This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
为以双跳模式部署的 NetScaler Gateway 设备启用数据收集
NetScaler Gateway 双跳模式为组织的内部网络提供了额外保护,因为攻击者需要穿透多个安全区域或非军事区 (DMZ) 才能访问安全网络中的服务器。如果您想分析 ICA 连接通过的跳数(NetScaler Gateway 设备),以及每个 TCP 连接的延迟详情及其与客户端感知的总 ICA 延迟相比的表现,则必须安装 NetScaler Console,以便 NetScaler Gateway 设备报告这些重要统计数据。
图 3. 以双跳模式部署的 NetScaler Console
第一个 DMZ 中的 NetScaler Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 NetScaler Gateway 会加密用户连接,确定用户如何进行身份验证,并控制对内部网络中服务器的访问。
第二个 DMZ 中的 NetScaler Gateway 用作 NetScaler Gateway 代理设备。此 NetScaler Gateway 使 ICA 流量能够穿过第二个 DMZ,以完成用户到服务器场的连接。
NetScaler Console 可以部署在属于第一个 DMZ 中 NetScaler Gateway 设备的子网中,也可以部署在属于第二个 DMZ 中 NetScaler Gateway 设备的子网中。在上图中,第一个 DMZ 中的 NetScaler Console 和 NetScaler Gateway 部署在同一子网中。
在双跳模式下,NetScaler Console 从一个设备收集 TCP 记录,从另一个设备收集 ICA 记录。将 NetScaler Gateway 设备添加到 NetScaler Console 清单并启用数据收集后,每个设备都会通过跟踪跳数和连接链 ID 来导出报告。
为了让 NetScaler Console 识别哪个设备正在导出记录,每个设备都指定了一个跳数,每个连接都指定了一个连接链 ID。跳数表示流量从客户端流向服务器所经过的 NetScaler Gateway 设备的数量。连接链 ID 表示客户端和服务器之间的端到端连接。
NetScaler Console 使用跳数和连接链 ID 关联来自两个 NetScaler Gateway 设备的数据并生成报告。
要监视以这种模式部署的 NetScaler Gateway 设备,您必须首先将 NetScaler Gateway 添加到 NetScaler Console 清单,在 NetScaler Console 上启用 AppFlow,然后在 NetScaler Console 控制板上查看报告。
在 NetScaler Console 上启用数据收集
如果您启用 NetScaler Console 开始从两个设备收集 ICA 详细信息,则收集到的详细信息是冗余的。也就是说,两个设备都报告相同的指标。为了克服这种情况,您必须在第一个 NetScaler Gateway 设备之一上启用 TCP 的 AppFlow,然后在第二个设备上启用 ICA 的 AppFlow。这样,其中一个设备导出 ICA AppFlow 记录,另一个设备导出 TCP AppFlow 记录。这还节省了解析 ICA 流量的处理时间。
要从 NetScaler Console 启用 AppFlow 功能:
-
导航到 基础结构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从“操作”列表中,选择“启用/禁用 Insight”。
-
选择 VPN 虚拟服务器,然后单击“启用 AppFlow®”。
-
在“启用 AppFlow”字段中,键入 true,并分别为 ICA 流量和 TCP 流量选择 ICA/TCP。
注意
如果未为 NetScaler 设备上的服务或服务组启用 AppFlow 日志记录,则 NetScaler Console 控制板不显示记录,即使 Insight 列显示“已启用”也是如此。
-
单击“确定”。
配置 NetScaler Gateway 设备以导出数据
安装 NetScaler Gateway 设备后,您必须在 NetScaler Gateway 设备上配置以下设置,以将报告导出到 NetScaler Console:
-
配置第一个和第二个 DMZ 中的 NetScaler Gateway 设备的虚拟服务器,以便相互通信。
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跳。
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
-
启用其中一个 NetScaler Gateway 设备以导出 ICA 记录
-
启用另一个 NetScaler Gateway 设备以导出 TCP 记录:
-
在两个 NetScaler Gateway 设备上启用连接链。
使用命令行界面配置 NetScaler Gateway:
-
配置第一个 DMZ 中的 NetScaler Gateway 虚拟服务器,以便与第二个 DMZ 中的 NetScaler Gateway 虚拟服务器通信。
add vpn nextHopServer [**-secure**(ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy--> -
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。在第一个 DMZ 中的 NetScaler Gateway 上运行以下命令:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy--> -
在第二个 DMZ 中的 NetScaler Gateway 上启用双跳和 AppFlow。
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy--> -
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy--> -
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP\_REQUEST <!--NeedCopy--> -
启用另一个 NetScaler Gateway 设备以导出 ICA 记录:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA\_REQUEST <!--NeedCopy--> -
在两个 NetScaler Gateway 设备上启用连接链:
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
使用配置实用程序配置 NetScaler Gateway:
-
配置第一个 DMZ 中的 NetScaler Gateway 以便与第二个 DMZ 中的 NetScaler Gateway 通信,并将第二个 DMZ 中的 NetScaler Gateway 绑定到第一个 DMZ 中的 NetScaler Gateway。
-
在“配置”选项卡上,展开“NetScaler Gateway”,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在“高级”组中,展开“已发布的应用程序”。
-
单击“下一跳服务器”,并将下一跳服务器绑定到第二个 NetScaler Gateway 设备。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跳。
-
在“配置”选项卡上,展开“NetScaler Gateway”,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在“基本设置”组中,单击编辑图标。
-
展开“更多”,选择“双跳”,然后单击“确定”。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上的虚拟服务器上禁用身份验证。
-
在“配置”选项卡上,展开“NetScaler Gateway”,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在“基本设置”组中,单击编辑图标。
-
展开“更多”,然后清除“启用身份验证”。
-
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
-
在“配置”选项卡上,展开“NetScaler Gateway”,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在“高级”组中,展开“策略”。
-
单击“+”图标,从“选择策略”列表中,选择“AppFlow”,然后从“选择类型”下拉列表中,选择“其他 TCP 请求”。
-
单击“继续”。
-
添加策略绑定,然后单击“关闭”。
-
-
启用另一个 NetScaler Gateway 设备以导出 ICA 记录:
-
在“配置”选项卡上,展开“NetScaler Gateway”,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在“高级”组中,展开“策略”。
-
单击“+”图标,从“选择策略”下拉列表中,选择“AppFlow”,然后从“选择类型”下拉列表中,选择“ICA 请求”。
-
单击“继续”。
-
添加策略绑定,然后单击“关闭”。
-
-
在两个 NetScaler Gateway 设备上启用连接链。
-
在“配置”选项卡上,导航到“设置 > Appflow”。
-
在右侧窗格中,在“设置”组中,单击“更改 Appflow 设置”。
-
选择“连接链”,然后单击“确定”。
-
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.