用例：使用 IP 黑名单筛选客户端

October 7, 2021

投稿者:

HTTP 标注可用于阻止来自管理员列入黑名单的客户端的请求。客户端列表可以是公开已知的黑名单、您为组织维护的黑名单或两者的组合。

Citrix ADC 设备会根据预配置的黑名单检查客户端的 IP 地址，如果 IP 地址已被列入黑名单，则会阻止事务处理。如果 IP 地址不在列表中，设备将处理事务。

要实现此配置，您必须执行以下任务：

在 Citrix ADC 设备上启用响应程序。
在 Citrix ADC 设备上创建 HTTP 标注，并使用有关外部服务器和其他必需参数的详细信息对其进行配置。
配置响应程序策略以分析对 HTTP 标注的响应，然后在全局范围内绑定策略。
在远程服务器上创建 HTTP 标注代理。

启用响应程序

您必须先启用响应程序，然后才能使用响应程序。

使用 GUI 启用响应程序

确保您已安装响应程序许可证。
在配置实用程序中，展开 AppExpert，右键单击响应程序，然后单击启用响应程序功能。

在 Citrix ADC 设备上创建 HTTP 标注

使用下表所示的参数设置创建 HTTP 标注 HTTP_注解。有关创建 HTTP 标注的更多信息，请参阅配置 HTTP 标注 pdf。

配置响应程序策略并将其全局绑定

配置 HTTP 标注后，验证标注配置，然后配置响应程序策略以调用标注。虽然您可以在策略子节点中创建响应程序策略，然后使用响应程序策略管理器将其全局绑定，但本演示使用响应程序策略管理器创建响应程序策略并在全局范围内绑定策略。

创建响应程序策略并通过 usto 将其全局绑定

导航至应 AppExpert > 响应程序。
在详细信息窗格的策略管理器下，单击策略管理器。
在响应程序策略管理器对话框中，单击覆盖全局。
单击 插入策略，然后在 策略名称下单击 新建策略。
在“创建响应程序策略”对话框中，执行以下操作：
1. 在名称中，键入 PolicyResponder1。
2. 在操作中，选择重置。
3. 在 未定义结果操作中，选择 全局未定义结果 操作。
4. 在“表达式”中，键入以下默认语法表达式：
```
"HTTP.REQ.HEADER("Request").EQ("Callout Request").NOT && SYS.HTTP_CALLOUT(HTTP_Callout).CONTAINS("IP Matched")"

```
5. 单击 Create（创建），然后单击 Close（关闭）。
单击应用更改，然后单击关闭。

在远程服务器上创建 HTTP 标注代理

现在，您必须在远程标注服务器上创建 HTTP 标注代理，该服务器将接收来自 Citrix ADC 设备的标注请求并作出相应响应。HTTP 标注代理是每个部署都不同的脚本，必须考虑到服务器规范（例如数据库类型和支持的脚本语言）编写。

下面是验证给定 IP 地址是否属于 IP 黑名单的一部分的标注代理示例。代理已使用 Perl 脚本语言编写，并使用 MYSQL 数据库。

以下 CGI 脚本检查标注服务器上的给定 IP 地址。

#!/usr/bin/perl -w
print "Content-type: text/html\n\n";
        use DBI();
        use CGI qw(:standard);
#Take the Client IP address from the request query
        my $ip_to_check = param('cip');
# Where a MYSQL database is running
        my $dsn = 'DBI:mysql:BAD_CLIENT:localhost';
# Database username to connect with
        my $db_user_name = ‘dbuser’;
# Database password to connect with
        my $db_password = 'dbpassword';
        my ($id, $password);
# Connecting to the database
        my $dbh = DBI->connect($dsn, $db_user_name, $db_password);
        my $sth = $dbh->prepare(qq{ select * from bad_clnt });
        $sth->execute();
        while (my ($ip_in_database) = $sth->fetchrow_array()) {
        chomp($ip_in_database);
# Check for IP match
        if ($ip_in_database eq $ip_to_check) {
              print "\n IP Matched\n";
                                                     $sth->finish();
                                               exit;
                }
       }
       print "\n IP Failed\n";
       $sth->finish();
       exit;
<!--NeedCopy-->

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

用例：使用 IP 黑名单筛选客户端

October 7, 2021

投稿者:

October 7, 2021

投稿者: