Application Delivery Management

为在双跃点模式下部署的 Citrix Gateway 设备启用数据收集

Citrix Gateway 双跃点模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跳数(Citrix Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的 ICA 总延迟进行展览,则必须安装 Citrix ADM,以便 Citrix Gateway 装置报告这些生命统计数据。

图 3. Citrix ADM 在双跃点模式下部署

双跳模式

第一个 DMZ 中的 Citrix Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 Citrix Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。

第二个 DMZ 中的 Citrix Gateway 充当 Citrix Gateway 代理设备。此 Citrix Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。

Citrix ADM 可以部署在属于第一个 DMZ 中 Citrix Gateway 设备的子网中,也可以部署在属于 Citrix Gateway 设备的第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 Citrix ADM 和 Citrix Gateway 部署在同一个子网中。

在双跃点模式下,Citrix ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 Citrix Gateway 设备添加到 Citrix ADM 清单并启用数据收集后,每台设备都会通过跟踪跳数和连接链 ID 来导出报告。

为了让 Citrix ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跃点数表示流量从客户端流向服务器的 Citrix Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。

Citrix ADM 使用跳数和连接链 ID 来关联来自两个 Citrix Gateway 设备的数据并生成报告。

要监视在此模式下部署的 Citrix Gateway 装置,必须首先将 Citrix Gateway 添加到 Citrix ADM 清单中,启用 Citrix ADM 上的 AppFlow,然后在 Citrix ADM 控制板上查看报告。

在 Citrix ADM 上启用数据收集

如果启用 Citrix ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。要克服这种情况,必须在第一批 Citrix Gateway 设备之一上启用适用于 TCP 的 AppFlow,然后在第二台设备上启用适用于 ICA 的 AppFlow。通过这样做,其中一个装置导出 ICA AppFlow 记录,另一个装置则导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。

要从 Citrix ADM 启用 AppFlow 功能,请执行以下操作:

  1. 导航到 基础架构 > 实例,然后选择要启用分析的 Citrix ADC 实例。

  2. 作列表中,选择 启用/禁用智能分析

  3. 选择 VPN 虚拟服务器,然后单击启用 AppFlow

  4. 启用 AppFlow 字段中,键入 true,然后分别为 ICA 流量选择 ICA/ TCP 流量。

    注意

    如果未为 Citrix ADC 设备上的服务或服务组启用 AppFlow 日志记录,Citrix ADM 控制板不会显示记录,即使 Insight 列显示已启用。

  5. 单击确定

配置 Citrix Gateway 设备以导出数据

安装 Citrix Gateway 设备后,必须在 Citrix Gateway 设备上配置以下设置,以便将报告导出到 Citrix ADM:

  • 在第一个和第二个 DMZ 中配置 Citrix Gateway 设备的虚拟服务器以相互通信。

  • 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。

  • 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

  • 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。

  • 允许其中一个 Citrix Gateway 设备导出 ICA 记录

  • 允许其他 Citrix Gateway 设备导出 TCP 记录:

  • 在两个 Citrix Gateway 设备上启用连接链接。

使用命令行界面配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 虚拟服务器配置为与第二个 DMZ 中的 Citrix Gateway 虚拟服务器进行通信。

    add vpn nextHopServer  [**-secure**(ON OFF)] [-imgGifToPng] …
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    <!--NeedCopy-->
    
  2. 将第二个 DMZ 中的 Citrix Gateway 虚拟服务器绑定到第一个 DMZ 中的 Citrix Gateway 虚拟服务器。在第一个 DMZ 中的 Citrix Gateway 上运行以下命令:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    <!--NeedCopy-->
    
  3. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点和 AppFlow。

    set vpn vserver  [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )]
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    <!--NeedCopy-->
    
  4. 在第二个 DMZ 中的 Citrix Gateway 虚拟服务器上禁用身份验证。

    set vpn vserver [**-authentication** (ON OFF)]
    set vpn vserver vs -authentication OFF
    <!--NeedCopy-->
    
  5. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    <!--NeedCopy-->
    
  6. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    <!--NeedCopy-->
    
  7. 在两个 Citrix Gateway 设备上启用连接链接:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    <!--NeedCopy-->
    

使用配置实用程序配置 Citrix Gateway:

  1. 将第一个 DMZ 中的 Citrix Gateway 配置为与第二个 DMZ 中的 Citrix Gateway 进行通信,并将第二个 DMZ 中的 Citrix Gateway 绑定到第一个 DMZ 中的 Citrix Gateway。

    1. 在“配置”选项卡上展开Citrix Gateway ,然后单击“虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序

    3. 单击下一跳服务器 并将下一跳服务器绑定到第二个 Citrix Gateway 设备。

  2. 在第二个 DMZ 中的 Citrix Gateway 上启用双跃点。

    1. 在“配置”选项卡上展开Citrix Gateway ,然后单击“虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开 More(更多),选择 Double Hop(双跃点)并单击 OK(确定)。

  3. 在第二个 DMZ 中的 Citrix Gateway 上禁用虚拟服务器上的身份验证。

    1. 在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。

    3. 展开“更多”,然后清除“启用身份验证”。

  4. 启用其中一个 Citrix Gateway 设备以导出 TCP 记录。

    1. 在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级组中展开策略。

    3. 单击 + 图标,然后从选择策略 列表中选择AppFlow,然后从选择类型下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  5. 启用其他 Citrix Gateway 设备以导出 ICA 记录:

    1. 在“配置”选项卡上,展开 Citrix Gateway,然后单击“虚拟服务器”。

    2. 在右窗格中,双击虚拟服务器,然后在高级 组中展开策略

    3. 单击 + 图标,然后从选择策略下拉列表中选择AppFlow,然后从选择类型下拉列表中选择其他 TCP 请求

    4. 单击 继续

    5. 添加策略绑定,并单击 Close(关闭)。

  6. 在两个 Citrix Gateway 设备上启用连接链接。

    1. 配置选项卡上,导航到系统 > Appflow

    2. 在右侧窗格的“设置”组中,单击“更改 AppFlow 设置”。

    3. 选择 Connection Chaining(连接链)并单击 OK(确定)。

为在双跃点模式下部署的 Citrix Gateway 设备启用数据收集