This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
为部署在双跃点模式下的 NetScaler Gateway 设备启用数据收集
NetScaler Gateway 双跃点模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跳数(NetScaler Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的 ICA 总延迟进行展览,则必须安装 NetScaler ADM,以便 NetScaler Gateway 装置报告这些生命统计数据。
图 3. NetScaler ADM 在双跃点模式下部署
第一个 DMZ 中的 NetScaler Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 NetScaler Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。
第二个 DMZ 中的 NetScaler Gateway 充当 NetScaler Gateway 代理设备。此 NetScaler Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。
NetScaler ADM 可以部署在属于第一个 DMZ 中 NetScaler Gateway 设备的子网中,也可以部署在属于 NetScaler Gateway 设备的第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 NetScaler ADM 和 NetScaler Gateway 部署在同一个子网中。
在双跃点模式下,NetScaler ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 NetScaler Gateway 设备添加到 NetScaler ADM 清单并启用数据收集后,每台设备都会通过跟踪跳数和连接链 ID 来导出报告。
为了让 NetScaler ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跃点数表示流量从客户端流向服务器的 NetScaler Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。
NetScaler ADM 使用跳数和连接链 ID 来关联来自两个 NetScaler Gateway 设备的数据并生成报告。
要监视在此模式下部署的 NetScaler Gateway 装置,必须首先将 NetScaler Gateway 添加到 NetScaler ADM 清单中,启用 NetScaler ADM 上的 AppFlow,然后在 NetScaler ADM 控制板上查看报告。
在 NetScaler ADM 上启用数据收集
如果启用 NetScaler ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。要克服这种情况,必须在第一批 NetScaler Gateway 设备之一上启用适用于 TCP 的 AppFlow,然后在第二台设备上启用适用于 ICA 的 AppFlow。通过这样做,其中一个装置导出 ICA AppFlow 记录,另一个装置则导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。
要从 NetScaler ADM 启用 AppFlow 功能,请执行以下操作:
-
导航到基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从 操 作列表中,选择 启用/禁用智能分析。
-
选择 VPN 虚拟服务器,然后单击启用 AppFlow。
-
在 启用 AppFlow 字段中,键入 true,然后分别为 ICA 流量选择 ICA/ TCP 流量。
注意
如果未为 NetScaler 设备上的服务或服务组启用 AppFlow 日志记录,NetScaler ADM 控制板不会显示记录,即使 Insight 列显示已启用。
-
单击确定。
配置 NetScaler Gateway 设备以导出数据
安装 NetScaler Gateway 设备后,必须在 NetScaler Gateway 设备上配置以下设置,以便将报告导出到 NetScaler ADM:
-
在第一个和第二个 DMZ 中配置 NetScaler Gateway 设备的虚拟服务器以相互通信。
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
-
允许其中一个 NetScaler Gateway 设备导出 ICA 记录
-
允许其他 NetScaler Gateway 设备导出 TCP 记录:
-
在两个 NetScaler Gateway 设备上启用连接链接。
使用命令行界面配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 虚拟服务器配置为与第二个 DMZ 中的 NetScaler Gateway 虚拟服务器进行通信。
add vpn nextHopServer [**-secure**(ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy-->
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。在第一个 DMZ 中的 NetScaler Gateway 上运行以下命令:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy-->
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点和 AppFlow。
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy-->
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy-->
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST <!--NeedCopy-->
-
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST <!--NeedCopy-->
-
在两个 NetScaler Gateway 设备上启用连接链接:
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
使用配置实用程序配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 配置为与第二个 DMZ 中的 NetScaler Gateway 进行通信,并将第二个 DMZ 中的 NetScaler Gateway 绑定到第一个 DMZ 中的 NetScaler Gateway。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序。
-
单击下一个跃点服务器并将下一个跃点服务器绑定到第二台 NetScaler Gateway 设备。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。
-
展开 More(更多),选择 Double Hop(双跃点)并单击 OK(确定)。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上禁用虚拟服务器上的身份验证。
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。
-
展开“更多”,然后清除“启用身份验证”。
-
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击 + 图标,然后从选择策略 列表中选择AppFlow,然后从选择类型下拉列表中选择其他 TCP 请求。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在高级 组中展开策略。
-
单击 + 图标,然后从选择策略下拉列表中选择AppFlow,然后从选择类型下拉列表中选择其他 TCP 请求。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
在两个 NetScaler Gateway 设备上启用连接链接。
-
在“配置”选项卡上,导航到“设置”>“AppFlow”。
-
在右侧窗格的“设置”组中,单击“更改 AppFlow 设置”。
-
选择 Connection Chaining(连接链)并单击 OK(确定)。
-
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.