の特定の時点でポリシーのグループ化(バンク)を選択します。Advanced Policiesの基本グループ (バンク) の評価順序は次のとおりです。
- リクエスト時間のグローバルオーバーライド
- 要求時間、仮想サーバー固有 (仮想サーバーごとに 1 つのバインドポイント)
- リクエスト時間のグローバルデフォルト
- 応答時間のグローバルオーバーライド
- 応答時間仮想サーバ固有
- 応答時間のグローバルデフォルト
しかし、先行する政策銀行のいずれにおいても、評価の順序は政策よりも柔軟である。ポリシー・バンク内では、優先度レベルに関係なく評価される次のポリシーをポイントできます。また、他のバインド・ポイントおよびユーザー定義のポリシー・バンクに属するポリシー・バンクを呼び出すことができます。
トラフィックフローに基づく評価の順序
トラフィックがCitrix ADCを通過し、さまざまな機能によって処理されると、各機能がポリシー評価を実行します。ポリシーがトラフィックに一致するたびに、Citrix ADCはアクションを保存し、データがCitrix ADCを離れようとしてくるまで処理を続けます。その時点で、Citrix ADCは通常、一致するすべてのアクションを適用します。統合キャッシュは、最終的な [キャッシュ] または [キャッシュなし] アクションのみを適用しますが、例外です。
一部のポリシーは、他のポリシーの結果に影響します。以下はその例です。
- 統合キャッシュから応答が提供される場合、他のCitrix ADC機能の一部は、応答または応答を開始した要求を処理しません。
- コンテンツフィルタ機能によって応答の提供が妨げられる場合、後続の機能は応答を評価しません。
アプリケーションファイアウォールが着信要求を拒否した場合、他の機能では要求を処理できません。