Application Delivery Management

ダブルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集を有効にする

NetScaler Gatewayのダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装ゾーン(DMZ)を侵入して安全なネットワーク内のサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護します。ICA接続が通過するホップ(NetScaler Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、NetScaler ADMをインストールする必要があります。これにより、NetScaler Gatewayアプライアンスこれらの重要な統計を報告する。

図3:ダブルホップモードで展開されるNetScaler ADM

ダブルホップモード

最初のDMZのNetScaler Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク内のサーバーへのアクセスを制御します。

2つ目のDMZのNetScaler Gateway は、NetScaler Gateway プロキシデバイスとして機能します。このNetScaler Gateway により、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。

NetScaler ADM は、最初のDMZのNetScaler Gatewayアプライアンスに属するサブネットか、2番目のDMZのNetScaler Gatewayアプライアンスに属するサブネットのいずれかに展開できます。上の画像では、最初のDMZのNetScaler ADMとNetScaler Gatewayが同じサブネットにデプロイされています。

ダブルホップモードでは、NetScaler ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。NetScaler GatewayアプライアンスをNetScaler ADMインベントリに追加してデータ収集を有効にすると、各アプライアンスはホップカウントと接続チェーンIDを追跡してレポートをエクスポートします。

NetScaler ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップカウントは、トラフィックがクライアントからサーバーに流れるNetScaler Gatewayアプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

NetScaler ADM は、ホップカウントと接続チェーンIDを使用して、両方のNetScaler Gatewayアプライアンスからのデータを相互に関連付け、レポートを生成します。

このモードで展開されているNetScaler Gateway アプライアンスを監視するには、まずNetScaler GatewayをNetScaler ADM インベントリに追加し、NetScaler ADMでAppFlow を有効にして、NetScaler ADMダッシュボードでレポートを表示する必要があります。

NetScaler ADMでのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにNetScaler ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況に対処するには、最初のNetScaler Gateway アプライアンスのいずれかでAppFlow for TCPを有効にし、2番目のアプライアンスでAppFlow for ICAを有効にする必要があります。これにより、一方のアプライアンスがICA AppFlow レコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

NetScaler ADM からAppFlow 機能を有効にするには:

  1. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするNetScaler ADC インスタンスを選択します。

  2. アクション 」リストから「 Insightの有効化/無効化」を選択します。

  3. VPN 仮想サーバーを選択し、[ AppFlow を有効にする] をクリックします。

  4. [AppFlow を有効にする ]フィールドに「 true」と入力し、 ICAトラフィックの場合は「ICA/TCP 」を TCP トラフィックにそれぞれ選択します。

    NetScaler ADCアプライアンス上のサービスまたはサービスグループでAppFlow ログが有効になっていない場合、インサイト列に[有効]と表示されていても、NetScaler ADMダッシュボードにレコードは表示されません。

  5. [OK] をクリックします。

データをエクスポートするためのNetScaler Gatewayアプライアンスの構成

NetScaler Gateway アプライアンスをインストールした後、NetScaler Gatewayアプライアンスで次の設定を構成して、レポートをNetScaler ADM にエクスポートする必要があります。

  • 第1および第2のDMZにあるNetScaler Gatewayアプライアンスの仮想サーバーが相互に通信するように構成します。

  • 2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。

  • 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。

  • 2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。

  • いずれかのNetScaler GatewayアプライアンスでICAレコードをエクスポートできるようにします

  • 他のNetScaler GatewayアプライアンスがTCPレコードをエクスポートできるようにします。

  • 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。

コマンドラインインターフェイスを使用してNetScaler Gatewayを構成します。

  1. 最初のDMZのNetScaler Gateway 仮想サーバーが、2番目のDMZのNetScaler Gateway仮想サーバーと通信するように構成します。

    add vpn nextHopServer  [**-secure**(ON OFF)] [-imgGifToPng] …
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    <!--NeedCopy-->
    
  2. 2番目のDMZのNetScaler Gateway 仮想サーバーを、最初のDMZのNetScaler Gateway仮想サーバーにバインドします。最初のDMZのNetScaler Gateway で次のコマンドを実行します。

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    <!--NeedCopy-->
    
  3. 2つ目のDMZのNetScaler Gateway でダブルホップとAppFlow を有効にします。

    set vpn vserver  [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )]
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    <!--NeedCopy-->
    
  4. 2番目のDMZのNetScaler Gateway 仮想サーバーでの認証を無効にします。

    set vpn vserver [**-authentication** (ON OFF)]
    set vpn vserver vs -authentication OFF
    <!--NeedCopy-->
    
  5. いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    <!--NeedCopy-->
    
  6. 他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    <!--NeedCopy-->
    
  7. 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    <!--NeedCopy-->
    

構成ユーティリティを使用してCitrix Gatewayを構成する方法:

  1. 最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。

    1. 構成]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [公開アプリケーション] を展開します。

    3. ネクストホップサーバー ]をクリックし、ネクストホップサーバーを2つ目のNetScaler Gateway アプライアンスにバインドします。

  2. 2つ目のDMZでNetScaler Gateway でダブルホップを有効にします。

    1. 構成 ]タブで[Citrix Gateway] を展開し、[仮想サーバー]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [More]を展開し、[Double Hop]を選択して[OK]をクリックします。

  3. 2番目のDMZのNetScaler Gateway上の仮想サーバーでの認証を無効にします。

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [その他] を展開し、[認証を有効にする] をオフにします

  4. いずれかのNetScaler Gateway アプライアンスでTCPレコードをエクスポートできるようにします。

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. [+]アイコンをクリックし、[ポリシーの選択 ]リストから[AppFlow]を選択し、[タイプの選択]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  5. 他のNetScaler Gateway アプライアンスでICAレコードをエクスポートできるようにします:

    1. 「構成」タブで  Citrix Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定 ] グループで [ポリシー] を展開します。

    3. [+]アイコンをクリックし、[ポリシーの選択]ドロップダウンリストから[AppFlow]を選択し、[TheChoose Type]ドロップダウンリストから[その他のTCP要求]を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  6. 両方のNetScaler Gateway アプライアンスで接続チェーンを有効にします。

    1. [構成] タブで、[システム] > [Appflow] に移動します。

    2. 右側のウィンドウの [設定 ] で、[Appflow 設定の変更] をクリックします。

    3. [Connection Chaining]を選択し、[OK]をクリックします。

ダブルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集を有効にする