-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ユースケース:企業のインターネットアクセスをコンプライアンスとセキュリティで保護する
金融機関のネットワークセキュリティのディレクターは、マルウェアの形で Web から来る外部の脅威からエンタープライズネットワークを保護したいと考えています。そのためには、director はバイパスされた暗号化トラフィックを可視化し、悪意のある Web サイトへのアクセスを制御する必要があります。ディレクターは、次のことをする必要があります。
- エンタープライズネットワークに出入りするすべてのトラフィック(SSL/TLS(暗号化トラフィック)を含む)を傍受して検査します。
- ユーザーの財務情報やメールなどの機密情報を含むWebサイトへのリクエストの傍受を回避します。
- 有害またはアダルトコンテンツを提供していると識別された有害な URL へのアクセスをブロックします。
- 悪意のある Web サイトにアクセスしている企業内のエンドユーザー (従業員) を特定し、これらのユーザーのインターネットアクセスをブロックするか、有害な URL をブロックします。
上記のすべてを実現するために、director はプロキシサーバーをセットアップできます。プロキシサーバは、企業ネットワークを通過する暗号化および暗号化されていないすべてのトラフィックを代行受信します。ユーザ認証を要求し、トラフィックをユーザに関連付けます。URL カテゴリを指定して、違法/有害、アダルト、マルウェア、スパム Web サイトへのアクセスをブロックできます。
次のエンティティを構成します。
- ホスト名を解決するための DNS ネームサーバー。
- オリジンサーバーとの接続を確立するためのサブネット IP (SNIP) アドレス。SNIP アドレスにはインターネットアクセスが必要です。
- すべてのアウトバウンド HTTP および HTTPS トラフィックをインターセプトする明示モードのプロキシサーバー。
- SSL プロファイルは、接続の暗号やパラメータなどの SSL 設定を定義します。
- SSL インターセプトのサーバ証明書に署名するための CA 証明書とキーのペア。
- 傍受およびバイパスする Web サイトを定義する SSL ポリシー。
- 認証仮想サーバー、ポリシー、およびアクションを使用して、有効なユーザーのみがアクセスを許可されるようにします。
- AppFlowコレクター。NetScaler Application Delivery Management(ADM)にデータを送信します。
この設定例では、CLI と GUI の両方の手順がリストされています。次のサンプル値が使用されます。IP アドレス、SSL 証明書とキー、および LDAP パラメータの有効なデータに置き換えます。
| 名前 | サンプル設定で使用される値 |
|---|---|
| NSIPアドレス | 192.0.2.5 |
| サブネットIPアドレス | 198.51.100.5 |
| LDAP 仮想サーバの IP アドレス | 192.0.2.116 |
| DNS ネームサーバの IP アドレス | 203.0.113.2 |
| プロキシサーバーの IP アドレス | 192.0.2.100 |
| MAS IP アドレス | 192.0.2.41 |
| SSL インターセプト用の CA 証明書 |
ns-swg-ca-certkey (certificate: ns_swg_ca.crt and key: ns_swg_ca.key) |
| LDAP ベース DN | cn=Users、DC=CTXNSSFB、DC=COM |
| LDAPバインド DN | cn=Administrator、cn=Users、DC=CTXNSSFB、DC=COM |
| LDAPバインド DN パスワード | zzzzz |
SSL Forward Proxy ウィザードを使用して、企業ネットワークとの間で送受信されるトラフィックの代行受信と検査を構成する
ネットワークとの間で送受信される他のトラフィックに加えて、暗号化されたトラフィックを傍受および検査するための設定を作成するには、プロキシ、SSL 代行受信、ユーザ認証、および URL フィルタリングの設定を構成する必要があります。次に、入力した値の例を示します。
プロキシ設定を構成する
-
セキュリティ > SSL フォワードプロキシ > SSL フォワードプロキシウィザードに移動します。
-
[ 始める ] をクリックし、[ 続行] をクリックします。
-
[ プロキシ設定 ] ダイアログボックスで、明示的なプロキシサーバーの名前を入力します。
-
[ キャプチャモード] で [ Explicit] を選択します。
-
IP アドレスとポート番号を入力します。
-
[続行] をクリックします。
SSL インターセプト設定を構成します
-
[ SSL インターセプトを有効にする] を選択します。
-
[ SSL プロファイル] で、[+] をクリックして新しいフロントエンド SSL プロファイルを追加し、このプロファイルで SSL セッションインターセプトを有効にします 。
-
「 OK」 をクリックし、「 完了」をクリックします。
-
[SSL 代行受信 CA 証明書とキーのペアの選択] で、[+] をクリックして SSL 代行受信用の CA 証明書とキーのペアをインストールします。
-
[ インストール ] をクリックし、[ 閉じる] をクリックします。
-
すべてのトラフィックを代行受信するポリシーを追加します。[ バインド ] をクリックし、[ 追加] をクリックします。
-
ポリシーの名前を入力し、[ Advanced] を選択します。エクスプレッションエディタで、true と入力します。
-
[ アクション] で [ インターセプト] を選択します。
-
[ 作成 ] をクリックし、[ 追加 ] をクリックして、機密情報をバイパスする別のポリシーを追加します。
-
ポリシーの名前を入力し、[ URL カテゴリ] で [ 追加] をクリックします。
-
[ 財務 ] と [ 電子メール ] カテゴリを選択し、[ 構成済み ] リストに移動します。
-
[ アクション] で [ バイパス] を選択します。
-
[Create] をクリックします。
-
前に作成した 2 つのポリシーを選択し、[ Insert] をクリックします。
-
[続行] をクリックします。
ユーザー認証の設定を構成する
-
[ ユーザー認証を有効にする] を選択します。[ 認証タイプ ] フィールドで、[ LDAP] を選択します。
-
LDAP サーバの詳細を追加します。
-
[Create] をクリックします。
-
[続行] をクリックします。
URL フィルタリング設定の構成
-
[ URL 分類を有効にする] を選択し、 [ バインド] をクリックします。
-
[追加] をクリックします。
-
ポリシーの名前を入力します。[ アクション] で [ 拒否] を選択します。[ URL カテゴリ] で、[ 違法/有害]、[ 成人]、[ マルウェアとスパム] を選択し、[ 構成済み ] リストに移動します。
-
[Create] をクリックします。
-
ポリシーを選択し、[ Insert] をクリックします。
-
[続行] をクリックします。
-
[続行] をクリックします。
-
[アナリティクスの有効化] をクリックします。
-
NetScalerコンソールのIPアドレスを入力し、[ ポート] に5557を指定します。
-
[続行] をクリックします。
-
[完了] をクリックします。
NetScaler Consoleを使用してユーザーの主要指標を表示し、以下を決定します:
- エンタープライズ内のユーザーの閲覧動作。
- 社内ユーザーがアクセスしたURLカテゴリ。
- URLまたはドメインへのアクセスに使用されたWebブラウザー。
この情報を使用して、ユーザーのシステムがマルウェアに感染しているかどうかを判断したり、ユーザーの帯域幅消費パターンを理解したりします。Citrix SWGアプライアンスのポリシーを微調整して、これらのユーザーを制限したり、さらにいくつかのWebサイトをブロックしたりできます。MAS でのメトリックスの表示の詳細については、 ADM ユースケースの「エンドポイントの検査」ユースケースを参照してください。
注
CLI を使用して、次のパラメータを設定します。
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
CLI の例
次に、企業ネットワークとの間で送受信されるトラフィックの代行受信および検査の設定に使用されるすべてのコマンドの例を示します。
一般的な設定:
add ns ip 192.0.2.5 255.255.255.0
add ns ip 198.51.100.5 255.255.255.0 -type SNIP
add dns nameServer 203.0.113.2
add ssl certKey ns-swg-ca-certkey -cert ns_swg_ca.crt -key ns_swg_ca.key
set syslogparams -sslInterception ENABLED
set cacheparameter -memLimit 100
set appflow param -AAAUserName ENABLED
<!--NeedCopy-->
認証設定:
add authentication vserver explicit-auth-vs SSL
bind ssl vserver explicit-auth-vs -certkeyName ns-swg-ca-certkey
add authentication ldapAction swg-auth-action-explicit -serverIP 192.0.2.116 -ldapBase "CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDn "CN=Administrator,CN=Users,DC=CTXNSSFB,DC=COM" -ldapBindDnPassword zzzzzz -ldapLoginName sAMAccountName
add authenticationpolicy swg-auth-policy -rule true -action swg-auth-action-explicit
bind authentication vserver explicit-auth-vs -policy swg-auth-policy -priority 1
<!--NeedCopy-->
プロキシサーバーと SSL インターセプトの設定:
add cs vserver explicitswg PROXY 192.0.2.100 80 –Authn401 ENABLED –authnVsName explicit-auth-vs
set ssl parameter -defaultProfile ENABLED
add ssl profile swg_profile -sslInterception ENABLED
bind ssl profile swg_profile -ssliCACertkey ns-swg-ca-certkey
set ssl vserver explicitswg -sslProfile swg_profile
add ssl policy ssli-pol_ssli -rule true -action INTERCEPT
bind ssl vserver explicitswg -policyName ssli-pol_ssli -priority 100 -type INTERCEPT_REQ
<!--NeedCopy-->
URL カテゴリの設定:
add ssl policy cat_pol1_ssli -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Finance") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Email")" -action BYPASS
bind ssl vserver explicitswg -policyName cat_pol1_ssli -priority 10 -type INTERCEPT_REQ
add ssl policy cat_pol2_ssli -rule "client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Adult") || client.ssl.client_hello.sni.url_categorize(0,0).GROUP.EQ("Malware and SPAM") || client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).GROUP.EQ("Illegal/Harmful")" -action RESET
bind ssl vserver explicitswg -policyName cat_pol2_ssli -priority 20 -type INTERCEPT_REQ
<!--NeedCopy-->
データをNetScalerコンソールにプルするためのAppFlow構成:
add appflow collector _swg_testswg_apfw_cl -IPAddress 192.0.2.41 -port 5557 -Transport logstream
set appflow param -templateRefresh 60 -httpUrl ENABLED -AAAUserName ENABLED -httpCookie ENABLED -httpReferer ENABLED -httpMethod ENABLED -httpHost ENABLED -httpUserAgent ENABLED -httpContentType ENABLED -httpVia ENABLED -httpLocation ENABLED -httpDomain ENABLED -cacheInsight ENABLED -urlCategory ENABLED
add appflow action _swg_testswg_apfw_act -collectors _swg_testswg_apfw_cl -distributionAlgorithm ENABLED
add appflow policy _swg_testswg_apfw_pol true _swg_testswg_apfw_act
bind cs vserver explicitswg -policyName _swg_testswg_apfw_pol -priority 1
<!--NeedCopy-->
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.