ADC

Integration mit IPS oder NGFW als Inline-Geräte mithilfe von SSL-Forward-Proxy

Sicherheitsgeräte wie das Intrusion Prevention System (IPS) und die Next Generation Firewall (NGFW) schützen Server vor Netzwerkangriffen. Diese Geräte können den Live-Verkehr überprüfen und werden normalerweise im Layer-2-Inlinemodus bereitgestellt. Die SSL-Forward-Proxy-Appliance bietet Sicherheit für Benutzer und Unternehmensnetzwerk beim Zugriff auf Ressourcen im Internet.

Eine SSL-Forward-Proxy-Appliance kann in ein oder mehrere Inline-Geräte integriert werden, um Bedrohungen zu verhindern und erweiterten Sicherheitsschutz zu bieten. Bei den Inline-Geräten kann es sich um jedes Sicherheitsgerät wie IPS und NGFW handeln.

Einige Anwendungsfälle, bei denen Sie von der Verwendung der SSL-Forward-Proxy-Appliance und der Inline-Geräteintegration profitieren können, sind:

  • Überprüfung des verschlüsselten Datenverkehrs: Die meisten IPS- und NGFW-Appliances Bypass verschlüsselten Datenverkehr, wodurch Server anfällig für Angriffe werden können. Eine SSL-Forward-Proxy-Appliance kann den Datenverkehr entschlüsseln und ihn zur Überprüfung an die Inline-Geräte senden. Diese Integration verbessert die Netzwerksicherheit des Kunden.

  • Auslagerung von Inline-Geräten von der TLS/SSL-Verarbeitung: Die TLS/SSL-Verarbeitung ist teuer, was zu einer hohen CPU-Auslastung in IPS- oder NGFW-Appliances führen kann, wenn sie auch den Datenverkehr entschlüsseln. Eine SSL-Forward-Proxy-Appliance hilft dabei, die TLS/SSL-Verarbeitung von Inline-Geräten auszulagern. Infolgedessen können Inline-Geräte ein höheres Verkehrsaufkommen überwachen.

  • Lastausgleich für Inline-Geräte: Wenn Sie mehrere Inline-Geräte für die Verwaltung von hohem Datenverkehr konfiguriert haben, kann eine SSL-Forward-Proxy-Appliance den Lastausgleich durchführen und den Datenverkehr gleichmäßig auf diese Geräte verteilen.

  • Intelligente Auswahl des Datenverkehrs: Anstatt den gesamten Datenverkehr zur Überprüfung an das Inline-Gerät zu senden, wählt die Appliance den Datenverkehr intelligent aus. Beispielsweise wird das Senden von Textdateien zur Überprüfung an die Inline-Geräte übersprungen.

SSL-Forward-Proxy-Integration mit Inline-Geräten

Das folgende Diagramm zeigt, wie ein SSL-Forward-Proxy in Inline-Sicherheitsgeräte integriert wird.

Überblick über die Tipps

Wenn Sie Inline-Geräte in die SSL-Forward-Proxy-Appliance integrieren, interagieren die Komponenten wie folgt:

  1. Ein Client sendet eine Anfrage an eine SSL-Forward-Proxy-Appliance.

  2. Die Appliance sendet die Daten zur Inhaltsüberprüfung auf der Grundlage der Richtlinienbewertung an das Inline-Gerät. Für HTTPS-Verkehr entschlüsselt die Appliance die Daten und sendet sie im Klartext zur Inhaltsüberprüfung an das Inline-Gerät.

    Hinweis

    Wenn zwei oder mehr Inline-Geräte vorhanden sind, gleicht die Appliance die Geräte aus und sendet den Datenverkehr.

  3. Fügen Sie einen Content Switching- oder einen virtuellen HTTP/HTTPS-Lastausgleichsserver hinzu.
  4. Das Inline-Gerät überprüft die Daten auf Bedrohungen und entscheidet, ob die Daten gelöscht, zurückgesetzt oder an die Appliance zurückgesendet werden sollen.
  5. Wenn Sicherheitsbedrohungen bestehen, ändert das Gerät die Daten und sendet sie an die Appliance.
  6. Für HTTPS-Verkehr verschlüsselt die Appliance die Daten erneut und leitet die Anfrage an den Backend-Server weiter.
  7. Der Backend-Server sendet die Antwort an die Appliance.
  8. Die Appliance entschlüsselt die Daten erneut und sendet sie zur Überprüfung an das Inline-Gerät.
  9. Das Inline-Gerät überprüft die Daten. Wenn Sicherheitsbedrohungen bestehen, ändert das Gerät die Daten und sendet sie an die Appliance.
  10. Die Appliance verschlüsselt die Daten erneut und sendet die Antwort an den Client.

Konfiguration der integrierten Geräteintegration

Sie können eine SSL-Forward-Proxy-Appliance mit einem Inline-Gerät auf drei verschiedene Arten wie folgt konfigurieren:

Szenario 1: Verwenden eines einzelnen Inline-Geräts

Um ein Sicherheitsgerät (IPS oder NGFW) in den Inlinemodus zu integrieren, müssen Sie die Inhaltsinspektion und die MAC-basierte Weiterleitung (MBF) im globalen Modus auf der SSL-Forward-Proxy-Appliance aktivieren. Fügen Sie dann ein Inhaltsprüfungsprofil, einen TCP-Dienst und eine Inhaltsprüfungsaktion für Inline-Geräte hinzu, um den Datenverkehr auf der Grundlage der Überprüfung zurückzusetzen, zu blockieren oder zu löschen. Fügen Sie außerdem eine Inhaltsüberprüfungsrichtlinie hinzu, anhand derer die Appliance entscheidet, welche Teilmenge des Datenverkehrs an die Inline-Geräte gesendet werden soll. Konfigurieren Sie abschließend den virtuellen Proxyserver mit aktivierter Layer-2-Verbindung auf dem Server und binden Sie die Inhaltsinspektionsrichtlinie an diesen virtuellen Proxyserver.

Einzelnes Inline-Gerät

Gehen Sie wie folgt vor:

  1. Aktivieren Sie den MAC-basierten Weiterleitungsmodus (MPF).
  2. Aktivieren Sie die Funktion zur Inhaltsüberprüfung.
  3. Fügen Sie ein Inhaltsprüfungsprofil für den Service hinzu. Das Inhaltsprüfungsprofil enthält die Inline-Geräteeinstellungen, die die SSL-Forward-Proxy-Appliance in ein Inline-Gerät integrieren.
  4. (Optional) Fügen Sie einen TCP-Monitor hinzu.

    Hinweis:

    Transparente Geräte haben keine IP-Adresse. Um Zustandsprüfungen durchzuführen, müssen Sie daher explizit einen Monitor binden.

  5. Fügen Sie einen Dienst hinzu. Ein Dienst stellt ein Inline-Gerät dar.
  6. (Optional) Binden Sie den Dienst an den TCP-Monitor.
  7. Fügen Sie eine Inhaltsprüfungsaktion für den Service hinzu.
  8. Fügen Sie eine Richtlinie zur Inhaltsprüfung hinzu und spezifizieren Sie die Aktion.
  9. Fügen Sie einen virtuellen HTTP- oder HTTPS-Proxyserver (Content Switching) hinzu.
  10. Binden Sie die Inhaltsinspektionsrichtlinie an den virtuellen Server.

Konfiguration mit der CLI

Geben Sie die folgenden Befehle in der Befehlszeile ein. Beispiele werden nach den meisten Befehlen angegeben.

  1. Aktiviere MBF.

enable ns mode mbf

  1. Aktivieren Sie das Feature.

enable ns feature contentInspection

  1. Fügen Sie ein Inhaltsprüfungsprofil hinzu.

add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]

Beispiel:

add contentInspection profile ipsprof -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”

  1. Fügen Sie einen Dienst hinzu. Geben Sie eine Schein-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Stellen Sie use source IP address (USIP) auf JA ein. Stellen Sie useproxyport auf NEIN ein. Standardmäßig ist die Systemüberwachung aktiviert, binden Sie den Dienst an einen Integritätsmonitor und setzen Sie außerdem die Option TRANSPARENT im Monitor auf ON.

add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor YES -usip YES –useproxyport NO

Beispiel:

add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof

  1. Fügen Sie einen Gesundheitsmonitor hinzu. Standardmäßig ist der Gesundheitsmonitor aktiviert und Sie haben auch die Möglichkeit, ihn bei Bedarf zu deaktivieren. Geben Sie in der Befehlszeile Folgendes ein:

    add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>

Beispiel:

add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES

  1. Binden Sie den Dienst an den Gesundheitsmonitor

Nach der Konfiguration des Health Monitors müssen Sie den Dienst an den Health Monitor binden. Geben Sie in der Befehlszeile Folgendes ein:

bind service <name> -monitorName <name>

Beispiel:

bind service ips_svc -monitorName ips_tcp

  1. Fügen Sie eine Aktion zur Inhaltsüberprüfung hinzu.

add contentInspection action <name> -type INLINEINSPECTION -serverName <string>

Beispiel:

add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service

  1. Fügen Sie eine Richtlinie zur Inhaltsprüfung hinzu.

add contentInspection policy <name> -rule <expression> -action <string>

Beispiel:

add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action

  1. Fügen Sie einen virtuellen Proxyserver hinzu.

add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON

Hinweis:

Virtuelle Lastausgleichsserver vom Typ HTTP/SSL werden ebenfalls unterstützt.

Beispiel:

add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON

  1. Binden Sie die Richtlinie an den virtuellen Server.

bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST

Beispiel:

bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST

Konfiguration mit der GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Modi konfigurieren.

  2. Wählen Sie auf der Seite „ Modi konfigurieren “ die Option MAC-basierte Weiterleitung aus.

  3. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Erweiterte Funktionen konfigurieren.

  4. Wählen Sie auf der Seite „ Erweiterte Funktionen konfigurieren “ die Option Inhaltsprüfung aus.

  5. Navigieren Sie zu Sicherheit > Inhaltsprüfung > Inhaltsüberprüfungsprofile. Klicken Sie auf Hinzufügen.

  6. Navigieren Sie zu Load Balancing > Services > Add und fügen Sie einen Service hinzu.

    1. Klicken Sie in den Erweiterten Einstellungenauf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Inhaltsprüfungsprofil aus.

    2. Stellen Sie inden Diensteinstellungendie Option Quell-IP-Adresse verwenden auf JA und Proxy-Port verwenden auf Nein ein. Stellen Sie in den Grundeinstellungendie Gesundheitsüberwachung auf NEIN ein.

    3. Aktivieren Sie die Systemüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

  7. Navigieren Sie zu Sicherheit > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungendie Option Richtlinienaus. Klicken Sie auf das „+“ -Zeichen.

  8. Wählen Sie unter Choose Policy die Option Content Inspection aus. Klicken Sie auf Weiter.

  9. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

  10. Geben Sie einen Namen an. Wählen Sie unter Typdie Option INLINEINSPECTIONaus. Wählen Sie unter Servernameden zuvor erstellten TCP-Dienst aus.

  11. Klicken Sie auf Erstellen. Geben Sie die Regel an und klicken Sie auf Erstellen.

  12. Klicken Sie auf Bind.

  13. Klicken Sie auf Fertig.

Szenario 2: Lastausgleich mehrerer Inline-Geräte mit dedizierten Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie die Geräte mithilfe verschiedener Inhaltsinspektionsdienste mit dedizierten Schnittstellen ausgleichen. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine dedizierte Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Inspektion an die Inline-Geräte gesendet.

Mehrere Inline-Geräte

Die Grundkonfiguration bleibt dieselbe wie in Szenario 1. Sie müssen jedoch für jedes Inline-Gerät ein Inhaltsprüfungsprofil erstellen und die Eingangs- und Ausgangsschnittstelle in jedem Profil angeben. Fügen Sie für jedes Inline-Gerät einen Dienst hinzu. Fügen Sie einen virtuellen Lastausgleichsserver hinzu und geben Sie ihn in der Aktion zur Inhaltsüberprüfung an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Fügen Sie Inhaltsüberprüfungsprofile für jeden Dienst hinzu.
  2. Fügen Sie für jedes Gerät einen Dienst hinzu.
  3. Fügen Sie einen virtuellen Lastausgleichsserver hinzu.
  4. Geben Sie den virtuellen Lastausgleichsserver in der Aktion zur Inhaltsüberprüfung an.

Konfiguration mit der CLI

Geben Sie die folgenden Befehle in der Befehlszeile ein. Beispiele werden nach jedem Befehl angegeben.

  1. Aktiviere MBF.

enable ns mode mbf

  1. Aktivieren Sie das Feature.

enable ns feature contentInspection

  1. Fügen Sie Profil 1 für Service 1 hinzu.

add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]

Beispiel:

add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"

  1. Fügen Sie Profil 2 für Service 2 hinzu.

add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]

Beispiel:

add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"

  1. Dienst 1 hinzufügen. Geben Sie eine Schein-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Stellen Sie use source IP address (USIP) auf JA ein. Stellen Sie useproxyport auf NEIN ein. Schalten Sie die Systemüberwachung mit TCP-Monitor ein, wenn die Option TRANSPARENT auf ON gesetzt ist.

add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO

Beispiel:

add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1

  1. Dienst 2 hinzufügen. Geben Sie eine Schein-IP-Adresse an, die keinem der Geräte gehört, einschließlich der Inline-Geräte. Stellen Sie use source IP address (USIP) auf JA ein. Stellen Sie useproxyport auf NEIN ein. Schalten Sie die Statusüberwachung ein, wenn die Option TRANSPARENT auf ON gesetzt ist.

add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO

Beispiel:

add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2

  1. Fügen Sie einen virtuellen Lastausgleichsserver hinzu.

add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>

Beispiel:

add lb vserver lb_inline_vserver TCP 192.0.2.100 *

  1. Binden Sie die Dienste an den virtuellen Lastausgleichsserver.

bind lb vserver <LB_VSERVER_NAME> <service_name> bind lb vserver <LB_VSERVER_NAME> <service_name>

Beispiel:

bind lb vserver lb_inline_vserver ips_service1 bind lb vserver lb_inline_vserver ips_service2

  1. Geben Sie den virtuellen Lastausgleichsserver in der Aktion zur Inhaltsüberprüfung an.

add contentInspection action <name> -type INLINEINSPECTION -serverName <string>

Beispiel:

add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver

  1. Fügen Sie eine Richtlinie zur Inhaltsprüfung hinzu. Geben Sie die Aktion zur Inhaltsüberprüfung in der Richtlinie an.

add contentInspection policy <name> -rule <expression> -action <string>

Beispiel:

add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action

  1. Fügen Sie einen virtuellen Proxyserver hinzu.

add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON

Beispiel:

add cs vserver transparentcs PROXY * * -l2Conn ON

  1. Binden Sie die Inhaltsinspektionsrichtlinie an den virtuellen Server.

bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST

Beispiel:

bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST

Konfiguration mit der GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Modi konfigurieren.
  2. Wählen Sie auf der Seite „ Modi konfigurieren “ die Option MAC-basierte Weiterleitung aus.

  3. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Erweiterte Funktionen konfigurieren.

  4. Wählen Sie auf der Seite „ Erweiterte Funktionen konfigurieren “ die Option Inhaltsprüfung aus.

  5. Navigieren Sie zu Sicherheit > Inhaltsprüfung > Inhaltsüberprüfungsprofile. Klicken Sie auf Hinzufügen.

  6. Geben Sie die Eingangs- und Ausgangsschnittstellen an.

  7. Erstellen Sie zwei Profile. Geben Sie im zweiten Profil eine andere Eingangs- und Ausgangsschnittstelle an.

  8. Navigieren Sie zu Load Balancing > Services > Add und fügen Sie einen Service hinzu.

    1. Klicken Sie in den Erweiterten Einstellungenauf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Inhaltsprüfungsprofil aus.

    2. Stellen Sie inden Diensteinstellungendie Option Quell-IP-Adresse verwenden auf JA und Proxy-Port verwenden auf Nein ein. Stellen Sie in den Grundeinstellungendie Gesundheitsüberwachung auf NEIN ein.

    3. Aktivieren Sie die Systemüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte.

  9. Navigieren Sie zu Load Balancing > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load-Balancing-Server und klicken Sie auf OK.

  10. Klicken Sie auf den Abschnitt Load Balancing Virtual Server Service Binding . Klicken Sie unter Service Bindingauf den Pfeil unter Service auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus und klicken Sie auf Auswählen. Klicken Sie auf Bind.

  11. Navigieren Sie zu Sicherheit > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungendie Option Richtlinienaus. Klicken Sie auf das „+“ -Zeichen.

  12. Wählen Sie unter Choose Policy die Option Content Inspection aus. Klicken Sie auf Weiter.

  13. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

  14. Geben Sie einen Namen an. Wählen Sie unter Typdie Option INLINEINSPECTIONaus. Wählen Sie unter Servernameden zuvor erstellten virtuellen Lastausgleichsserver aus.

  15. Klicken Sie auf Erstellen. Geben Sie die Regel an und klicken Sie auf Erstellen.

  16. Klicken Sie auf Bind.

  17. Klicken Sie auf Fertig.

Szenario 3: Lastausgleich mehrerer Inline-Geräte mit gemeinsam genutzten Schnittstellen

Wenn Sie zwei oder mehr Inline-Geräte verwenden, können Sie einen Lastausgleich zwischen den Geräten durchführen, indem Sie verschiedene Content Inspection Services mit gemeinsam genutzten Schnittstellen verwenden. In diesem Fall gleicht die SSL-Forward-Proxy-Appliance die Teilmenge des Datenverkehrs aus, der über eine gemeinsame Schnittstelle an jedes Gerät gesendet wird. Die Teilmenge wird basierend auf den konfigurierten Richtlinien festgelegt. Beispielsweise werden TXT- oder Bilddateien möglicherweise nicht zur Inspektion an die Inline-Geräte gesendet.

Mehrere Inline-Geräte mit gemeinsam genutzter Schnittstelle

Die Grundkonfiguration bleibt dieselbe wie in Szenario 2. Binden Sie für dieses Szenario die Schnittstellen an verschiedene VLANs, um den Datenverkehr für jedes Inline-Gerät zu trennen. Geben Sie die VLANs in den Inhaltsinspektionsprofilen an. Führen Sie die folgenden zusätzlichen Schritte aus:

  1. Binden Sie die gemeinsam genutzten Schnittstellen an verschiedene VLANs.

  2. Geben Sie die Eingangs- und AusgangsvLANs in den Inhaltsinspektionsprofilen an.

Konfiguration mit der CLI

Geben Sie die folgenden Befehle in der Befehlszeile ein. Beispiele werden nach jedem Befehl angegeben.

  1. Aktiviere MBF.

enable ns mode mbf

  1. Aktivieren Sie das Feature.

enable ns feature contentInspection

  1. Binden Sie die gemeinsam genutzten Schnittstellen an verschiedene VLANs.

    bind vlan <id> -ifnum <interface> -tagged

Beispiel:

bind vlan 100 –ifnum 1/2 tagged
bind vlan 200 –ifnum 1/3 tagged
bind vlan 300 –ifnum 1/2 tagged
bind vlan 400 –ifnum 1/3 tagged
<!--NeedCopy-->
  1. Fügen Sie Profil 1 für Service 1 hinzu. Geben Sie die Eingangs- und AusgangsvLANs im Profil an.

add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]

Beispiel:

add contentInspection profile ipsprof1 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 100 -ingressVlan 300

  1. Fügen Sie Profil 2 für Service 2 hinzu. Geben Sie die Eingangs- und AusgangsvLANs im Profil an.

add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]

Beispiel:

add contentInspection profile ipsprof2 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 200 -ingressVlan 400

  1. Dienst 1 hinzufügen.

add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO

Beispiel:

add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1

  1. Dienst 2 hinzufügen.

add service <service_name> <IP> TCP * - contentinspectionProfileName <Name> -healthMonitor NO -usip YES –useproxyport NO

Beispiel:

add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2

  1. Fügen Sie einen virtuellen Lastausgleichsserver hinzu.

add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>

Beispiel:

add lb vserver lb_inline_vserver TCP 192.0.2.100 *

  1. Binden Sie die Dienste an den virtuellen Lastausgleichsserver.

bind lb vserver <LB_VSERVER_NAME> <service_name> bind lb vserver <LB_VSERVER_NAME> <service_name>

Beispiel:

bind lb vserver lb_inline_vserver ips_service1 bind lb vserver lb_inline_vserver ips_service2

  1. Geben Sie den virtuellen Lastausgleichsserver in der Aktion zur Inhaltsüberprüfung an.

add contentInspection action <name> -type INLINEINSPECTION -serverName <string>

Beispiel:

add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver

  1. Fügen Sie eine Richtlinie zur Inhaltsprüfung hinzu. Geben Sie die Aktion zur Inhaltsüberprüfung in der Richtlinie an.

add contentInspection policy <name> -rule <expression> -action <string>

Beispiel:

add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE(\"CONNECT\")" -action ips_action

  1. Fügen Sie einen virtuellen Proxyserver hinzu.

add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON

Beispiel:

add cs vserver transparentcs PROXY * * -l2Conn ON

  1. Binden Sie die Inhaltsinspektionsrichtlinie an den virtuellen Server.

bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST

Beispiel:

bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST

Konfiguration mit der GUI

  1. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Modi konfigurieren.

  2. Wählen Sie auf der Seite „ Modi konfigurieren “ die Option MAC-basierte Weiterleitung aus.

  3. Navigieren Sie zu System > Einstellungen. Klicken Sie unterModi und Funktionenauf Erweiterte Funktionen konfigurieren.

  4. Wählen Sie auf der Seite „ Erweiterte Funktionen konfigurieren “ die Option Inhaltsprüfung aus.

  5. Navigieren Sie zu System > Netzwerk > VLANs > Hinzufügen. Fügen Sie vier VLANs hinzu und markieren Sie sie den Schnittstellen.

  6. Navigieren Sie zu Sicherheit > Inhaltsprüfung > Inhaltsüberprüfungsprofile. Klicken Sie auf Hinzufügen.

  7. Geben Sie die Eingangs- und AusgangsvLANs an.

  8. Erstellen Sie weitere Profile. Geben Sie im zweiten Profil ein anderes Eingangs- und AusgangsvLAN an.

  9. Navigieren Sie zu Load Balancing > Services > Add und fügen Sie einen Service hinzu.

    1. Klicken Sie in den Erweiterten Einstellungenauf Profile. Wählen Sie in der Liste CI-Profilname das zuvor erstellte Inhaltsprüfungsprofil aus.

    2. Stellen Sie inden Diensteinstellungendie Option Quell-IP-Adresse verwenden auf JA und Proxy-Port verwenden auf Nein ein. Stellen Sie in den Grundeinstellungendie Gesundheitsüberwachung auf NEIN ein.

    3. Aktivieren Sie die Systemüberwachung nur, wenn Sie diesen Dienst an einen TCP-Monitor binden. Wenn Sie einen Monitor an einen Dienst binden, setzen Sie die Option TRANSPARENT im Monitor auf ON.

    Erstellen Sie zwei Dienste. Geben Sie Dummy-IP-Adressen an, die keinem der Geräte gehören, einschließlich der Inline-Geräte. Geben Sie Profil 1 in Dienst 1 und Profil 2 in Dienst 2 an.

  10. Navigieren Sie zu Load Balancing > Virtuelle Server > Hinzufügen. Erstellen Sie einen virtuellen TCP-Load-Balancing-Server und klicken Sie auf OK.

  11. Klicken Sie auf den Abschnitt Load Balancing Virtual Server Service Binding . Klicken Sie unter Service Bindingauf den Pfeil unter Service auswählen. Wählen Sie die beiden zuvor erstellten Dienste aus und klicken Sie auf Auswählen. Klicken Sie auf Bind.

  12. Navigieren Sie zu Sicherheit > Virtuelle Proxyserver > Hinzufügen. Geben Sie einen Namen, eine IP-Adresse und einen Port an. Wählen Sie unter Erweiterte Einstellungendie Option Richtlinienaus. Klicken Sie auf das „+“ -Zeichen.

  13. Wählen Sie unter Choose Policy die Option Content Inspection aus. Klicken Sie auf Weiter.

  14. Klicken Sie auf Hinzufügen. Geben Sie einen Namen an. Klicken Sie unter Aktion auf Hinzufügen.

  15. Geben Sie einen Namen an. Wählen Sie unter Typdie Option INLINEINSPECTIONaus. Wählen Sie unter Servernameden zuvor erstellten virtuellen Lastausgleichsserver aus.

  16. Klicken Sie auf Erstellen. Geben Sie die Regel an und klicken Sie auf Erstellen.
  17. Klicken Sie auf Bind.
  18. Klicken Sie auf Fertig.
Integration mit IPS oder NGFW als Inline-Geräte mithilfe von SSL-Forward-Proxy