NetScaler 控制台服务

SSL Insight

SSL Insight 提供安全 Web 事务 (HTTPS) 的可见性,并允许 IT 管理员通过对安全 Web 事务提供集成、实时和历史监视,监视 NetScaler 提供的所有安全 Web 应用程序。通过此功能,管理员可以评估以下内容:

  • 确定配置变更对客户使用的影响。管理员可以理解更改配置(例如关闭 SSLv3 或移除 RC4-MD5 之类的密码)对客户端的影响。这可以通过评估此协议和密码的历史事务数据来完成。
  • 量化客户绩效。管理员可以根据使用的 SSL 密码/协议或协商的证书了解对应用程序响应时间的影响。
  • 应用程序安全。评估是否有任何应用程序在低安全协议、密码或弱密钥强度上运行交易。

如果在 NetScaler 实例上启用 SSL 分析,则会记录和记录每个 SSL 事务的 SSL 统计信息。这些统计信息显示 SSL 流的详细信息。此外,每一次成功的连接都会由 NetScaler 控制台记录和显示。

SSL Insight 提供以下关键信息,这些信息由 NetScaler 控制台分析显示:

  • SSL 协议版本已协商
  • 协商的密码和密码强度
  • 使用的证书的签名哈希算法
  • 证书类型和大小
  • SSL 前端和后端错误

注意

对于成功的 SSL 连接,SSL AppFlow 日志记录会在每笔事务结束时进行。

必备条件

  • 您打算配置 SSL Insight 的 NetScaler 实例必须运行 NetScaler 软件版本 11.1 51.21 及更高版本。在运行 11.1 51.21 的 NetScaler 实例上运行以下命令, 启用 Logstream 作为 SSL Insight 的传输类型。
  1. enable ns mode ulfd

  2. add ulfd server <IP Address of the NetScaler Console>

    对于运行 12.0 及更高版本的 NetScaler 实例,从 NetScaler 控制台启用 AppFlow 时, 选择 Logstream 作为传输类型。

  • NetScaler 控制台版本和内部版本必须等于或高于 NetScaler 版本和内部版本。例如,如果您已经安装了 NetScaler 控制台11.1 版本 61.7,则确保已安装 NetScaler 11.1 版本 60.14 或更早版本。

配置 SSL Insight

如果您启用了以下元素,则 SSL Insight 指标包含在 Web Insight 报告中:

  • 在每个 NetScaler 实例上为 Web Insight 启用 AppFlow。
  • 在每个 NetScaler 实例上启用 ULFD 模式。
  • 在每个 NetScaler 实例上启用所需的 AppFlow 参数。

启用洞察力

注意

您可以从 NetScaler 控制台或每个 NetScaler 实例启用 AppFlow 功能。

从 NetScaler 控制台启用 AppFlow 功能

  1. 导航到 基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。

  2. Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。

  3. 在虚拟服务器上配置分析页面上:

    1. 选择要启用 Web Insight 的虚拟服务器,然后单击“启用安全与分析

      屏幕上将显示“启用安全与分析”窗口。

    2. 选择 Web Insight

    3. 在“高级选项”下,选择 LogstreamIPFIX 作为传输模式

      注意

      对于 NetScaler 12.0 或更低版本, IPFIX 是传输模式的默认选项。对于 NetScaler 12.0 或更高版本,您可以选择 LogstreamIPFIX 作为传输模式。

      有关 IPFIXLogstream 的更多信息,请参阅 Logstream 概述

    4. 默认情况下,表达式为 true

    5. 单击 OK(确定)

      web-insight

注意

如果虚拟服务器的运行状态不是“UP”(运行),则无法在虚拟服务器上启用数据收集。

使用 NetScaler GUI 启用 AppFlow 功能

在 NetScaler 实例的 GUI 中,导航到“配置”>“系统”>“”,单击“配 置高级功能”,然后选择“AppFlow”。

启用 ULFD 模式

在配置虚拟服务器的 NetScaler 实例上启用 ULFD 模式后,ULFD 服务器会将分析数据从 NetScaler 实例流式传输到 NetScaler 控制台。

启用 SSL 智能分析参数

在每个 NetScaler 实例上,您必须启用一些 HTTP 参数才能在 NetScaler 控制台中显示 SSL Insight 记录。

启用 NetScaler 配置工具中的 SSL Insight 参数

  1. 导航到 配置 > 系统 > AppFlow,然后单击“更改 AppFlow 设置”

  2. 选中以下复选框: HTTP 域HTTP 主机HTTP 方法HTTP URLHTTP 用户代理HTTP 内容类型

  3. 单击确定

    SSL Insight

查看 SSL 智能分析指标

NetScaler 控制台中的 SSL Insight 指标提供了由 NetScaler 实例提供的 SSL 交易性能的详细视图。您可以在客户端、服务器或应用程序级别查看 SSL Insight 指标,以及 SSL 成功和失败事务的指标。借助这些指标,可以分析和优化 NetScaler HTTPS 设置和 SSL 证书设置,以及跟踪性能问题。

注意:

创建组时,您可以将角色分配给组,提供对组的应用程序级访问权限,并将用户分配到组。NetScaler 控制台分析现在支持基于虚拟 IP 地址的授权。您的用户现在只能看到他们被授权的应用程序(虚拟服务器)的所有见解报告。有关组和向组分配用户的详细信息,请参见 在 NetScaler 控制台上配置组

在 NetScaler 控制台中监视 SSL Insight 指标

作为管理员,您可以查看以下方面的 SSL 指标:

  • 一个应用程序。导航到 应用程序 > 控制板,单击应用程序,然后选择 Web Insight 选项卡以查看详细指标。有关更多信息,请参阅 应用程序使用情况分析

  • 所有应用程序。导航到“应用程序”>“Web Insight”,然后单击“应用程序客户端”选项卡以查看 SSL 衡量指标。

使用案例:获取 SSL 事务的概述

以下用例介绍了如何使用 SSL Insight 评估各种 SSL 参数的使用情况并改进安全措施。

假设您有一组使用 SSL 事务 (HTTPS) 进行通信的应用程序,并且您已将 NetScaler 控制台配置为监视 SSL 组件。您可能需要频繁查看应用程序,以便可以首先关注最需要注意的应用程序。应用程序或所有应用程序的 Web Insight 控制板在 SSL 错误SSL 使用情况下提供了以下 SSL 参数的摘要:

  • SSL Certificates(SSL 证书)

  • SSL Protocols(SSL 协议)

  • SSL 密码

  • SSL Key Strength(SSL 密钥强度)

  • SSL 失败 — 前端

  • SSL 失败 — 后端

    ssl-nsight5

您可以单击每个选项卡以查看详细信息。

使用案例:客户端的 SSL 指标

您可以查看客户端列表(由其 IP 地址标识)和每个客户端的总出现次数。导航到“应用程序”>“Web Insight”,然后选择“客户端”选项卡以查看“SSL 使用情况”下的详细信息。

单击度量以查看详细信息,然后在 客户端下,单击任意客户端 IP 地址以查看所选客户端的 SSL 度量。

SSL 客户端指标

SSL Insight