Gateway

アドバンスポリシーを使用した VPN ポリシーの作成

クラシックポリシーエンジン(PE)とアドバンスポリシーインフラストラクチャ(PI)は、NetScaler ADCが現在サポートしている2つの異なるポリシー構成および評価フレームワークです。

アドバンス・ポリシー・インフラストラクチャーは非常に強力な表現言語で構成されています。エクスプレッション言語を使用して、ポリシー内のルールを定義したり、アクションのさまざまな部分を定義したり、サポートされているその他のエンティティを定義したりできます。式言語は、リクエストまたはレスポンスの任意の部分を解析でき、ヘッダーとペイロードを深く調べることもできます。同じ式言語が拡張され、NetScaler ADCがサポートするすべての論理モジュールで動作します。

注: ポリシーの作成には、高度なポリシーを使用することをお勧めします。

クラシックポリシーからアドバンスポリシーに移行する理由

高度なポリシーには豊富な式セットがあり、クラシックポリシーよりもはるかに高い柔軟性を提供します。Citrix ADCは拡張性が高く、多種多様なクライアントに対応しているため、高度なポリシーをはるかに超える表現をサポートすることが不可欠です。詳細については、「 ポリシーと式」を参照してください。

アドバンスポリシーに追加された機能は次のとおりです。

  • メッセージの本文にアクセスする機能。
  • 多くの追加プロトコルをサポートします。
  • システムの多くの追加機能にアクセスします。
  • 基本関数、演算子、データ型の数が増えています。
  • HTML、JSON、および XML ファイルの解析に対応します。
  • 高速な並列マルチストリングマッチング (パッチセットなど) を容易にします。

アドバンスポリシーを使用して、次の VPN ポリシーを設定できるようになりました。

  • セッションポリシー
  • 認可ポリシー
  • 交通政策
  • トンネルポリシー
  • 監査ポリシー

また、エンドポイント分析 (EPA) は、認証機能の nFactor として設定できます。EPA は、Gateway アプライアンスに接続しようとするエンドポイントデバイスのゲートキーパーとして使用されます。エンドポイントデバイスに Gateway ログオンページが表示される前に、ゲートウェイ管理者が設定した適格基準に応じて、デバイスのハードウェアおよびソフトウェアの最小要件が確認されます。Gateway へのアクセスは、実行されたチェックの結果に基づいて許可されます。以前は、EPA はセッションポリシーの一部として構成されていました。nFactor にリンクできるようになり、いつ実行できるかについて柔軟性が高まります。EPA の詳細については、「 エンドポイントポリシーの仕組み 」トピックを参照してください。nFactor の詳細については、 nFactor 認証のトピックを参照してください

ユースケース:

高度な EPA を使用した事前認証 EPA

認証前 EPA スキャンは、ユーザーがログオン資格情報を入力する前に行われます。認証要素の1つとして事前認証EPAスキャンを使用するnFactor認証用にNetScaler Gateway を構成する方法については、 CTX224268トピックを参照してください

アドバンスド EPA を使用した事後認証 EPA

認証後の EPA スキャンは、ユーザーの資格情報が確認された後に行われます。従来のポリシーインフラストラクチャでは、認証後の EPA はセッションポリシーまたはセッションアクションの一部として設定されていました。高度なポリシーインフラストラクチャでは、EPAスキャンをNファクター認証のEPAファクターとして構成する必要があります。 認証要素の1つとして認証後のEPAスキャンを使用するNファクター認証用にNetScaler Gatewayを構成する方法については、CTX224303のトピックを参照してください。

高度なポリシーを使用した事前認証および認証後 EPA

EPA は認証の前に実行でき、認証後に実行できます。事前認証および認証後のEPAスキャンを使用したnFactor認証用にNetScaler Gateway を構成する方法については、 CTX231362 トピックを参照してください。

nFactor 認証の要素としての定期的な EPA スキャン

クラシックポリシーインフラストラクチャでは、定期的な EPA スキャンがセッションポリシーアクションの一部として設定されていました。高度なポリシーインフラストラクチャでは、Nファクター認証のEPAファクターの一部として構成できます。

定期的な EPA スキャンを nFactor 認証の要素として構成する方法の詳細については、CTX231361 トピックをクリックしてください。

トラブルシューティング:

トラブルシューティングの際には、次の点に留意する必要があります。

  • 同じタイプのクラシックポリシーとアドバンスポリシー(セッションポリシーなど)は、同じエンティティ/バインドポイントにバインドできません。
  • すべての PI ポリシーには優先度が必須です。
  • VPN のアドバンスポリシーはすべてのバインドポイントにバインドできます。
  • 同じ優先度の Advance Policy を 1 つのバインドポイントにバインドできます。
  • 設定された認証ポリシーがどれもヒットしない場合は、VPN パラメータで設定されたグローバル認証アクションが適用されます。
  • 認可ポリシーでは、認可ルールが失敗しても、認可アクションは取り消されません。

クラシックポリシーでよく使用される高度なポリシーに相当する式:

クラシックポリシー式 高度なポリシー式
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS ”bar” .CONTAINS (「バー」) [「.」の使用に注意してください。]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
アドバンスポリシーを使用した VPN ポリシーの作成