Application Delivery Management

SSL Insight

SSL Insight 提供安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成、实时和历史监视,监视 NetScaler 提供的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置更改对客户使用的影响:管理员可以了解进行配置更改(例如关闭 SSLv3 或删除 RC4-MD5 等密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。

  • 量化客户端性能:管理员可以根据使用的 SSL 密码/协议或协商的证书了解对应用程序响应时间的影响。

  • 应用程序安全:评估是否有任何应用程序的事务在低安全协议、密码或弱密钥强度下运行。

如果在 NetScaler 实例上启用 SSL 分析,则会记录和记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,NetScaler Application Delivery Management (ADM) 分析会记录和显示每个成功的连接。

SSL Insight 提供以下关键信息,这些信息由 NetScaler ADM Analytics 显示:

  • SSL 协议版本已协商

  • 协商的密码和密码强度

  • 使用的证书的签名哈希算法

  • 证书类型和大小

  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每笔事务结束时进行。

必备条件

  • 您打算配置 SSL Insight 的 NetScaler 实例必须运行 NetScaler 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 ADC 实例上运行以下命令,以启用 Logstream 作为 SSL Insight 的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the ADM>

    对于运行版本 12.0 及更高版本的 ADC 实例,在从 ADM 启用 AppFlow 的同时,选择 Logstream 作为传 输类型。

  • NetScaler ADM 版本和版本必须等于或高于 NetScaler 版本和内部版本。例如,如果您安装了 NetScaler ADM 11.1 版本 61.7,请确保已安装了 NetScaler 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 NetScaler 实例上为 Web Insight 启用 AppFlow。

  • 在每个 NetScaler 实例上启用 ULFD 模式。

  • 在每个 NetScaler 实例上启用所需的 AppFlow 参数。

启用 AppFlow 功能

注意

您可以从 NetScaler ADM 或每个 NetScaler 实例启用 AppFlow 功能。

要从 NetScaler ADM 启用 AppFlow 功能,请执行以下操作:

如果您的 NetScaler ADM 是 13.0 Build 41.x 或更高版本,请执行以下操作:

  1. 导航到 基础结构 > 实例 > NetScaler,然后选择实例类型。例如,VPX。

  2. 选择实例,然后从“选择操作”列表中单击“配置分析”。

  3. 在虚拟服务器上配置 Analytics 页面上,选择虚拟服务器,然后单击启用 Analytics

  4. 启用分析 窗口中:

    1. 选择 Web Insight

    2. 选择 Logstream 作为传输模式

      注意

      对于 NetScaler 12.0 或更低版本, IPFIX 是传输模式的默认选项。对于 NetScaler 12.0 或更高版本,您可以选择 LogstreamIPFIX 作为传输模式。

      有关 IPFIX 和 Logstream 的更多信息,请参阅 Logstream 概述

    3. 默认情况下,表达式为 true

    4. 单击 OK(确定)

      启用分析

      注意

      • 如果您选择未获得许可的虚拟服务器,则 NetScaler ADM 将首先许可这些虚拟服务器,然后启用分析

      • 对于管理分区,仅支持 Web Insight

      • 对于缓存重定向、身份验证和 GSLB 等虚拟服务器,您无法启用分析。将显示一条错误消息。

单击 确定”后,NetScaler ADM 将处理在所选虚拟服务器上启用分析。

如果您的 NetScaler ADM 为 13.0 Build 36.27 或更早版本

  1. 导航到 基础架构 > 实例 > NetScaler,然后选择要启用分析的 NetScaler 实例。

  2. Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。

    配置分析

  3. 在“配置智能分析”页上:

    1. 为负载平衡或内容切换选择 应用程序列表

      应用程序列表

    2. 选择虚拟服务器,然后单击 启用 AppFlow

      虚拟服务器

  4. 在“启用 AppFlow”对话框中:

    • 在文本框中输入 true

    • 选择 Logstream 作为传输模式

      注意:Citrix 建议您选择 Logstream 作为传输模式。

    • 选择“Web 智能分析”,然后单击“确定”。

      传输模式

要使用 NetScaler GUI 启用 AppFlow 功能,请执行以下操作:

在 NetScaler 实例的 GUI 中,导航到“配置”>“系统”>“”,单击“配 置高级功能”,然后选择“AppFlow”。

启用 SSL 智能分析参数

在每个 NetScaler 实例上,您必须启用某些 HTTP 参数才能在 NetScaler ADM 中显示 SSL 智能分析记录。

要启用 NetScaler 配置实用程序中的 SSL Insight 参数,请执行以下操作:

  1. 导航到 配置 > 系统 > AppFlow,然后单击“更改 AppFlow 设置”

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型。  

  3. 单击确定

    ssl-insight2

查看 SSL 智能分析指标

NetScaler ADM 中的 SSL 智能分析度量提供了 NetScaler 实例所服务的 SSL 事务性能的详细视图。您可以在客户端、服务器或应用程序级别查看 SSL Insight 指标,以及查看 SSL 成功和失败事务的指标。借助这些指标,您可以分析和优化 NetScaler HTTPS 设置和 SSL 证书设置,并跟踪性能问题。

注意:

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。NetScaler ADM 分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和将用户分配到组的详细信息,请参阅 配置组

要在 NetScaler ADM 中监视 SSL 智能分析度量,请执行以下操作:

您可以查看以下内容的 SSL 指标:

  • 一个应用程序。导航到 应用程序 > 控制板,单击应用程序,然后选择 Web Insight 选项卡以查看详细指标。有关更多信息,请参阅 应用程序使用情况分析

  • 所有应用程序。导航到“应用程序”>“Web Insight”,然后单击“应用程序客户端”选项卡以查看 SSL 衡量指标。

使用案例:获取 SSL 事务的概述

以下用例介绍了如何使用 SSL Insight 评估各种 SSL 参数的使用情况并改进安全措施。

请考虑您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 NetScaler ADM 配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。应用程序或所有应用程序的 Web Insight 控制板在 SSL 错误SSL 使用情况下提供了以下 SSL 参数的摘要:

  • SSL Certificates(SSL 证书)

  • SSL Protocols(SSL 协议)

  • SSL 密码

  • SSL Key Strength(SSL 密钥强度)

  • SSL 失败 — 前端

  • SSL 失败 — 后端

    ssl-nsight5

您可以单击每个选项卡以查看详细信息。

使用案例:客户端的 SSL 指标

您可以查看客户端列表(由其 IP 地址标识)和每个客户端的总出现次数。导航到“应用程序”>“Web Insight”,然后选择“客户端”选项卡以查看“SSL 使用情况”下的详细信息。

单击度量以查看详细信息,然后在 客户端下,单击任意客户端 IP 地址以查看所选客户端的 SSL 度量。

SSL 客户端指标

SSL Insight