-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Deploy a Citrix ADC VPX instance
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Authentifizierung, Autorisierung und Überwachung des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Aktivieren von Authentifizierung, Autorisierung und Überwachung
-
Konfigurieren von Authentifizierungs-, Autorisierungs- und Überwachungsrichtlinien
-
Konfigurieren des virtuellen DTLS-VPN-Servers mithilfe des virtuellen SSL-VPN-Servers
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Use an on-premises Citrix Gateway as the identity provider for Citrix Cloud
-
Beheben von Authentifizierungsproblemen in Citrix ADC und Citrix Gateway mit dem Modul aaad.debug
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
GSLB-Entitäten einzeln konfigurieren
-
Anwendungsfall: Bereitstellung einer Domainnamen-basierten Autoscale-Dienstgruppe
-
Anwendungsfall: Bereitstellung einer IP-adressbasierten Autoscale-Service-Gruppe
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen Sie Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Geben Sie die IP-Adresse des Clients in den Request-Header ein
-
Rufen Sie Standortdetails von der Benutzer-IP-Adresse mithilfe der Geolocation-Datenbank ab
-
Verwenden Sie die Quell-IP-Adresse des Clients, wenn Sie eine Verbindung zum Server herstellen
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mithilfe von IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mithilfe von Listen Policies
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
Vielen Dank für Ihr Feedback.
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
Integration von Citrix ADC Layer 3 mit passiven Sicherheitsgeräten (Intrusion Detection System)
Eine Citrix ADC Appliance ist jetzt mit passiven Sicherheitsgeräten wie Intrusion Detection System (IDS) integriert. In diesem Setup sendet die Appliance eine Kopie des ursprünglichen Datenverkehrs sicher an entfernte IDS-Geräte. Diese passiven Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr erkannt wird. Außerdem werden Berichte zu Compliance-Zwecken erstellt. Wenn die Citrix ADC Appliance mit zwei oder mehr IDS-Geräten integriert ist und ein hoher Datenverkehr vorliegt, kann die Appliance den Lastausgleich der Geräte durch Klonen des Datenverkehrs auf der Ebene des virtuellen Servers ausgleichen.
Für einen erweiterten Sicherheitsschutz ist eine Citrix ADC Appliance mit passiven Sicherheitsgeräten wie Intrusion Detection System (IDS) integriert, die nur im Erkennungsmodus bereitgestellt werden. Diese Geräte speichern Protokolle und lösen Warnungen aus, wenn ein schlechter oder nicht konformer Datenverkehr angezeigt wird. Außerdem werden Berichte zu Compliance-Zwecken erstellt. Im Folgenden sind einige der Vorteile der Integration von Citrix ADC mit einem IDS-Gerät aufgeführt.
- Verschlüsselten Datenverkehr wird überprüft. Die meisten Sicherheitsgeräte umgehen verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe bleiben. Eine Citrix ADC Appliance kann Datenverkehr entschlüsseln und an IDS-Geräte senden, um die Netzwerksicherheit des Kunden zu verbessern.
- Entladen von Inline-Geräten aus der TLS/SSL-Verarbeitung. TLS/SSL-Verarbeitung ist teuer und führt zu einer hohen System-CPU in Intrusion Detection Geräten, wenn sie den Datenverkehr entschlüsseln. Da der verschlüsselte Datenverkehr in einem rasanten Tempo wächst, können diese Systeme verschlüsselten Datenverkehr nicht entschlüsseln und untersuchen. Citrix ADC hilft beim Verschieben von Datenverkehr auf IDS-Geräte aus der TLS/SSL-Verarbeitung. Diese Art des Abladens von Daten führt dazu, dass ein IDS-Gerät ein hohes Volumen an Verkehrsinspektion unterstützt.
- Laden von ausgleichenden IDS-Geräten. Die Citrix ADC Appliance gleicht mehrere IDS-Geräte aus, wenn ein hohes Datenvolumen besteht, indem Datenverkehr auf der Ebene des virtuellen Servers geklont wird.
- Datenverkehr auf passive Geräte replizieren. Der Datenverkehr, der in die Appliance fließt, kann zur Erstellung von Compliance-Berichten auf andere passive Geräte repliziert werden. Zum Beispiel, nur wenige Behörden beauftragen jede Transaktion, in einigen passiven Geräten protokolliert zu werden.
- Datenverkehr an mehrere passive Geräte fanning. Einige Kunden bevorzugen es, eingehenden Datenverkehr auf mehrere passive Geräte zu übertragen oder zu replizieren.
- Intelligente Auswahl des Datenverkehrs. Jedes Paket, das in die Appliance fließt, muss möglicherweise nicht inspektiert werden, z. B. das Herunterladen von Textdateien. Benutzer können die Citrix ADC Appliance so konfigurieren, dass sie bestimmten Datenverkehr (z. B. EXE-Dateien) zur Überprüfung auswählen und den Datenverkehr an IDS-Geräte zur Datenverarbeitung senden.
Integration von Citrix ADC in IDS-Gerät mit L3-Konnektivität
Das folgende Diagramm zeigt, wie Intrusion Detection System (IDS) in eine Citrix ADC Appliance integriert ist.
Die Komponenteninteraktion wird wie folgt angegeben:
- Ein Client sendet eine HTTP/HTTPS-Anforderung an die Citrix ADC Appliance.
- Die Appliance fängt den Datenverkehr ab und sendet die Daten an entfernte IDS-Geräte über verschiedene Rechenzentren oder sogar in einer Cloud. Diese Integration erfolgt über IP tunneled Layer 3. Weitere Informationen zum IP-Tunneling in einer Citrix ADC Appliance finden Sie unter IP-Tunnel Thema.
- Wenn der Datenverkehr verschlüsselt ist, entschlüsselt die Appliance die Daten und sendet sie als Nur-Text.
- Basierend auf der Richtlinienbewertung wendet die Appliance eine Inhaltsprüfung vom Typ MIRROR an.
- Für die Aktion ist der IDS-Dienst oder der Lastausgleichsdienst (für die Integration mehrerer IDS-Geräte) konfiguriert.
- Das IDS-Gerät ist auf der Appliance als Content-Inspection-Diensttyp Beliebig konfiguriert. Der Content Inspection Service wird dann dem Content-Inspection-Profil vom Typ MIRROR und dem Tunnelparameter zugeordnet, der die IP tunneled Layer 3 Schnittstelle angibt, über die die Daten an das IDS-Gerät weitergeleitet werden. Hinweis: Optional können Sie auch ein VLAN-Tag im Content-Inspektionsprofil konfigurieren.
- Wenn der Back-End-Server eine Antwort an Citrix ADC sendet, repliziert die Appliance die Daten und leitet sie an das IDS-Gerät weiter.
- Wenn Ihre Appliance in ein oder mehrere IDS-Geräte integriert ist und Sie den Lastausgleich der Geräte bevorzugen, können Sie den virtuellen Lastausgleichsserver verwenden.
Softwarelizenzierung
Um die Integration des Intrusion Detection Systems (IDS) bereitzustellen, muss Ihre Citrix ADC Appliance mit einer der folgenden Lizenzen bereitgestellt werden:
- ADC Premium
- ADC Advanced
Konfigurieren der Systemintegration von Intrusion Detection
Sie können IDS-Gerät in Citrix ADC auf zwei verschiedene Arten integrieren.
Szenario 1: Integration mit einem einzelnen IDS-Gerät
Im Folgenden sind die Schritte, die Sie über die Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsüberprüfung aktivieren
- Fügen Sie das Content-Inspektionsprofil vom Typ MIRROR für den Dienst hinzu, der IDS-Gerät darstellt.
- Add IDS service of type “ANY”
- Inhaltsprüfung vom Typ MIRROR hinzufügen
- Richtlinie zur Inhaltsüberprüfung für IDS-Inspektion hinzufügen
- Binden Sie die Inhaltsüberprüfungsrichtlinie an Content-Switching oder den virtuellen Lastenausgleichsdienst vom Typ HTTP/SSL
Inhaltsprüfung aktivieren
Wenn Sie möchten, dass die Citrix ADC Appliance den Inhalt zur Inspektion an die IDS-Geräte sendet, müssen Sie die Funktionen Inhaltsprüfung und Lastausgleich unabhängig von der Entschlüsselung aktivieren.
Geben Sie an der Eingabeaufforderung Folgendes ein:
enable ns feature contentInspection LoadBalancing
Content-Inspektionsprofil vom Typ MIRROR hinzufügen
Das Content-Inspection-Profil vom Typ MIRROR erklärt, wie Sie eine Verbindung mit dem IDS-Gerät herstellen können. Geben Sie an der Eingabeaufforderung ein.
Hinweis:Der IP-Tunnelparameter darf nur für Layer 3 IDS-Topologie verwendet werden. Andernfalls müssen Sie die Egress-Schnittstelle mit Egress-VLAN-Option verwenden.
add contentInspection profile <name> -type MIRROR -ipTunnel <iptunnel_name>
Beispiel:
add contentInspection profile IDS_profile1 -type MIRROR –ipTunnel ipsect-tunnel1
IDS-Dienst hinzufügen
Sie müssen für jedes IDS-Gerät, das in die Appliance integriert ist, einen Dienst vom Typ ANY konfigurieren. Der Dienst enthält die IDS-Gerätekonfigurationsdetails. Der Dienst stellt das IDS-Gerät dar.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name> <IP> ANY <Port> - contentinspectionProfileName <Name> -healthMonitor OFF -usip ON –useproxyport OFF
Beispiel:
add service IDS_service 1.1.1.1 ANY 8080 -contentInspectionProfileName IDS_profile1 -healthMonitor OFF
Inhaltsprüfung vom Typ MIRROR für IDS-Dienst hinzufügen
Nachdem Sie die Inhaltsinspektion aktiviert und dann das IDS-Profil und den Dienst hinzugefügt haben, müssen Sie die Inhaltsprüfung Aktion für die Verarbeitung der Anforderung hinzufügen. Basierend auf der Inhaltsprüfung kann die Appliance Daten löschen, zurücksetzen, blockieren oder an IDS-Gerät senden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add ContentInspection action < action_name > -type MIRROR -serverName Service_name/Vserver_name>
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName IDS_service
Richtlinie zur Inhaltsüberprüfung für IDS-Inspektion hinzufügen
Nachdem Sie eine Inhaltsprüfungsaktion erstellt haben, müssen Sie Inhaltsprüfungsrichtlinien hinzufügen, um Prüfungsanforderungen auszuwerten. Die Richtlinie basiert auf einer Regel, die aus einem oder mehreren Ausdrücken besteht. Die Richtlinie bewertet und wählt den Datenverkehr für die Inspektion basierend auf der Regel aus.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy < policy_name > –rule <Rule> -action <action_name>
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Binden Sie die Inhaltsüberprüfungsrichtlinie an Content-Switching oder den virtuellen Lastenausgleichsdienst vom Typ HTTP/SSL
Um den Webdatenverkehr zu empfangen, müssen Sie einen virtuellen Lastausgleichsserver hinzufügen. Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <name> <vserver name>
Beispiel:
add lb vserver HTTP_vserver HTTP 1.1.1.3 8080
Content Inspection Policy an Content Switching virtueller Server oder Load Balancing virtueller Server vom Typ HTTP/SSL binden
Sie müssen den virtuellen Lastausgleichsserver oder den virtuellen Server zum Wechseln von Inhalten vom Typ HTTP/SSL an die Inhaltsinspektionsrichtlinie binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority < priority > -type <REQUEST>
Beispiel:
bind lb vserver HTTP_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Szenario 2: Lastenausgleich mehrerer IDS-Geräte
Wenn Sie zwei oder mehr IDS-Geräte verwenden, müssen Sie den Lastausgleich der IDS-Geräte über verschiedene Content-Inspektionsdienste verwenden. In diesem Fall gleicht das Lastenausgleich der Citrix ADC Appliance die Geräte zusätzlich zum Senden einer Teilmenge des Datenverkehrs an jedes Gerät aus. Grundlegende Konfigurationsschritte finden Sie unter Szenario 1.
Im Folgenden sind die Schritte, die Sie über die Befehlszeilenschnittstelle konfigurieren müssen.
- Inhaltsinspektionsprofil 1 vom Typ MIRROR für IDS Service 1 hinzufügen
- Hinzufügen des Content-Inspektionsprofils 2 vom Typ MIRROR für IDS Service 2
- Add IDS service 1 of type ANY for IDS device 1
- Add IDS service 2 of type ANY for IDS device 2
- Hinzufügen eines virtuellen Lastausgleichsservers vom Typ ANY
- IDS-Dienst 1 zum Lastenausgleich eines virtuellen Servers binden
- IDS-Dienst 2 zum Lastenausgleich eines virtuellen Servers binden
- Hinzufügen von Inhaltsprüfungsaktion für den Lastausgleich von IDS-Geräten.
- Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
- Hinzufügen von Content-Switching oder Lastausgleichsserver vom Typ HTTP/SSL
- Richtlinie zur Inhaltsüberprüfung zum Lastenausgleich virtueller Server vom Typ HTTP/SSL binden
Inhaltsinspektionsprofil 1 vom Typ MIRROR für IDS Service 1 hinzufügen
Die IDS-Konfiguration kann in einer Entität namens Content-Inspection-Profil angegeben werden. Das Profil verfügt über eine Sammlung von Geräteeinstellungen. Das Content-Inspection-Profile1 wird für den IDS-Dienst 1 erstellt.
Hinweis: Der IP-Tunnelparameter darf nur für Layer 3 IDS-Topologie verwendet werden. Andernfalls müssen Sie die Egress-Schnittstelle mit Egress-VLAN-Option verwenden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>
Beispiel:
add contentInspection profile IDS_profile1 -type MIRROR - ipTunnel ipsect_tunnel1
Inhaltsinspektionsprofil 2 für Typ MIRROR für IDS Service 2 hinzufügen
Das Content-Inspection-Profil 2 wird für Service 2 hinzugefügt, und das Inline-Gerät kommuniziert mit der Appliance über die Egress 1/1-Schnittstelle.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection profile <name> -type ANY – ipTunnel <iptunnel_name>
Beispiel:
add contentInspection profile IDS_profile2 -type ANY – ipTunnel ipsect_tunnel2
Add IDS service 1 of type ANY for IDS device 1
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 1 für Inline-Gerät 1 hinzufügen, um Teil des Lastausgleichs zu sein. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name_1> <Pvt_IP1> ANY <Port> -contentInspectionProfileName <IDS_Profile_1> –usip ON –useproxyport OFF
Beispiel:
add service IDS_service1 1.1.1.1 ANY 80 -contentInspectionProfileName IDS_profile1 -usip ON -useproxyport OFF
Hinweis:
Die im Beispiel erwähnte IP-Adresse ist eine Dummy-Adresse.
Add IDS service 2 of type ANY for IDS device 2
Nachdem Sie die Inhaltsinspektion aktiviert und das Inline-Profil hinzugefügt haben, müssen Sie einen Inline-Dienst 2 für Inline-Gerät 2 hinzufügen. Der Dienst, den Sie hinzufügen, enthält alle Inline-Konfigurationsdetails.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add service <Service_name_1> <Pvt_IP1> ANY -contentInspectionProfileName <Inline_Profile_2> -healthmonitor OFF –usip ON –useproxyport OFF
Beispiel:
add service IDS_service 1 1.1.2 ANY 80 -contentInspectionProfileName IDS_profile2
Hinweis:
Die im Beispiel erwähnte IP-Adresse ist eine Dummy-Adresse.
Hinzufügen eines virtuellen Lastausgleichsservers
Nachdem Sie das Inline-Profil und die Dienste hinzugefügt haben, müssen Sie einen virtuellen Lastausgleichsserver für den Lastenausgleich der Dienste hinzufügen.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <vserver_name> ANY <Pvt_IP3> <port>
Beispiel:
add lb vserver lb-IDS_vserver ANY 1.1.1.2
IDS-Dienst 1 zum Lastenausgleich eines virtuellen Servers binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie nun den virtuellen Lastausgleichsserver an den ersten Dienst.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service1
IDS-Dienst 2 zum Lastenausgleich eines virtuellen Servers binden
Nachdem Sie den virtuellen Lastausgleichsserver hinzugefügt haben, binden Sie den Server nun an den zweiten Dienst.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <Vserver_name> <Service_name_1>
Beispiel:
bind lb vserver lb-IDS_vserver IDS_service2
Hinzufügen von Inhaltsüberprüfungsaktion für den IDS-Dienst
Nachdem Sie die Funktion Inhaltsüberprüfung aktiviert haben, müssen Sie die Aktion Inhaltsüberprüfung für die Verarbeitung der Inline-Anforderungsinformationen hinzufügen. Basierend auf der ausgewählten Aktion löscht die Appliance Datenverkehr, setzt sie zurück, blockiert oder sendet sie an das IDS-Gerät.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection action <name> -type <type> (-serverName <string> [-ifserverdown <ifserverdown>]
Beispiel:
add ContentInspection action IDS_action -type MIRROR –serverName lb-IDS_vserver
Inhaltsüberprüfungsrichtlinie für die Inspektion hinzufügen
Nachdem Sie eine Inhaltsprüfung Aktion erstellt haben, müssen Sie die Richtlinie zur Inhaltsüberprüfung hinzufügen, um Anforderungen für den Dienst auszuwerten.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add contentInspection policy <policy_name> –rule <Rule> -action <action_name>
Beispiel:
add contentInspection policy IDS_pol1 –rule true –action IDS_action
Hinzufügen von Content-Switching oder Lastausgleichsserver vom Typ HTTP/SSL
Fügen Sie einen virtuellen Server zum Wechseln von Inhalten oder zum Lastenausgleich hinzu, um Webdatenverkehr zu akzeptieren. Außerdem müssen Sie die Layer2-Verbindung auf dem virtuellen Server aktivieren.
Weitere Informationen zum Lastenausgleich finden Sie imFunktionsweise des LastenausgleichsThema.
Geben Sie an der Eingabeaufforderung Folgendes ein:
add lb vserver <name> <vserver name>
Beispiel:
add lb vserver http_vserver HTTP 1.1.1.1 8080
Bind Content Inspection Policy für den Lastenausgleich virtueller Server vom Typ HTTP/SSL
Sie müssen den virtuellen Server des Typs HTTP/SSL für die Inhaltsüberprüfung oder den Lastenausgleich an die Inhaltsüberprüfungsrichtlinie binden.
Geben Sie an der Eingabeaufforderung Folgendes ein:
bind lb vserver <vserver name> -policyName < policy_name > -priority <> -type <REQUEST>
Beispiel:
bind lb vserver http_vserver -policyName IDS_pol1 -priority 100 -type REQUEST
Konfigurieren der Inline-Dienstintegration über die Citrix ADC GUI
- Navigieren Sie zu Sicherheit > Inhaltsinspektion > ContentInspection-Profile .
- Klicken Sie auf der Seite ContentInspection-Profil auf Hinzufügen .
-
Legen Sie auf der Seite ContentInspectionProfile erstellen die folgenden Parameter fest.
- Profilname. Name des Content-Inspektionsprofils für IDS.
- Geben Sie ein. Wählen Sie die Profiltypen als MIRROR aus.
- Konnektivität. Layer-2- oder Layer-3-Schnittstelle.
- IP-Tunnel. Wählen Sie den Netzwerkkommunikationskanal zwischen zwei Netzwerken aus.
-
Klicken Sie auf Erstellen.
- Navigieren Sie zu Traffic Management > Load Balancing > Services, und klicken Sie auf Hinzufügen.
- Geben Sie auf der Seite Load Balancing Service die Details des Content-Inspektionsdienstes ein.
- Klicken Sie im Abschnitt Erweiterte Einstellungen auf Profile.
- Gehen Sie zum Abschnitt Profile und klicken Sie auf das Bleistiftsymbol, um das Content-Inspektionsprofil hinzuzufügen.
-
Klicken Sie auf OK.
- Navigieren Sie zu Lastenausgleich > Server . Fügen Sie einen virtuellen Server vom Typ HTTP oder SSL hinzu.
- Nachdem Sie die Serverdetails eingegeben haben, klicken Sie auf OK und erneut auf OK.
- Klicken Sie im Abschnitt Erweiterte Einstellungen auf Richtlinien.
- Gehen Sie zum Abschnitt Richtlinien und klicken Sie auf das Stiftsymbol, um die Richtlinie zur Inhaltsüberprüfung zu konfigurieren.
- Wählen Sie auf der Seite Richtlinie auswählen die Option Inhaltsprüfungaus. Klicken Sie auf Weiter.
- Klicken Sie im Abschnitt Richtlinienbindung auf +, um eine Richtlinie zur Inhaltsüberwachung hinzuzufügen.
- Geben Sie auf der Seite CI-Richtlinie erstellen einen Namen für die Inline-Inhaltsüberprüfungsrichtlinie ein.
- Klicken Sie im Feld Aktion auf das Zeichen +, um eine IDS-Inhaltsprüfung vom Typ MIRROR zu erstellen.
-
Legen Sie auf der Seite CI-Aktion erstellen die folgenden Parameter fest.
- Name. Name der Inhaltsüberprüfung Inline-Richtlinie.
- Geben Sie ein. Wählen Sie den Typ als MIRROR aus.
- Servername: Wählen Sie den Server-/Dienstnamen als Inline-Geräte aus.
- Wenn Server heruntergefahren ist. Wählen Sie einen Vorgang aus, wenn der Server ausfällt.
- Zeitüberschreitung der Anforderung. Wählen Sie einen Zeitüberschreitungswert aus. Standardwerte können verwendet werden.
- Zeitüberschreitungsaktion anfordern. Wählen Sie eine Zeitüberschreitungsaktion aus. Standardwerte können verwendet werden.
-
Klicken Sie auf Erstellen.
- Geben Sie auf der Seite CI-Richtlinie erstellen weitere Details ein.
- Klicken Sie auf OK und schließen .
Hinweise zur Citrix ADC GUI-Konfiguration für den Lastausgleich und die Replikation des Datenverkehrs auf IDS-Geräte finden Sie unterLastausgleich.
Weitere Informationen zur Citrix ADC GUI-Konfiguration für den Lastenausgleich und Weiterleitung des Datenverkehrs an den Back-End-Ursprungsserver nach der Content-Transformation finden Sie unter Lastenausgleich.
Vielen Dank für Ihr Feedback.
Integration von Citrix ADC Layer 3 mit passiven Sicherheitsgeräten (Intrusion Detection System)
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.