Citrix ADC

Integration mit IPS oder NGFW als Inline-Geräte mit SSL-Forward-Proxy

Sicherheitsgeräte wie Intrusion Prevention System (IPS) und Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte können den Live-Datenverkehr überprüfen und werden in der Regel im Layer 2-Inline-Modus bereitgestellt. Die SSL-Forward-Proxy-Appliance bietet Sicherheit für Benutzer und das Unternehmensnetzwerk beim Zugriff auf Ressourcen im Internet.

Eine SSL-Forward-Proxy-Appliance kann mit einem oder mehreren Inline-Geräten integriert werden, um Bedrohungen zu verhindern und erweiterten Sicherheitsschutz zu bieten. Bei den Inline-Geräten kann es sich um ein beliebiges Sicherheitsgerät wie IPS und NGFW handeln.

Einige Anwendungsfälle, in denen Sie von der SSL-Forward-Proxy-Appliance und der Inline-Geräteintegration profitieren können, sind:

  • Überprüfen des verschlüsselten Datenverkehrs: Die meisten IPS- und NGFW-Appliances umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe werden können. Eine SSL-Forward-Proxy-Appliance kann den Datenverkehr entschlüsseln und ihn zur Überprüfung an die Inline-Geräte senden. Diese Integration erhöht die Netzwerksicherheit des Kunden.

  • Entladen von Inline-Geräten aus der TLS/SSL -Verarbeitung: Die TLS/SSL -Verarbeitung ist teuer, was zu einer hohen CPU-Auslastung in IPS- oder NGFW-Appliances führen kann, wenn sie auch den Datenverkehr entschlüsseln. Eine SSL-Forward-Proxy-Appliance hilft beim Auslagern von TLS/SSL-Verarbeitung von Inline-Geräten. Inline-Geräte können daher ein höheres Verkehrsaufkommen untersuchen.

  • Inline-Geräte für den Ladeausgleich: Wenn Sie mehrere Inline-Geräte für die Verwaltung des hohen Datenverkehrs konfiguriert haben, kann eine SSL-Forward-Proxy-Appliance einen Lastausgleich durchführen und den Datenverkehr gleichmäßig auf diese Geräte verteilen.

  • Intelligente Auswahl des Datenverkehrs: Statt den gesamten Datenverkehr zur Inspektion an das Inline-Gerät zu senden, führt die Appliance eine intelligente Auswahl des Datenverkehrs durch. Beispielsweise wird das Senden von Textdateien zur Überprüfung an die Inline-Geräte übersprungen.

SSL-Forward-Proxy-Integration mit Inline-Geräten

Das folgende Diagramm zeigt, wie ein SSL-Forward-Proxy in Inline-Sicherheitsgeräte integriert ist.

ips Übersicht

Wenn Sie Inline-Geräte mit SSL-Forward-Proxy-Appliance integrieren, interagieren die Komponenten wie folgt:

  1. Ein Client sendet eine Anforderung an eine SSL-Forward-Proxy-Appliance.

  2. Die Appliance sendet die Daten an das Inline-Gerät zur Inhaltsüberprüfung basierend auf der Richtlinienbewertung. Bei HTTPS-Datenverkehr entschlüsselt die Appliance die Daten und sendet sie zur Inhaltsüberprüfung im Klartext an das Inline-Gerät.

    Hinweis:

    Wenn zwei oder mehr Inline-Geräte vorhanden sind, gleicht die Appliance die Geräte aus und sendet den Datenverkehr.

  3. Fügen Sie einen Content Switching oder einen virtuellen HTTP/HTTPS-Load Balancing Server hinzu.

  4. Das Inline-Gerät prüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance gesendet werden sollen.

  5. Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.

  6. Bei HTTPS-Datenverkehr verschlüsselt die Appliance die Daten erneut und leitet die Anforderung an den Back-End-Server weiter.

  7. Der Back-End-Server sendet die Antwort an die Appliance.

  8. Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.

  9. Das Inline-Gerät prüft die Daten. Wenn Sicherheitsbedrohungen vorliegen, ändert das Gerät die Daten und sendet sie an die Appliance.

  10. Die Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client.

Konfigurieren der Inline-Geräteintegration

Sie können eine SSL-Forward-Proxy-Appliance mit einem Inline-Gerät auf drei verschiedene Arten konfigurieren:

Szenario 1: Verwenden eines einzelnen Inline-Geräts

Um ein Sicherheitsgerät (IPS oder NGFW) in den Inline-Modus zu integrieren, müssen Sie die Inhaltsinspektion und die MAC-basierte Weiterleitung (MBF) im globalen Modus auf der SSL-Forward-Proxy-Appliance aktivieren. Fügen Sie anschließend ein Inhaltsinspektionsprofil, einen TCP-Dienst, eine Inhaltsüberprüfungsaktion für Inline-Geräte hinzu, um den Datenverkehr basierend auf der Inspektion zurückzusetzen, zu blockieren oder zu löschen. Fügen Sie außerdem eine Richtlinie zur Inhaltsüberprüfung hinzu, die von der Appliance verwendet wird, um die Teilmenge des Datenverkehrs zu bestimmen, die an die Inline-Geräte gesendet werden soll. Konfigurieren Sie schließlich den virtuellen Proxyserver mit aktivierter Layer-2-Verbindung auf dem Server und binden Sie die Inhaltsüberprüfungsrichtlinie an diesen virtuellen Proxyserver.

Einzelnes Inline-Gerät

Gehen Sie wie folgt vor:

  1. Aktivieren Sie den MAC-basierten Weiterleitungsmodus (MPF).

  2. Aktivieren Sie die Funktion zur Inhaltsüberprüfung.

  3. Fügen Sie ein Inhaltsinspektionsprofil für den Service hinzu. Das Content-Inspektionsprofil enthält die Inline-Geräteeinstellungen, die die SSL-Forward-Proxy-Appliance mit einem Inline-Gerät integrieren.

  4. (Optional) Fügen Sie einen TCP-Monitor hinzu.

    Hinweis:

    Transparente Geräte haben keine IP-Adresse. Um Integritätsprüfungen durchzuführen, müssen Sie daher einen Monitor explizit binden.

  5. Fügen Sie einen Dienst hinzu. Ein Dienst stellt ein Inline-Gerät dar.

  6. (Optional) Binden Sie den Dienst an den TCP-Monitor.

  7. Fügen Sie eine Inhaltsinspektionsaktion für den Service hinzu.

  8. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu, und geben Sie die Aktion an.

  9. Fügen Sie einen virtuellen HTTP- oder HTTPS-Proxyserver (Content Switching) hinzu.

  10. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach den meisten Befehlen angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    
  3. Fügen Sie ein Inhaltsinspektionsprofil hinzu.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    Beispiel:

    add contentInspection profile ipsprof -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
    
  4. Fügen Sie einen Dienst hinzu. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Standardmäßig ist die Systemüberwachung ON, binden Sie den Dienst an einen Integritätsmonitor und legen Sie auch die Option TRANSPARENT im Monitor ON fest.

    add service <service_name>  <IP> TCP * - contentinspectionProfileName <Name>  -healthMonitor YES  -usip YES –useproxyport NO
    

Beispiel:

    add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof

  1. Fügen Sie einen Integritätsmonitor hinzu. Standardmäßig ist der Integritätsmonitor aktiviert und Sie haben auch die Möglichkeit, ihn bei Bedarf zu deaktivieren. Geben Sie an der Eingabeaufforderung Folgendes ein:

    add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>

Beispiel:

add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES

  1. Binden Sie den Dienst an den Integritätsmonitor

Nachdem Sie den Integritätsmonitor konfiguriert haben, müssen Sie den Dienst an den Integritätsmonitor binden. Geben Sie an der Eingabeaufforderung Folgendes ein:

bind service <name> -monitorName <name>

Beispiel:

bind service ips_svc -monitorName ips_tcp

  1. Fügen Sie eine Inhaltsüberprüfungsaktion hinzu.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
    
  2. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu.

    add contentInspection policy <name> -rule <expression> -action <string>
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  3. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
    

    Hinweis:

    Der Lastausgleich virtueller Server vom Typ HTTP/SSL wird ebenfalls unterstützt.

    Beispiel:

    add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
    
  4. Binden Sie die Richtlinie an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

  4. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Content-Inspektionsprofil mit Service verknüpfen

    Andere Einstellungen

    Einstellung der Gesundheitsüberwachung

  5. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxy-Server > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  6. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  7. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  8. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servernameden zuvor erstellten TCP-Dienst aus.

    Inhaltsüberprüfungsaktion

  9. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  10. Klicken Sie auf Bind.

  11. Klicken Sie auf Fertig.

Szenario 2: Lastausgleich mehrerer Inline-Geräte mit dedizierten Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit dedizierten Schnittstellen ausgleichen. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine dedizierte Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.

Mehrere Inline-Geräte

Die Basiskonfiguration bleibt dieselbe wie in Szenario 1. Sie müssen jedoch für jedes Inline-Gerät ein Inhaltsinspektionsprofil erstellen und die Eingangs- und Ausgangsschnittstelle in jedem Profil angeben. Fügen Sie einen Dienst für jedes Inline-Gerät hinzu. Fügen Sie einen virtuellen Lastausgleichsserver hinzu, und geben Sie ihn in der Inhaltsüberprüfungsaktion an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Fügen Sie Content-Inspektionsprofile für jeden Service hinzu.

  2. Fügen Sie einen Dienst für jedes Gerät hinzu.

  3. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

  4. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    
  3. Profil 1 für Service 1 hinzufügen.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    Beispiel:

    add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
    
  4. Profil 2 für Service 2 hinzufügen.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    Beispiel:

    add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
    
  5. Service 1 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Schalten Sie den Integritätsmonitor aus. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    Beispiel:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    
  6. Service 2 hinzufügen. Geben Sie eine Dummy-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Setzen Sie use source IP address (USIP) auf YES. Setzen Sie useproxyport auf NO. Schalten Sie den Integritätsmonitor aus. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    Beispiel:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
    
  7. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    

    Beispiel:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    
  8. Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    

    Beispiel:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    
  9. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    
  10. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.

    add contentInspection policy <name> -rule <expression> -action <string>
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  11. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    

    Beispiel:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    
  12. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

    Geben Sie die Eingangs- und Ausgangsschnittstellen an.

    Angeben von Eingangs- und Ausgangsschnittstellen

    Erstellen Sie zwei Profile. Geben Sie im zweiten Profil eine andere Eingangs- und Ausgangsschnittstelle an.

  4. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest. Aktivieren Sie die Integritätsüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Content-Inspektionsprofil mit Service verknüpfen

    Andere Einstellungen

    Einstellung der Gesundheitsüberwachung

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte.

  5. Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.

    Lastenausgleich virtueller Server

    Klicken Sie auf OK.

  6. Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.

    Klicken Sie auf den Pfeil

    Zu bindende Dienste auswählen

    Binden von Diensten an den virtuellen Server

  7. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxy-Server > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  8. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  9. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  10. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.

    Inhaltsüberprüfungsaktion

  11. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  12. Klicken Sie auf Bind.

  13. Klicken Sie auf Fertig.

Szenario 3: Lastausgleich mehrerer Inline-Geräte mit gemeinsamen Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mit verschiedenen Contentinspektionsdiensten mit gemeinsam genutzten Schnittstellen ausgleichen. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine gemeinsame Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Überprüfung an die Inline-Geräte gesendet.

Mehrere Inline-Geräte mit freigegebener Schnittstelle

Die Basiskonfiguration bleibt dieselbe wie in Szenario 2. Binden Sie für dieses Szenario die Schnittstellen an verschiedene VLANs, um den Datenverkehr für jedes Inline-Gerät zu trennen. Geben Sie die VLANs in den Content-Inspektionsprofilen an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.

  2. Geben Sie die Ein- und Ausgangs-VLANs in den Content-Inspektionsprofilen an.

Konfiguration über die CLI

Geben Sie die folgenden Befehle an der Eingabeaufforderung ein. Beispiele werden nach jedem Befehl angegeben.

  1. MBF aktivieren.

    enable ns mode mbf
    
  2. Aktivieren Sie das Feature.

    enable ns feature contentInspection
    
  3. Binden Sie die freigegebenen Schnittstellen an verschiedene VLANs.

    bind vlan <id> -ifnum <interface> -tagged
    

    Beispiel:

    bind vlan 100 –ifnum 1/2 tagged
    bind vlan 200 –ifnum 1/3 tagged
    bind vlan 300 –ifnum 1/2 tagged
    bind vlan 400 –ifnum 1/3 tagged
    
  4. Profil 1 für Service 1 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    Beispiel:

    add contentInspection profile ipsprof1 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 100 -ingressVlan 300
    
  5. Profil 2 für Service 2 hinzufügen. Geben Sie die Ein- und Aus-VLANs im Profil an.

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    Beispiel:

    add contentInspection profile ipsprof2 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 200 -ingressVlan 400
    
  6. Service 1 hinzufügen.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    Beispiel:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    
  7. Service 2 hinzufügen.

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    Beispiel:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
    
  8. Fügen Sie einen virtuellen Lastenausgleichsserver hinzu.

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    

    Beispiel:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    
  9. Binden Sie die Dienste an den virtuellen Lastenausgleichsserver.

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    

    Beispiel:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    
  10. Geben Sie den virtuellen Lastausgleichsserver in der Inhaltsüberprüfungsaktion an.

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    Beispiel:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    
  11. Fügen Sie eine Richtlinie zur Inhaltsüberprüfung hinzu. Geben Sie die Inhaltsinspektionsaktion in der Richtlinie an.

    add contentInspection policy <name> -rule <expression> -action <string>
    

    Beispiel:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  12. Fügen Sie einen virtuellen Proxyserver hinzu.

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    

    Beispiel:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    
  13. Binden Sie die Richtlinie zur Inhaltsüberprüfung an den virtuellen Server.

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    Beispiel:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

Konfiguration über die GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Modi konfigurieren.

    Systemeinstellungen

    Mac-basierte Weiterleitung aktivieren

  2. Navigieren Sie zu System > Einstellungen. Klicken Sie unter Modi und Features auf Erweiterte Funktionen konfigurieren.

    Erweiterte Einstellungen

    Inhaltsprüfung aktivieren

  3. Navigieren Sie zu System > Netzwerk > VLANs > Hinzufügen. Fügen Sie vier VLANs hinzu und markieren Sie sie den Schnittstellen.

    VLAN 100 erstellen

    VLAN 200 erstellen

    VLAN 300 erstellen

    VLAN 400 erstellen

  4. Navigieren Sie zu Secure Web Gateway > Content Inspection > Content Inspection Profile. Klicken Sie auf Hinzufügen.

    Content-Inspektionsprofil

    Geben Sie die Ein- und Aus-VLANs an.

    Angeben von Schnittstellen und VLANs für Profil 1

    Erstellen Sie weitere Profile. Geben Sie im zweiten Profil ein anderes Ingress- und Egress-VLAN an.

    Angeben von Schnittstellen und VLANs für Profil 2

  5. Navigieren Sie zu Load Balancing > Services > Hinzufügen und fügen Sie einen Service hinzu. Klicken Sie unter Erweiterte Einstellungen auf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Content-Inspektionsprofil aus. Legen Sie unter Diensteinstellungen die Option Quell-IP-Adresse verwenden auf Ja und Proxyport verwenden auf Nein fest. Legen Sie in den Grundeinstellungen die Integritätsüberwachung auf Nein fest.

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte. Geben Sie Profil 1 in Dienst 1 und Profil 2 in Dienst 2 an.

    Content-Inspektionsprofil 1 mit Service 1 verknüpfen

    Content-Inspektionsprofil 2 mit Service 2 verknüpfen

    Andere Einstellungen

    Einstellung der Gesundheitsüberwachung

  6. Navigieren Sie zu Lastenausgleich > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load Balancing Server.

    Lastenausgleich virtueller Server

    Klicken Sie auf OK.

  7. Klicken Sie in den Abschnitt Load Balancing Virtual Server Service Binding. Klicken Sie unter Dienstbindung auf den Pfeil unter Dienst auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus, und klicken Sie auf Auswählen. Klicken Sie auf Bind.

    Klicken Sie auf den Pfeil

    Zu bindende Dienste auswählen

    Binden von Diensten an den virtuellen Server

  8. Navigieren Sie zu Secure Web Gateway > Virtuelle Proxy-Server > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungen die Option Richtlinienaus. Klicken Sie auf das +-Zeichen.

    Richtlinie hinzufügen

  9. Wählen Sie unter Richtlinie auswählen die Option Inhaltsüberprüfung aus. Klicken Sie auf Weiter.

    Richtlinie zur Inhaltsüberprüfung

  10. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

    Aktion hinzufügen

  11. Geben Sie einen Namen an. Wählen Sie unter Typ die Option INLINEINSPECTION aus. Wählen Sie unter Servername den zuvor erstellten virtuellen Lastenausgleichsserver aus.

    Inhaltsüberprüfungsaktion

  12. Klicken Sie auf Erstellen. Geben Sie die Regel an, und klicken Sie auf Erstellen.

    Richtlinienregel hinzufügen

  13. Klicken Sie auf Bind.

  14. Klicken Sie auf Fertig.

Integration mit IPS oder NGFW als Inline-Geräte mit SSL-Forward-Proxy