Gateway

EPA 扫描 MAC 地址

从 Citrix ADC 版本 13.0-88.x 开始,您可以为允许或特定 MAC 地址配置 EPA 扫描配置。Citrix ADC 使用策略表达式和模式集来指定 MAC 地址列表。

在 Citrix ADC 版本 13.0-88.x 之前,必须将所有允许的 MAC 地址列表指定为 EPA 表达式的一部分。如果客户有大量允许使用的 MAC 地址,那么在一个表达式中添加所有 MAC 地址就很麻烦了。此外,在单个表达式中添加 MAC 地址的数量也有限制。

例如,

add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome") || sys.client_expr("proc_0_firefox") && sys.client_expr("sys_0_MAC_ADDR_anyof_1AC89C83BOF7,0250F20A777C[COMMENT: MAC Address]")/
<!--NeedCopy-->

使用 GUI 配置 EPA 扫描 MAC 地址

以前在 Windows 扫描类别中提供的 MAC 地址(表达式) 选项现在在 Citrix ADC GUI 的“常用”扫描类别中可用。此选项允许用户配置 EPA 扫描,以获取允许或特定 MAC 地址的列表。

注意:

Citrix Secure Access 客户端 22.10.1 及更高版本支持 Citrix ADC 在 GUI 上处理 EPA 扫描配置的这种方法。

EPA 扫描常见扫描

  1. 配置模式集。有关详细信息,请参阅 配置模式集

  2. 为每个模式集创建相应的策略表达式。

    配置表达式时,在表达式编辑器中,选择 AAA > 登录 > CLIENT_MAC_ADDR > EQUAL_ANY(string) > 模式集

    有关配置高级表达式的详细信息,请参阅在 策略中配置高级策略表达式

  3. 为前面步骤中配置的表达式创建 EPA 扫描。有关详细信息,请参阅 高级端点分析扫描

使用 CLI 配置 EPA 扫描 MAC 地址

  1. 将 MAC 地址存储在模式集中。

    在命令提示符下,键入:

    add policy patset <name> [-comment <string>]
    <!--NeedCopy-->
    

    Example:

    ``` add policy patset patset1 bind policy patset patset1 1A-C8-9C-83-BO-F7 bind policy patset patset1 02-50-F2-0A-77-7C … 等等,最多 3000 个条目。 add policy patset patset2 bind policy patset patset2 1A-2B-3C-4D-5E-6A bind policy patset patset2 1A-2B-3C-4D-5E-6B … 等等,最多 3000 个条目。 ```

  2. 使用 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any() 为每个模式集创建相应的策略表达式

    在命令提示符下,键入:

    Add policy expression <name> <value> [-comment <string>] [-clientSecurityMessage <string>]
    

    示例:

    add policy expression exp1 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset1")
    add policy expression exp2 AAA.LOGIN.CLIENT_MAC_ADDR.equals_any("patset2")
    
  3. 使用配置的策略表达式创建 EPA 扫描

    在命令提示符下,键入:

    add authentication epaAction <name>  -csecexpr <expression>
    

    示例:

    add authentication epaAction epa -csecexpr q/sys.client_expr("proc_0_notepad.exe") || sys.client_expr("proc_0_chrome")  || sys.client_expr("mac-addr_0_exp1") || sys.client_expr("mac-addr_0_exp2") || sys.client_expr("proc_0_firefox")/
    

    配置预身份验证策略,

    add authentication Policy epapol -rule true -action epa
    

    绑定预身份验证策略,

    bind authentication vserver <name> -policy epapol -priority 10 -gotoPriorityExpression NEXT
    

需要注意的事项

  • 为允许的 MAC 地址列表配置 EPA 扫描仅适用于 nFactor 身份验证流程。
  • 建议在一个模式集中存储不超过 3000 个条目。
  • MAC 地址必须配置为 1A-2B-3C-4D-5E-6F 格式。
  • EPA 扫描的格式为 mac-addr_0_<policy-expression-name>。在此格式中,mac-addr_0_ 是静态值,您必须在后面输入策略表达式名称 mac-addr_0_
  • 可以使用符号适当分隔EPA扫描 ( ||, &&)
  • 要向模式集中添加许多 MAC 地址,可以使用基于文件的模式集导入。建议最多存储 3000 个条目/模式集,以获得最佳性能。
  • 如果文件中存在 MAC 地址,则可以使用基于文件的模式集导入并在导入过程中指定适当的分隔符来创建模式集。

引用

EPA 扫描 MAC 地址