Citrix ADC

Erweiterte Infrastruktur für Richtlinien

Warnung

Klassische Richtlinienausdrücke sind ab Citrix ADC 12.0 Build 56.20 veraltet. Alternativ empfiehlt Citrix die Verwendung von erweiterten Richtlinien. Weitere Informationen finden Sie unter Erweiterte Richtlinien

Die erweiterte Richtlinieninfrastruktur (PI) ermöglicht es Ihnen, mehr Daten zu analysieren (z. B. den Hauptteil einer HTTP-Anforderung) und weitere Vorgänge in der Richtlinienregel zu konfigurieren (z. B. die Umwandlung von Daten im Hauptteil einer Anforderung in einen HTTP-Header).

Zusätzlich zum Zuweisen einer Richtlinie eine Aktion oder ein Profil binden Sie die Richtlinie an einen bestimmten Punkt in der Verarbeitung, der den Citrix ADC Features zugeordnet ist. Der Bindepunkt ist ein Faktor, der bestimmt, wann die Richtlinie bewertet wird.

Vorteile der Verwendung erweiterter Richtlinien

Erweiterte Richtlinienrichtlinien verwenden eine leistungsstarke Ausdruckssprache, die auf einem Klassenobjektmodell basiert, und sie bieten verschiedene Optionen, mit denen Sie das Verhalten verschiedener Citrix ADC-Funktionen konfigurieren können. Mit Advanced Policy Infrastructure (PI) können Sie Folgendes tun:

  • Führen Sie feinkörnige Analysen des Netzwerkverkehrs aus den Layern 2 bis 7 durch.
  • Bewerten Sie einen beliebigen Teil des Headers oder des Hauptteils einer HTTP- oder HTTPS-Anforderung oder -Antwort.
  • Binden Sie Richtlinien an die mehreren Bindepunkte, die die Advanced Policy Infrastructure (PI) auf Standard-, Override- und virtuellen Serverebene unterstützt.
  • Verwenden Sie goto Ausdrücke, um die Steuerung an andere Richtlinien zu übertragen und Punkte zu binden, die durch das Ergebnis der Ausdrucksauswertung bestimmt werden.
  • Verwenden Sie spezielle Tools wie Mustersätze, Richtlinienbeschriftungen, Ratengrenzbezeichner und HTTP-Callouts, mit denen Sie Richtlinien für komplexe Anwendungsfälle effektiv konfigurieren können.

Außerdem erweitert das Konfigurationsdienstprogramm die robuste Unterstützung der grafischen Benutzeroberfläche für erweiterte Richtlinieninfrastruktur (PI) und Ausdrücke und ermöglicht Benutzern, die über eingeschränkte Kenntnisse in Netzwerkprotokollen verfügen, Richtlinien schnell und einfach zu konfigurieren. Das Konfigurationsdienstprogramm enthält auch eine Funktion zur Richtlinienauswertung für erweiterte Richtlinien Sie können diese Funktion verwenden, um eine erweiterte Richtlinie auszuwerten und ihr Verhalten zu testen, bevor Sie sie festlegen, wodurch das Risiko von Konfigurationsfehlern reduziert wird.

Grundkomponenten einer erweiterten Richtlinie

Im Folgenden sind einige Merkmale einer erweiterten Richtlinie aufgeführt:

  • Name. Jede Richtlinie hat einen eindeutigen Namen.

  • Regel. Die Regel ist ein logischer Ausdruck, mit dem die Citrix ADC-Funktion einen Datenverkehr oder ein anderes Objekt auswerten kann. Beispielsweise kann eine Regel dem Citrix ADC ermöglichen, zu bestimmen, ob eine HTTP-Anforderung von einer bestimmten IP-Adresse stammt oder ob ein Cache-Control-Header in einer HTTP-Anforderung den Wert “Kein Cache” hat.

Erweiterte Richtlinien können alle Ausdrücke verwenden, die in einer klassischen Richtlinie verfügbar sind, mit Ausnahme klassischer Ausdrücke für den SSL-VPN-Client. Darüber hinaus ermöglichen Ihnen erweiterte Richtlinien die Konfiguration komplexerer Ausdrücke.

  • Bindungen. Um sicherzustellen, dass der Citrix ADC bei Bedarf eine Richtlinie aufrufen kann, verknüpfen Sie die Richtlinie oder binden sie mit einem oder mehreren Verbindungspunkten.

Sie können eine Richtlinie global oder an einen virtuellen Server binden. Weitere Informationen finden Sie unter Informationen zu Richtlinienbindungen.

  • Eine zugeordnete Aktion. Eine Aktion ist eine von einer Richtlinie getrennte Einheit. Die Richtlinienbewertung führt letztendlich dazu, dass der Citrix ADC eine Aktion ausführt.

Beispielsweise kann eine Richtlinie im integrierten Cache HTTP-Anfragen für GIF- oder .jpeg-Dateien identifizieren. Eine Aktion, die Sie dieser Richtlinie zuordnen, bestimmt, dass die Antworten auf diese Arten von Anfragen aus dem Cache bedient werden.

Für einige Funktionen konfigurieren Sie Aktionen als Teil eines komplexeren Befehls, der als Profil bezeichnet wird.

Wie verschiedene Citrix ADC-Funktionen Richtlinien verwenden

Der Citrix ADC unterstützt verschiedene Funktionen, die auf Betriebsrichtlinien beruhen. In der folgenden Tabelle wird zusammengefasst, wie die Citrix ADC-Funktionen Richtlinien verwenden.

Feature-Name Richtlinientyp So verwenden Sie Richtlinien in der Funktion
System Klassisch Für die Authentifizierungsfunktion enthalten Richtlinien Authentifizierungsschemata für verschiedene Authentifizierungsmethoden. Beispielsweise können Sie LDAP- und zertifikatbasierte Authentifizierungsschemata konfigurieren. Sie konfigurieren auch Richtlinien in der Überwachungsfunktion.
DNS Erweitert Um zu bestimmen, wie eine DNS-Auflösung für Anfragen durchgeführt wird.
SSL Klassisch und Fortgeschritten Festlegen, wann eine Verschlüsselungsfunktion angewendet und Zertifikatsinformationen zu Klartext hinzugefügt werden sollen. Um End-to-End-Sicherheit zu gewährleisten, verschlüsselt die SSL-Funktion nach der Entschlüsselung einer Nachricht Klartext erneut und verwendet SSL für die Kommunikation mit Webservern.
Komprimierung Klassisch und Fortgeschritten Um festzustellen, welche Art von Verkehr komprimiert ist.
Integriertes Caching Erweitert Um festzustellen, ob HTTP-Antworten cachbar sind.
Responder Erweitert Um das Verhalten der Responder-Funktion zu konfigurieren.
Schutz-Funktionen Klassisch Konfigurieren des Verhaltens der Funktionen Filter, SureConnect und Priority Queuing.
Content Switching Klassisch und Fortgeschritten Um festzustellen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anfrage. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver.
AAA - Verkehrsmanagement Klassisch. Ausnahmen: Verkehrsrichtlinien unterstützen nur erweiterte Richtlinieninfrastrukturen (PIs), und Autorisierungsrichtlinien unterstützen erweiterte Richtlinieninfrastruktur (PI). So überprüfen Sie die clientseitige Sicherheit, bevor sich Benutzer anmelden und eine Sitzung einrichten. Verkehrsrichtlinien, die bestimmen, ob Single Sign-On (SSO) erforderlich ist, verwenden nur die erweiterte Richtlinie. Autorisierungsrichtlinien autorisieren Benutzer und Gruppen, die über die Appliance auf Intranetressourcen zugreifen.
Cacheumleitung Klassisch Um festzustellen, ob Antworten von einem Cache oder von einem Ursprungsserver aus bedient werden.
Rewrite Erweitert Um HTTP-Daten zu identifizieren, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung basierend auf der Adresse der eingehenden Anforderung an eine neue Homepage oder einen neuen Server oder einen ausgewählten Server umzuleiten, oder Sie können die Daten ändern, um Serverinformationen in einer Antwort aus Sicherheitsgründen zu maskieren. Die Funktion URL Transformer identifiziert URLs in HTTP-Transaktionen und Textdateien, um zu bewerten, ob eine URL transformiert werden soll.
Anwendungs-Firewall Klassisch und Fortgeschritten Identifizierung von Merkmalen von Verkehr und Daten, die über die Firewall zugelassen werden sollten oder nicht.
Citrix Gateway, Clientless Access-Funktion Erweitert Definieren von Rewriteregeln für den allgemeinen Webzugriff mithilfe von Citrix Gateway.
Citrix Gateway Klassisch Um festzustellen, wie das Citrix Gateway Authentifizierung, Autorisierung, Überwachung und andere Funktionen ausführt.

Über Aktionen und Profile

Richtlinien selbst ergreifen keine Maßnahmen in Bezug auf Daten. Richtlinien bieten schreibgeschützte Logik für die Auswertung des Datenverkehrs. Damit eine Funktion einen Vorgang basierend auf einer Richtlinienbewertung ausführen kann, konfigurieren Sie Aktionen oder Profile und verknüpfen sie mit Richtlinien.

Hinweis: Aktionen und Profile sind spezifisch für bestimmte Funktionen. Informationen zum Zuweisen von Aktionen und Profilen zu Funktionen finden Sie in der Dokumentation für die einzelnen Funktionen.

Über Aktionen

Aktionen sind Schritte, die der Citrix ADC abhängig von der Auswertung des Ausdrucks in der Richtlinie durchführt. Wenn beispielsweise ein Ausdruck in einer Richtlinie mit einer bestimmten Quell-IP-Adresse in einer Anforderung übereinstimmt, bestimmt die Aktion, die dieser Richtlinie zugeordnet ist, ob die Verbindung zulässig ist.

Die Arten von Aktionen, die der Citrix ADC ausführen kann, sind funktionsspezifisch. In Rewrite können Aktionen beispielsweise Text in einer Anforderung ersetzen, die Ziel-URL für eine Anforderung ändern usw. Im integrierten Caching bestimmen Aktionen, ob HTTP-Antworten aus dem Cache oder einem Ursprungsserver bereitgestellt werden.

In einigen Citrix ADC-Funktionen sind Aktionen vordefiniert, in anderen sind sie konfigurierbar. In einigen Fällen (z. B. Rewrite) konfigurieren Sie die Aktionen mit denselben Ausdruckstypen, die Sie zum Konfigurieren der zugehörigen Richtlinienregel verwenden.

Übersicht über Profile

Mit einigen Citrix ADC-Funktionen können Sie Profile oder sowohl Aktionen als auch Profile einer Richtlinie zuordnen. Ein Profil ist eine Sammlung von Einstellungen, die es der Funktion ermöglichen, eine komplexe Funktion auszuführen. In der Anwendungsfirewall kann ein Profil für XML-Daten beispielsweise mehrere Überprüfungsvorgänge ausführen, z. B. die Untersuchung der Daten auf illegale XML-Syntax oder Hinweise auf eine SQL-Einschleusung.

Verwendung von Aktionen und Profilen in bestimmten Funktionen

In der folgenden Tabelle wird die Verwendung von Aktionen und Profilen in verschiedenen Citrix ADC-Funktionen zusammengefasst. Die Tabelle erhebt keinen Anspruch auf Vollständigkeit. Weitere Informationen zur spezifischen Verwendung von Aktionen und Profilen für eine Funktion finden Sie in der Dokumentation für die Funktion.

Feature Verwendung einer Aktion Verwendung eines Profils
Anwendungs-Firewall Synonym für ein Profil Alle Anwendungsfirewall-Funktionen verwenden Profile, um komplexe Verhaltensweisen zu definieren, einschließlich musterbasiertem Lernen. Sie fügen diese Profile zu Richtlinien hinzu.
Citrix Gateway Die folgenden Funktionen des Citrix Gateway verwenden Aktionen: Vorauthentifizierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einem Profil hinzu., Autorisierung. Verwendet Aktionen Zulassen und Verweigern. Sie fügen diese Aktionen zu einer Richtlinie hinzu. TCP-Kompression. Verwendet verschiedene Aktionen. Sie fügen diese Aktionen zu einer Richtlinie hinzu. Die folgenden Funktionen verwenden ein Profil: Vorauthentifizierung, Sitzung, Verkehr und clientloser Zugriff. Nachdem Sie die Profile konfiguriert haben, fügen Sie sie zu Richtlinien hinzu.
Rewrite Sie konfigurieren Rewrite-Aktionen von URLs und fügen sie einer Richtlinie hinzu. Nicht benutzt.
Integriertes Caching Sie konfigurieren Caching- und Invalidierungsaktionen innerhalb einer Richtlinie Nicht benutzt.
AAA - Verkehrsmanagement Sie wählen einen Authentifizierungstyp aus, legen eine Autorisierungsaktion von Allow oder DENY fest oder setzen die Überwachung auf SYSLOG oder NSLOG. Sie können Sitzungsprofile mit einem Standard-Timeout und einer Autorisierungsaktion konfigurieren.
Schutz-Funktionen Sie konfigurieren Aktionen innerhalb von Richtlinien für die folgenden Funktionen: Filter, Komprimierung, Responder und SureConnect. Nicht benutzt.
SSL Sie konfigurieren Aktionen innerhalb von SSL-Richtlinien Nicht benutzt.
System Die Aktion ist impliziert. Für die Authentifizierungsfunktion ist es entweder Zulassen oder Verweigern. Für Auditing ist es Auditing On oder Auditing Off. Nicht benutzt.
DNS Die Aktion ist impliziert. Es ist entweder Drop Packets oder der Standort eines DNS-Servers. Nicht benutzt.
SSL-Offload Die Aktion ist impliziert. Sie basiert auf einer Richtlinie, die Sie mit einem virtuellen SSL-Server oder einem Dienst verknüpfen. Nicht benutzt.
Komprimierung Bestimmen Sie die Art der Komprimierung, die auf die Daten angewendet werden soll Nicht benutzt.
Content Switching Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den virtuellen Server geleitet, der der Richtlinie zugeordnet ist. Nicht benutzt.
Cacheumleitung Die Aktion ist impliziert. Wenn eine Anforderung mit der Richtlinie übereinstimmt, wird die Anforderung an den Ursprungsserver weitergeleitet. Nicht benutzt.

Informationen zu Richtlinienbindungen

Eine Richtlinie ist mit einer Entität verknüpft oder an diese gebunden, die den Aufruf der Richtlinie ermöglicht. Beispielsweise können Sie eine Richtlinie an die Auswertung der Anforderungszeit binden, die für alle virtuellen Server gilt. Eine Sammlung von Policen, die an einen bestimmten Bindepunkt gebunden sind, bildet eine Policenbank.

Es folgt eine Übersicht über verschiedene Arten von Bindungspunkten für eine Richtlinie:

  • Globale Uhrzeit anfordern. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Anforderungszeit verfügbar sein.
  • Reaktionszeit global. Eine Richtlinie kann für alle Komponenten in einer Funktion zur Reaktionszeit verfügbar sein.
  • Anforderungszeit, spezifisch für virtuelle Server.

Eine Richtlinie kann an die Anforderungszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein. Sie können beispielsweise eine Richtlinie für die Anforderungszeit an einen virtuellen Cache-Umleitungsserver binden, um sicherzustellen, dass bestimmte Anforderungen an einen virtuellen Lastausgleichsserver für den Cache weitergeleitet werden und andere Anforderungen an einen virtuellen Lastausgleichsserver für den Ursprung gesendet werden.

  • Reaktionszeit, spezifisch für virtuelle Server. Eine Richtlinie kann auch an die Reaktionszeitverarbeitung für einen bestimmten virtuellen Server gebunden sein.
  • Benutzerdefinierte Richtlinienbezeichnung. Für Advanced Policy Infrastructure (PI) können Sie benutzerdefinierte Gruppierungen von Richtlinien (Richtlinienbanken) konfigurieren, indem Sie ein Policy Label definieren und eine Reihe verwandter Richtlinien unter dem Policy Label sammeln.
  • Andere Bindungspunkte. Die Verfügbarkeit zusätzlicher Bindepunkte hängt von der Art der erweiterten Richtlinie und den Besonderheiten der entsprechenden Citrix ADC-Funktion ab.

Weitere Informationen zu erweiterten Richtlinienbindungen finden Sie unter Bindungsrichtlinien, die das Thema “Erweiterte Richtlinien” verwenden .

Informationen zur Evaluierungsreihenfolge von Richtlinien

Die Policy-Gruppen und Richtlinien innerhalb einer Gruppe werden in einer bestimmten Reihenfolge ausgewertet, abhängig von den folgenden:

  • Der Bindepunkt für die Richtlinie, z. B. ob die Richtlinie an die Verarbeitung der Anforderungszeit für einen virtuellen Server oder eine globale Reaktionszeitverarbeitung gebunden ist. Zum Beispiel wertet der Citrix ADC zur Anforderungszeit alle Anforderungszeitrichtlinien aus, bevor er virtuelle Server-spezifische Richtlinien auswertet.
  • Die Prioritätsstufe für die Richtlinie. Für jeden Punkt im Evaluierungsprozess bestimmt eine Prioritätsstufe, die einer Richtlinie zugewiesen ist, die Reihenfolge der Bewertung im Vergleich zu anderen Richtlinien, die denselben Bindepunkt haben. Wenn der Citrix ADC beispielsweise eine Reihe von virtuellen Server-spezifischen Richtlinien für die Anforderungszeit auswertet, beginnt dies mit der Richtlinie, die dem niedrigsten Prioritätswert zugewiesen ist. In Richtlinien müssen Prioritätsstufen über alle Bindepunkte hinweg eindeutig sein.

Für erweiterte Richtlinien wählt Citrix ADC eine Gruppierung oder eine Reihe von Richtlinien an einem bestimmten Punkt in der Gesamtverarbeitung aus. Es folgt die Reihenfolge der Bewertung der grundlegenden Gruppierungen oder Banken von Advanced-Richtlinien:

  1. Globale Überschreibung für Anforderungszeit
  2. Anforderungszeit, spezifisch für virtuelle Server (ein Bindepunkt pro virtuellem Server)
  3. Globaler Standard für Anforderungszeit
  4. Globale Überschreibung der Reaktionszeit
  5. Reaktionszeit für virtuelle Server spezifisch
  6. Globaler Standard für Reaktionszeit

In einer der vorhergehenden Policenbanken ist die Reihenfolge der Bewertung jedoch flexibler als in Richtlinien. Innerhalb einer Policenbank können Sie unabhängig von der Prioritätsstufe auf die nächste Richtlinie verweisen, die bewertet werden soll, und Sie können Policenbanken aufrufen, die anderen Bindungspunkten und benutzerdefinierten Policenbanken angehören.

Reihenfolge der Bewertung basierend auf dem Verkehrsfluss

Während der Datenverkehr durch den Citrix ADC fließt und von verschiedenen Funktionen verarbeitet wird, führt jede Funktion eine Richtlinienbewertung durch. Immer wenn eine Richtlinie mit dem Datenverkehr übereinstimmt, speichert Citrix ADC die Aktion und setzt die Verarbeitung fort, bis die Daten den Citrix ADC verlassen. Zu diesem Zeitpunkt wendet der Citrix ADC normalerweise alle übereinstimmenden Aktionen an. Integriertes Caching, das nur eine letzte Cache- oder NoCache-Aktion anwendet, ist eine Ausnahme.

Einige Richtlinien wirken sich auf das Ergebnis anderer Richtlinien aus. Es folgen Beispiele:

  • Wenn eine Antwort aus dem integrierten Cache bereitgestellt wird, verarbeiten einige andere Citrix ADC-Funktionen die Antwort oder die Anforderung, die sie initiiert hat, nicht.
  • Wenn die Funktion Content-Filter verhindert, dass eine Antwort bereitgestellt wird, werten keine nachfolgenden Funktionen die Antwort aus.

Wenn die Anwendungsfirewall eine eingehende Anforderung ablehnt, können sie von anderen Features nicht verarbeitet werden.