This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
为部署在双跃点模式下的 NetScaler Gateway 设备启用数据收集
NetScaler Gateway 双跳模式为组织内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区 (DMZ) 才能访问安全网络中的服务器。
作为管理员,您可以使用 NetScaler 控制台分析:
-
ICA 连接通过的跳数(NetScaler Gateway 设备)
-
每个 TCP 连接的延迟以及它如何与客户端感知的总 ICA 延迟相关的详细信息
下图表明第一个 DMZ 中的 NetScaler 控制台和 NetScaler Gateway 部署在同一个子网中。
第一个 DMZ 中的 NetScaler Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 NetScaler Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。
第二个 DMZ 中的 NetScaler Gateway 充当 NetScaler Gateway 代理设备。此 NetScaler Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。
NetScaler 控制台可以部署在属于第一个 DMZ 中 NetScaler Gateway 设备的子网中,也可以部署在属于第二个 DMZ 的 NetScaler Gateway 设备的子网中。
在双跳模式下,NetScaler 控制台从一台设备收集 TCP 记录,从另一台设备收集 ICA 记录。将 NetScaler Gateway 设备添加到 NetScaler 控制台清单并启用数据收集后,每台设备都会通过跟踪跳数和连接链 ID 来导出报告。
为了让 NetScaler 控制台识别哪个设备正在导出记录,每个设备都指定了跳数,每个连接都使用连接链 ID 指定。跃点数表示流量从客户端流向服务器的 NetScaler Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。
NetScaler 控制台使用跳数和连接链 ID 来关联来自两个 NetScaler Gateway 设备的数据并生成报告。
要监视以此模式部署的 NetScaler Gateway 设备,必须先将 NetScaler Gateway 添加到 NetScaler 控制台清单,在 NetScaler 控制台上启用 AppFlow,然后在 NetScaler 控制台控制面板上查看报告。
在 NetScaler 控制台上启用数据收集
如果您启用 NetScaler 控制台开始从两个设备收集 ICA 详细信息,则收集的详细信息是多余的。要克服这种情况,您必须在第一台 NetScaler Gateway 设备上启用 AppFlow for TCP,然后在第二台设备上启用 AppFlow for ICA。通过这样做,其中一个装置导出 ICA AppFlow 记录,另一个装置则导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。
要从 NetScaler 控制台启用 AppFlow 功能,请执行以下操作:
-
导航到基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
选择虚拟服务器,然后单击“启用安全和分析”。
-
选择 Web Insight
-
单击确定。
配置 NetScaler Gateway 设备以导出数据
安装 NetScaler Gateway 设备后,必须在 NetScaler Gateway 设备上配置以下设置,才能将报告导出到 NetScaler 控制台:
-
在第一个和第二个 DMZ 中配置 NetScaler Gateway 设备的虚拟服务器以相互通信。
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
-
允许其中一个 NetScaler Gateway 设备导出 ICA 记录
-
允许其他 NetScaler Gateway 设备导出 TCP 记录:
-
在两个 NetScaler Gateway 设备上启用连接链接。
使用命令行界面配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 虚拟服务器配置为与第二个 DMZ 中的 NetScaler Gateway 虚拟服务器进行通信。
add vpn nextHopServer [**-secure** (ON OFF)] [-imgGifToPng] … add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON <!--NeedCopy--> -
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。在第一个 DMZ 中的 NetScaler Gateway 上运行以下命令:
bind vpn vserver <name> -nextHopServer <name>
bind vpn vserver vs1 -nextHopServer nh1 <!--NeedCopy--> -
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点和 AppFlow。
set vpn vserver [**- doubleHop** ( ENABLED DISABLED )] [- appflowLog ( ENABLED DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED <!--NeedCopy--> -
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
set vpn vserver [**-authentication** (ON OFF)] set vpn vserver vs -authentication OFF <!--NeedCopy--> -
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST <!--NeedCopy--> -
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
bind vpn vserver<name> [-policy<string> -priority<positive_integer>] [-type<type>]
bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST <!--NeedCopy--> -
在两个 NetScaler Gateway 设备上启用连接链接:
set appFlow param [-connectionChaining (ENABLED DISABLED)] set appflow param -connectionChaining ENABLED <!--NeedCopy-->
使用配置实用程序配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 配置为与第二个 DMZ 中的 NetScaler Gateway 进行通信,并将第二个 DMZ 中的 NetScaler Gateway 绑定到第一个 DMZ 中的 NetScaler Gateway。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在“高级”组中展开“已发布的应用程序”。
-
单击 下一跳服务器 ,然后将下一跳服务器绑定到第二台 NetScaler Gateway 设备。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在基本设置组中单击“编辑”图标。
-
展开“更多”,选择“双跃点”,然后单击“确定”。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上禁用虚拟服务器上的身份验证。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右侧窗格中,双击虚拟服务器,然后在基本设置组中单击“编辑”图标。
-
展开 更多,然后清除“启用身份验证”。
-
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击 + 图标,然后从 选择策略 列表中选择 AppFlow ,然后从 选择类型 列表中选择 其他 TCP 请求。
-
单击继续。
-
添加策略绑定,然后单击“关闭”。
-
-
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击 + 图标,然后从 选择策略 列表中选择 AppFlow ,然后从 选择类型 列表中选择 其他 TCP 请求。
-
单击继续。
-
添加策略绑定,然后单击“关闭”。
-
-
在两个 NetScaler Gateway 设备上启用连接链接。
-
在配置选项卡上,导航到系统 > 应用流程。
-
在右侧窗格的“设置”组中,单击“更改 Appflow 设置”。
-
选择“连接链接”,然后单击“**确定”。
-
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.