This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
将 Citrix ADC 与被动安全设备(入侵检测系统)集成
Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会为合规目的生成报告。如果 Citrix ADC 设备与两个或更多 IDS 设备集成,并且流量很大,则设备可以通过在虚拟服务器级别克隆流量来对设备进行负载平衡。
为了实现高级安全保护,Citrix ADC 设备与被动安全设备(例如在仅检测模式下部署的 IDS)集成。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会为合规目的生成报告。以下是将 Citrix ADC 与 IDS 设备集成的一些好处。
- 检查加密的流量。大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备,以增强客户的网络安全性。
- 从TLS/SSL处理中卸载内联设备。TLS/SSL 处理成本很高,如果对流量进行解密,则会导致入侵检测设备中的系统 CPU 过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。
- 正在加载平衡 IDS 设备。当有大量流量时,Citrix ADC 设备通过在虚拟服务器级别克隆流量来对多个 IDS 设备进行负载平衡。
- 将流量复制到被动设备。流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。
- 将流量扇动到多个被动设备。有些客户更喜欢扇出或将传入流量复制到多个被动设备中。
- 智能选择流量。可能不必对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如.exe 文件),然后将流量发送到 IDS 设备以处理数据。
Citrix ADC 如何与具有 L2 连接的 IDS 设备集成
下图显示了 IDS 如何与 Citrix ADC 设备集成。
组件交互作用如下所示:
- 客户端向 Citrix ADC 设备发送 HTTP/HTTPS 请求。
- 设备会拦截流量并根据内容检查策略评估将其复制到 IDS 设备。
- 如果流量是加密的,设备将解密数据并以纯文本形式发送。
- 根据策略评估,设备会应用“MIRROR”类型的内容检查操作。
- 操作中配置了 IDS 服务或负载平衡服务(用于多个 IDS 设备集成)。
-
IDS 设备在设备上配置为内容检查服务类型“Any”。然后,内容检查服务与类型为“MIRROR”的内容检查配置文件相关联,该配置文件指定必须通过该出口接口将数据转发到IDS设备。或者,您还可以在内容检查配置文件中配置 VLAN 标记。
注意:
- 用于 IDS 服务或服务器的 IP 地址是虚拟地址。
- Citrix ADC 设备不支持出口接口的局域网通道。
- 然后,设备会通过出口接口将数据复制到一个或多个 IDS 设备。
- 同样,当后端服务器向 Citrix ADC 发送响应时,设备会复制数据并将其转发到 IDS 设备。
- 如果您的设备已集成到一个或多个 IDS 设备,并且您希望对设备进行负载平衡,则可以使用负载平衡虚拟服务器。
软件许可
要部署内联设备集成,必须为您的 Citrix ADC 设备配置以下许可证之一:
- ADC 高级版
- 高级 ADC
- 電信高級公司
- 电信高级版
配置入侵检测系统集成
您可以通过两种不同的方式将 IDS 设备与 Citrix ADC 集成。
场景 1:与单个 IDS 设备集成
以下是必须使用命令行界面配置的步骤。
- 启用内容检查
- 为代表 IDS 设备的服务添加 MIRROR 类型的内容检查配置文件。
- 添加“ANY”类型的 IDS 服务
- 添加类型为“MIRROR”的内容检查操作
- 为IDS检查添加内容检查策略
- 将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务
启用内容检查
如果希望 Citrix ADC 设备将内容发送到 IDS 设备进行检查,则无论执行解密如何,都必须启用内容检查和负载平衡功能。
在命令提示符下,键入:
enable ns feature contentInspection LoadBalancing
添加类型为“MIRROR”的内容检查配置文件
“MIRROR”类型的内容检查配置文件说明了如何连接到 IDS 设备。 在命令提示符下,键入。
add contentInspection profile <name> -type MIRROR -egressInterface <interface_name> [-egressVlan <positive_integer>]
示例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 10
添加 IDS 服务
您必须为与设备集成的每个 IDS 设备配置“ANY”类型的服务。该服务具有 IDS 设备配置详细信息。该服务代表 IDS 设备。
在命令提示符下,键入:
add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF
示例:
add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF
为 IDS 服务添加类型为 MIRROR 的内容检查操作
启用内容检查功能,然后添加 IDS 配置文件和服务后,必须添加内容检查操作来处理请求。根据内容检查操作,设备可以删除、重置、阻止数据或向 IDS 设备发送数据。
在命令提示符下,键入:
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
示例:
add ContentInspection action IDS_action -type MIRROR –serverName IDS_service
为IDS检查添加内容检查策略
创建“内容检查”操作后,必须添加内容检查策略以评估检查请求。策略基于由一个或多个表达式组成的规则。策略根据规则评估并选择要检查的流量。
在命令提示符处,键入以下内容:
add contentInspection policy < policy_name > –rule <Rule> -action <action_name>
示例:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
将内容检查策略绑定到 HTTP/SSL 类型的内容交换或负载平衡虚拟服务
要接收 Web 流量,必须添加负载平衡虚拟服务器。 在命令提示符下,键入:
add lb vserver <name> <vserver name>
示例:
add lb vserver HTTP_vserver HTTP 1.1.1.3 8080
将内容检查策略绑定到 HTTP/SSL 类型的内容交换虚拟服务器或负载平衡虚拟服务器
必须将负载平衡虚拟服务器或 HTTP/SSL 类型的内容交换虚拟服务器绑定到内容检查策略。
在命令提示符处,键入以下内容:
bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>
示例:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
场景 2:对多个 IDS 设备进行负载平衡
如果您使用两个或更多 IDS 设备,则必须使用不同的内容检查服务对设备进行负载平衡。在这种情况下,Citrix ADC 设备除了向每个设备发送一部分流量之外,还会对设备进行负载平衡。 有关基本配置步骤,请参阅场景 1。
以下是必须使用命令行界面配置的步骤。
- 添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1
- 添加适用于 IDS 服务 2 的 MIRROR 类型的内容检查配置文件 2
- 为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1
- 为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2
- 添加 ANY 类型的负载平衡虚拟服务器
- 将 IDS 服务 1 绑定到负载平衡虚拟服务器
- 将 IDS 服务 2 绑定到负载平衡虚拟服务器
- 为 IDS 设备的负载平衡添加内容检查操作。
- 添加内容检查策略以进行检查
- 添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
- 将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器
添加适用于 IDS 服务 1 的 MIRROR 类型的内容检查配置文件 1
IDS 配置可以在名为“内容检查”配置文件的实体中指定。配置文件包含设备设置的集合。内容检查配置文件1是为IDS服务1创建的。
在命令提示符下,键入:
add contentInspection profile <name> -type ANY -egressInterface <interface_name> [-egressVlan <positive_integer>]
示例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
为 IDS 服务 2 的 MIRROR 类型添加内容检查配置文件 2
为服务 2 添加了内容检查配置文件 2,内联设备通过 egress 1/1 接口与设备通信。
在命令提示符下,键入:
add contentInspection profile <name> -type MIRROR -egressInterface -egressVlan <positive_integer>]
示例:
add contentInspection profile IDS_profile1 -type MIRROR -egressInterface 1/1 -egressVLAN 1
为 IDS 设备 1 添加类型为 ANY 的 IDS 服务 1
启用内容检查功能并添加内联配置文件后,必须为内联设备 1 添加内联服务 1 才能成为负载平衡设置的一部分。您添加的服务提供所有内联配置详细信息。
在命令提示符下,键入:
add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF
示例:
add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
注意
示例中提到的 IP 地址是虚拟地址。
为 IDS 设备 2 添加 ANY 类型的 IDS 服务 2
启用内容检查功能并添加内联配置文件后,必须为内联设备 2 添加内联服务 2。您添加的服务提供所有内联配置详细信息。
在命令提示符下,键入:
add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF
示例:
add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2
注意
示例中提到的 IP 地址是虚拟地址。
添加负载平衡虚拟服务器
添加内联配置文件和服务后,必须添加负载平衡虚拟服务器以对服务进行负载平衡。
在命令提示符下,键入:
add lb vserver <vserver_name> ANY <Pvt_IP3> <port>
示例:
add lb vserver lb-IDS_vserver ANY 1.1.1.2
将 IDS 服务 1 绑定到负载平衡虚拟服务器
添加负载平衡虚拟服务器后,现在将负载平衡虚拟服务器绑定到第一个服务。
在命令提示符下,键入:
bind lb vserver <Vserver_name> <Service_name_1>
示例:
bind lb vserver lb-IDS_vserver IDS_service1
将 IDS 服务 2 绑定到负载平衡虚拟服务器
添加负载平衡虚拟服务器后,现在将该服务器绑定到第二个服务。
在命令提示符下,键入:
bind lb vserver <Vserver_name> <Service_name_1>
示例:
bind lb vserver lb-IDS_vserver IDS_service2
为 IDS 服务添加内容检查操作
启用内容检查功能后,必须添加“内容检查”操作来处理内联请求信息。根据所选的操作,设备会丢弃、重置、阻止或向 IDS 设备发送流量。
在命令提示符下,键入:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]
示例:
add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver
添加内容检查策略以进行检查
创建“内容检查”操作后,必须添加内容检查策略以评估服务请求。
在命令提示符处,键入以下内容:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
示例:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
添加 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器
添加内容交换或负载平衡虚拟服务器以接受 Web 流量。此外,您必须在虚拟服务器上启用 layer2 连接。
有关负载平衡的更多信息,请参阅 负载平衡如何工作 主题。
在命令提示符下,键入:
add lb vserver <name> <vserver name>
示例:
add lb vserver http_vserver HTTP 1.1.1.1 8080
将内容检查策略绑定到 HTTP/SSL 类型的负载平衡虚拟服务器
您必须将 HTTP/SSL 类型的内容交换或负载平衡虚拟服务器绑定到内容检查策略。
在命令提示符处,键入以下内容:
bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>
示例:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
使用 Citrix ADC GUI 配置内联服务集成
- 导航到“安全”>“内容检查”>“内容检查配置文件”。
- 在“内容检查配置文件”页面中,单击“添加”。
- 在“创建内容检查配置文件”页面中,设置以下参数。
- 配置文件名称。IDS 的内容检查配置文件的名称。
- 类型。选择配置文件类型作为 MIRROR。
- 出口接口。将流量从 Citrix ADC 发送到 IDS 设备的接口。
- 出口 VLAN(可选)。将流量发送到 IDS 设备的接口 VLAN ID。
- 单击 Create(创建)。
- 导航到 流量管理 > 负载平衡 > 服务 ,然后单击 添加。
- 在 负载平衡服务 页面,输入内容检查服务的详细信息。
- 在“高级设置”部分中,单击“配置文件”。
- 转到 配置文件 部分,然后单击 铅笔 图标以添加内容检查配置文件。
- 单击确定。
- 导航到 负载平衡 > 服务器。添加 HTTP 或 SSL 类型的虚拟服务器。
- 输入服务器详细信息后,单击“确定”,然后再次单击“确定”。
- 在“高级设置”部分中,单击“策略”。
- 转到 策略 部分,然后单击 铅笔 图标以配置内容检查策略。
- 在“选择策略”页面上,选择“内容检查”。单击继续。
- 在“策略绑定”部分中,单击“+”以添加内容检查策略。
- 在“创建 CI 策略”页中,输入内联内容检查策略的名称。
- 在“操作”字段中,单击“+”号以创建类型为 MIRROR 的 IDS 内容检查操作。
-
在“创建 CI 操作”页面中,设置以下参数。
a. 名称。内容检查内联策略的名称。
b. 键入。选择类型作为 MIRROR。 c. 服务器名称。选择服务器/服务名称作为内联设备。
d. 如果服务器关闭。如果服务器出现故障,请选择一个操作。 e. 请求超时。选择一个超时值。可以使用默认值。
f. 请求超时操作。选择超时操作。可以使用默认值。
- 单击 Create(创建)。
- 在“创建 CI 策略”页面中,输入其他详细信息。
- 单击“确定”和关闭。
有关用于负载平衡和将流量复制到 IDS 设备的 Citrix ADC GUI 配置的信息,请参阅 负载平衡。
有关内容转换后用于负载平衡和将流量转发到后端源服务器的 Citrix ADC GUI 配置的信息,请参阅 负载平衡 主题。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.