NetScaler SDX

跨安全区域整合

SDX 设备通常用于跨安全区域的整合。DMZ 为组织的内部网络增加了一层额外的安全保护,因为攻击者只能访问 DMZ,而不能访问组织的内部网络。在高合规性环境中,通常不接受在 DMZ 和内部网络中同时具有 VIP 地址的单个 Citrix ADC 实例。借助 SDX,您可以预置在 DMZ 中托管 VIP 地址的实例,以及在内部网络中托管 VIP 地址的其他实例。

在某些情况下,您可能需要为每个安全区域设置单独的管理网络。在这种情况下,您必须将 DMZ 中实例的 NSIP 地址放在一个网络上,并将内部网络中具有 VIP 的实例的 NSIP 地址放在不同的管理网络上。此外,在许多情况下,管理服务与实例之间的通信可能需要通过外部设备(如路由器)进行路由。您可以配置防火墙策略来控制发送到防火墙的流量并记录流量。

SDX 设备有两个管理接口(0/1 和 0/2),以及多达八个 1G 数据端口和八个 10G 数据端口(视型号而定)。您还可以将数据端口用作管理端口(例如,当您需要配置标记的 VLAN 时,因为管理接口上不允许进行标记)。如果这样做,来自管理服务的流量必须离开设备,然后返回到设备。您可以路由此流量,也可以选择在分配给实例的接口上指定 NSVLAN。如果实例是在管理服务通用的管理接口上配置的,则不必路由管理服务和 Citrix ADC 实例之间的流量,除非您的设置明确要求这样做。

注意 Citrix Hypervisor 6.0 版支持标记。

跨安全区域整合