ADC

配置应用程序访问控制

应用程序访问控制,也称为管理访问控制,构成了一种统一的机制,用于管理用户身份验证和实施确定用户对应用程序和数据的访问权限的规则。您可以配置 SNIP 以提供管理应用程序的访问权限。NSIP 的管理访问权限默认处于启用状态,无法禁用。但是,您可以通过使用 ACL 来控制它。

有关使用 ACL 的信息,请参阅 访问控制列表 (ACL)

NetScaler 设备不支持对 VIP 的管理访问权限。

下表概述了 Telnet 的管理访问权限与特定服务设置之间的交互作用。

管理访问权限 Telnet(在 NetScaler 上配置状态) 远程登录(IP 级别的有效状态)
启用 启用 启用
启用 禁用 禁用
禁用 启用 禁用
禁用 禁用 禁用

下表概述了在出站流量中用作源 IP 地址的 IP 地址。

应用程序/ IP NSIP SNIP VIP
ARP
服务器端流量
RNAT
ICMP PING
动态路由

下表概述了这些 IP 地址上可用的应用程序。

应用程序/ IP NSIP SNIP VIP
SNMP
系统接入

您可以使用 Telnet、SSH、GUI 和 FTP 等应用程序访问和管理 NetScaler。

注意:出于安全 原因,NetScaler 上的 Telnet 和 FTP 已禁用。要启用它们,请联系客户支持。启用应用程序后,您可以在 IP 级别应用控件。

要配置 NetScaler 以响应这些应用程序,您需要启用特定的管理应用程序。如果您禁用某个 IP 地址的管理访问权限,则使用该 IP 地址的现有连接不会终止,但无法启动新的连接。

此外,在底层 FreeBSD 操作系统上运行的非管理应用程序容易受到协议攻击,这些应用程序没有利用 NetScaler 设备的攻击防御能力。

您可以在 SNIP 或 NSIP 上阻止访问这些非管理应用程序。当访问被阻止时,使用 SNIP 或 NSIP 连接到 NetScaler 的用户将无法访问在底层操作系统上运行的非管理应用程序。

要使用 CLI 配置 IP 地址的管理访问权限,请执行以下操作:

在命令提示符下,键入:

**set ns ip** <IPAddress> -mgmtAccess <value> -**telnet** <value> -**ftp** <value> -**gui** <value> -**ssh** <value> -**snmp** <value> -**restrictAccess** (**ENABLED** | **DISABLED**)

示例:


 > set ns ip 10.102.29.54 -mgmtAccess enabled -restrictAccess ENABLED
  Done
<!--NeedCopy-->

要使用 GUI 启用 IP 地址的管理访问权限,请执行以下操作:

  1. 导航到“系统”>“网络”>“IP”>“IPV4”。
  2. 打开 IP 地址条目,然后选择 启用管理访问控制 以支持列出的应用程序选项。

使用子网 IP 地址 (SNIP) 启用对 NetScaler GUI 的安全访问

默认情况下,NetScaler IP (NSIP) 已启用 NetScaler GUI 的安全访问。您还可以使用设备的子网 IP 地址启用对 NetScaler 设备的安全访问。

配置 SNIP 地址以安全访问高可用性对之后,如果访问 SNIP 地址,则主设备可以使用安全访问权限。

NetScaler CLI 程序

要使用 CLI 启用使用子网 IP 地址 (SNIP) 安全访问 NetScaler GUI,请执行以下操作:

在命令提示符下,键入:

set ns ip <SNIP_Address> -type SNIP -gui SECUREONLY -mgmtAccess ENABLED

示例:


 > set ns ip 203.0.113.99 -mgmtAccess enabled -restrictAccess ENABLED

  Done
<!--NeedCopy-->
配置应用程序访问控制