-
Deploy a Citrix ADC VPX instance
-
Installieren einer Citrix ADC VPX Instanz auf einem Bare-Metal-Server
-
Installieren einer Citrix ADC VPX-Instanz auf Citrix Hypervisor
-
Installieren einer Citrix ADC VPX Instanz in VMware Cloud auf AWS
-
Installieren einer Citrix ADC VPX Instanz auf Microsoft Hyper-V-Servern
-
Installieren einer Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform
-
Bereitstellen der virtuellen Citrix ADC Appliance mit OpenStack
-
Bereitstellen der Citrix ADC Virtual Appliance mit Virtual Machine Manager
-
Konfigurieren virtueller Citrix ADC Appliances für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Bereitstellen der virtuellen Citrix ADC Appliance mit dem Virsh-Programm
-
Bereitstellen der virtuellen Citrix ADC Appliance mit SR-IOV auf OpenStack
-
Bereitstellen einer Citrix ADC VPX-Instanz auf AWS
-
Bereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS
-
Bereitstellen eines hochverfügbaren VPX-Paars mit elastischen IP-Adressen in verschiedenen AWS-Zonen
-
Bereitstellen eines hochverfügbaren VPX-Paars mit privaten IP-Adressen in verschiedenen AWS-Zonen
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung der SR-IOV-Netzwerkschnittstelle
-
Konfigurieren einer Citrix ADC VPX-Instanz für die Verwendung von Enhanced Networking mit AWS ENA
-
Bereitstellen einer Citrix ADC VPX Instanz in Microsoft Azure
-
Netzwerkarchitektur für Citrix ADC VPX-Instanzen in Microsoft Azure
-
Konfigurieren mehrerer IP-Adressen für eine eigenständige Citrix ADC VPX-Instanz
-
Konfigurieren eines Hochverfügbarkeitssetups mit mehreren IP-Adressen und Netzwerkkarten
-
Konfigurieren von HA-INC-Knoten mithilfe der Citrix Hochverfügbarkeitsvorlage mit Azure ILB
-
Konfigurieren von GSLB auf einem Hochverfügbarkeits-Setup mit aktivem Standby-Modus
-
Konfigurieren von Adresspools (IIP) für eine Citrix Gateway Appliance
-
Zusätzliche PowerShell -Skripts für die Azure-Bereitstellung
-
-
Bereitstellen einer Citrix ADC VPX-Instanz auf der Google Cloud Platform
-
Upgrade und Downgrade einer Citrix ADC Appliance
-
Lösungen für Telekommunikationsdienstleister
-
Lastausgleich Control-Ebenenverkehr, der auf Durchmesser-, SIP- und SMPP-Protokollen basiert
-
Authentifizierung, Autorisierung und Auditing des Anwendungsdatenverkehrs
-
Funktionsweise von Authentifizierung, Autorisierung und Auditing
-
Grundkomponenten der Authentifizierungs-, Autorisierungs- und Auditkonfiguration
-
On-Premises Citrix Gateway als Identitätsanbieter für Citrix Cloud
-
Konfigurationsunterstützung für das Cookie-Attribut SameSite
-
Authentifizierung, Autorisierung und Auditing-Konfiguration für häufig verwendete Protokolle
-
Beheben von Problemen mit Authentifizierung und Autorisierung
-
-
-
-
Konfigurieren des erweiterten Richtlinienausdrucks: Erste Schritte
-
Erweiterte Richtlinienausdrücke: Arbeiten mit Datumsangaben, Uhrzeiten und Zahlen
-
Erweiterte Richtlinienausdrücke: Analysieren von HTTP-, TCP- und UDP-Daten
-
Erweiterte Richtlinienausdrücke: Analysieren von SSL-Zertifikaten
-
Erweiterte Richtlinienausdrücke: IP- und MAC-Adressen, Durchsatz, VLAN-IDs
-
Erweiterte Richtlinienausdrücke: Stream Analytics-Funktionen
-
Zusammenfassende Beispiele für Standard-Syntaxausdrücke und -richtlinien
-
Tutorialbeispiele für Standard-Syntaxrichtlinien für das Umschreiben
-
Migration von Apache mod_rewrite Regeln auf die Standardsyntax
-
-
-
-
Verwalten eines virtuellen Cache-Umleitungsservers
-
Statistiken zum virtuellen Server zur Cache-Umleitung anzeigen
-
Aktivieren oder Deaktivieren eines virtuellen Cache-Umleitungsservers
-
Direkter Richtlinientreffer in den Cache anstelle des Ursprungs
-
Verwalten von Clientverbindungen für einen virtuellen Server
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
-
Ziel-IP-Adresse einer Anforderung in Ursprungs-IP-Adresse übersetzen
-
-
-
Konfigurieren von Citrix ADC als nicht validierenden, sicherheitsbezogene Stub-Resolver
-
Jumbo-Frames-Unterstützung für DNS, um Antworten großer Größen zu verarbeiten
-
Konfigurieren der negativen Zwischenspeicherung von DNS-Einträgen
-
-
Verwalten des Client-Datenverkehrs
-
Konfigurieren von virtuellen Servern ohne Sitzungsaufwand für den Lastenausgleich
-
IP-Adresse und Port eines virtuellen Servers in den Request-Header einfügen
-
Verwenden einer angegebenen Quell-IP für die Backend-Kommunikation
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Verwalten des Client-Datenverkehrs auf der Grundlage der Datenverkehrsrate
-
Verwenden eines Quellports aus einem angegebenen Portbereich für die Backend-Kommunikation
-
Konfigurieren der Quell-IP-Persistenz für die Backend-Kommunikation
-
Verwenden von lokalen IPv6-Link-Adressen auf Serverseite eines Lastausgleichs-Setups
-
-
Erweiterte Lastenausgleichseinstellungen
-
Schützen Sie Anwendungen auf geschützten Servern vor Überlastung des Datenverkehrs
-
Bereinigung von virtuellen Server- und Dienstverbindungen aktivieren
-
Aktivieren oder Deaktivieren der Persistenzsitzung auf TROFS-Diensten
-
Externe TCP-Zustandsprüfung für virtuelle UDP-Server aktivieren
-
Verwalten der Clientverbindung für mehrere Clientanforderungen
-
Geben Sie die IP-Adresse des Clients in den Request-Header ein
-
Rufen Sie Standortdetails von der Benutzer-IP-Adresse mithilfe der Geolocation-Datenbank ab
-
Verwenden Sie die Quell-IP-Adresse des Clients, wenn Sie eine Verbindung zum Server herstellen
-
Festlegen eines Grenzwerts für die Anzahl der Clientverbindungen
-
Festlegen eines Grenzwerts für die Anzahl der Anforderungen pro Verbindung zum Server
-
Festlegen eines Schwellenwerts für die an einen Dienst gebundenen Monitore
-
Festlegen eines Timeoutwerts für Leerlauf-Clientverbindungen
-
Festlegen eines Zeitüberschreitungswertes für Serververbindungen im Leerlauf
-
Festlegen eines Grenzwerts für die Bandbreitenauslastung durch Clients
-
Konfigurieren des Lastenausgleichs für häufig verwendete Protokolle
-
Anwendungsfall 3: Konfigurieren des Lastausgleichs im Direktserverrückgabemodus
-
Anwendungsfall 4: Konfigurieren von LINUX-Servern im DSR-Modus
-
Anwendungsfall 5: Konfigurieren des DSR-Modus bei Verwendung von TOS
-
Anwendungsfall 7: Konfigurieren des Lastausgleichs im DSR-Modus mithilfe von IP over IP
-
Anwendungsfall 8: Lastausgleich im Einarmmodus konfigurieren
-
Anwendungsfall 9: Konfigurieren des Lastausgleichs im Inline-Modus
-
Anwendungsfall 10: Lastausgleich von Intrusion Detection Systemservern
-
Anwendungsfall 11: Isolieren des Netzwerkverkehrs mithilfe von Listen Policies
-
Anwendungsfall 12: Konfigurieren von XenDesktop für den Lastenausgleich
-
Anwendungsfall 13: Konfigurieren von XenApp für den Lastenausgleich
-
Anwendungsfall 14: ShareFile Assistent für den Lastenausgleich von Citrix ShareFile
-
-
IP-Reputation
-
-
SSL-Offload und Beschleunigung
-
Unterstützung für Intel Coleto SSL-Chip-basierte Plattformen
-
Unterstützung für Gemalto SafeNet Network Hardwaresicherheitsmodul
-
-
-
-
Konfigurieren eines CloudBridge Connector-Tunnels zwischen zwei Rechenzentren
-
Konfigurieren von CloudBridge Connector zwischen Datacenter und AWS Cloud
-
Konfigurieren eines CloudBridge-Connector-Tunnels zwischen einem Datacenter und Azure Cloud
-
Konfigurieren des CloudBridge Connector-Tunnels zwischen Datacenter und SoftLayer Enterprise Cloud
-
-
Punkte, die für ein Hochverfügbarkeits-Setup berücksichtigt werden müssen
-
Synchronisieren von Konfigurationsdateien in einem Hochverfügbarkeitssetup
-
Beschränken des Hochverfügbarkeitssynchronisierungsverkehrs auf ein VLAN
-
Konfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen
-
Beschränken von Failovers durch Routenmonitore im Nicht-INC-Modus
-
Verwalten von Heartbeat-Nachrichten mit hoher Verfügbarkeit auf einer Citrix ADC Appliance
-
Entfernen und Ersetzen eines Citrix ADC in einem Hochverfügbarkeit-Setup
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
IP-Reputation
IP-Reputation ist ein Tool, das IP-Adressen identifiziert, die unerwünschte Anfragen senden. Mithilfe der IP-Reputationsliste können Sie Anfragen ablehnen, die von einer IP-Adresse mit schlechtem Ruf stammen. Optimieren Sie die Leistung der Web Application Firewall, indem Sie Anforderungen filtern, die Sie nicht verarbeiten möchten. Zurücksetzen, eine Anfrage löschen oder sogar eine Responder-Richtlinie konfigurieren, um eine bestimmte Responder-Aktion durchzuführen.
Im Folgenden finden Sie einige Angriffe, die Sie mit IP-Reputation verhindern können:
- Vireninfizierte PCs. (Heim-PCs) sind die größte Quelle von Spam im Internet. IP Reputation kann die IP-Adresse identifizieren, die unerwünschte Anfragen sendet. IP-Reputation kann besonders nützlich sein, um große DDoS-, DoS- oder anomale SYN-Flutangriffe aus bekannten infizierten Quellen zu blockieren.
- Zentral verwaltetes und automatisiertes Botnet. Angreifer haben Popularität beim Diebstahl von Kennwörtern gewonnen, weil es nicht lange dauert, wenn Hunderte von Computern zusammenarbeiten, um Ihr Kennwort zu knacken. Es ist einfach, Botnet-Angriffe zu starten, um Kennwörter herauszufinden, die häufig verwendete Wörterbuchwörter verwenden.
- Kompromittierter Web-Server. Angriffe sind nicht so häufig, weil Bewusstsein und Serversicherheit zugenommen haben, sodass Hacker und Spammer nach einfacheren Zielen suchen. Es gibt immer noch Webserver und Online-Formulare, die Hacker kompromittieren und zum Versenden von Spam verwenden können (wie Viren und Pornos). Solche Aktivitäten lassen sich leichter erkennen und schnell abschalten oder mit einer Reputationsliste wie SpamRats blockieren.
- Windows-Exploits. (z. B. Active IPs, die Malware, Shell-Code, Rootkits, Würmer oder Viren anbieten oder verteilen).
- Bekannte Spammer und Hacker.
- Massen-E-Mail-Marketing-Kampagnen.
- Phishing-Proxies (IP-Adressen, die Phishing-Sites hosten, und andere Betrugsfälle wie Anzeigenklickbetrug oder Spielbetrug).
- Anonyme Proxies (IPs, die Proxy- und Anonymisierungsdienste anbieten, einschließlich The Onion Router aka TOR).
Eine Citrix ADC Appliance verwendet Webroot als Dienstanbieter für eine dynamisch generierte bösartige IP-Datenbank und die Metadaten für diese IP-Adressen. Metadaten können Geolocation-Details, Bedrohungskategorie, Bedrohungsanzahl usw. umfassen. Die Webroot Threat Intelligence Engine empfängt Echtzeitdaten von Millionen von Sensoren. Es erfasst, scannt, analysiert und bewertet die Daten automatisch und kontinuierlich mit Hilfe von fortgeschrittenem maschinellem Lernen und Verhaltensanalysen. Die Informationen über eine Bedrohung werden laufend aktualisiert.
Wenn eine Bedrohung irgendwo im Netzwerk erkannt wird, wird die IP-Adresse als bösartig gekennzeichnet, und alle mit dem Netzwerk verbundenen Appliances sind sofort geschützt. Die dynamischen Änderungen der IP-Adressen werden mit hoher Geschwindigkeit und Genauigkeit unter Verwendung von fortgeschrittenem maschinellem Lernen verarbeitet.
Wie im Datenblatt von Webroot angegeben, identifiziert das Sensornetzwerk des Webroot viele wichtige IP-Bedrohungsarten, einschließlich Spam-Quellen, Windows-Exploits, Botnets, Scannern und anderen. (Siehe das Flussdiagramm auf dem Datenblatt.)
Die Citrix ADC Appliance verwendet einen iprep
Clientprozess, um die Datenbank von Webroot abrufen zu können. Der iprep
Client verwendet die HTTP GET-Methode, um die absolute IP-Liste von Webroot zum ersten Mal zu erhalten. Später überprüft es Delta-Änderungen einmal alle 5 Minuten.
Wichtig:
Stellen Sie sicher, dass die Citrix ADC Appliance über Internetzugang verfügt und DNS konfiguriert ist, bevor Sie die IP-Reputation-Funktion verwenden.
Um auf die Webroot-Datenbank zugreifen zu können, muss die Citrix ADC Appliance eine Verbindung zu api.bcti.brightcloud.com auf Port 443herstellen können. Jeder Knoten in der HA- oder Clusterbereitstellung erhält die Datenbank von Webroot und muss auf diesen vollqualifizierten Domänennamen (FQDN) zugreifen können.
Webroot hostet derzeit seine Reputationsdatenbank in AWS. Daher muss Citrix ADC in der Lage sein, AWS-Domänen für das Herunterladen der Reputationsdatenbank aufzulösen. Außerdem muss die Firewall für AWS-Domains offen sein.
Die Citrix ADC Appliance kann eine Verbindung mit
wiprep-daily.*.amazonaws.com
über Port 443 herstellen, um IP-Daten von AWS abzurufen.iPrep sammelt Nutzungsanalysen von der Citrix ADC Appliance und sendet die Daten an den Citrix ADM Dienst.
Hinweis:
Jede Paket-Engine benötigt mindestens 4 GB, um ordnungsgemäß zu funktionieren, wenn die IP-Reputation-Funktion aktiviert ist.
Erweiterte Richtlinienausdrücke. Konfigurieren Sie die IP-Reputation-Funktion, indem Sie erweiterte Richtlinienausdrücke (Standardsyntaxausdrücke) in den Richtlinien verwenden, die an unterstützte Module wie Web Application Firewall und Responder gebunden sind. Im Folgenden sind zwei Beispiele, die Ausdrücke zeigen, die verwendet werden können, um zu erkennen, ob die Client-IP-Adresse bösartig ist.
- CLIENT.IP.SRC.IPREP_IS_MALICIOUS: Dieser Ausdruck wird TRUE ausgewertet, wenn der Client in der Liste bösartiger IP-Adressen enthalten ist.
- CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (CATEGORY): Dieser Ausdruck wird auf TRUE ausgewertet, wenn die Client-IP eine bösartige IP ist und sich in der angegebenen Bedrohungskategorie befindet.
Im Folgenden sind die möglichen Werte für die Bedrohungskategorie:
SPAM_SOURCES, WINDOWS_EXPLOITS, WEB_ATTACKS, BOTNETS, SCANNER, DOS, REPUTATION, PHISHING, PROXY, NETZWERK, CLOUD_PROVIDERS, MOBILE_THREATS, TOR_PROXY.
Hinweis:
Die IP-Reputation-Funktion überprüft sowohl Quell- als auch Ziel-IP-Adressen. Es erkennt bösartige IPs im Header. Wenn der PI-Ausdruck in einer Richtlinie die IP-Adresse identifizieren kann, bestimmt die IP-Reputationsprüfung, ob sie bösartig ist.
IPRep-Protokollmeldung. Die/var/log/iprep.log
Datei enthält nützliche Meldungen, die Informationen über die Kommunikation mit der Webroot Datenbank erfassen. Die Informationen können sich auf die während der Webroot-Kommunikation verwendeten Anmeldeinformationen, die fehlende Verbindung mit Webroot und die in einem Update enthaltenen Informationen beziehen (z. B. die Anzahl der IP-Adressen in der Datenbank).
Erstellen einer Blockliste oder einer Allowlist von IPs unter Verwendung eines Richtliniendatensatzes. Sie können eine Zulassungsliste pflegen, um den Zugriff auf bestimmte IP-Adressen zu ermöglichen, die in der Webroot-Datenbank blockiert sind. Sie können auch eine benutzerdefinierte Sperrliste von IP-Adressen erstellen, um die Reputationsprüfung von Webroot zu ergänzen. Diese Listen können mithilfe eines Richtliniendatensatzeserstellt werden. Ein Datensatz ist eine spezielle Form von Mustersatz, die ideal für IPv4-Adressenabgleich geeignet ist. Um Datensätze zu verwenden, erstellen Sie zuerst den Datensatz und binden IPv4-Adressen an ihn. Wenn Sie eine Richtlinie zum Vergleichen einer Zeichenfolge in einem Paket konfigurieren, verwenden Sie einen entsprechenden Operator und übergeben Sie den Namen des Mustersatzes oder Datensatzes als Argument.
So erstellen Sie eine Liste von Adressen, die während der IP-Reputationsbewertung als Ausnahmen behandelt werden sollen:
- Konfigurieren Sie die Richtlinie so, dass der PI-Ausdruck als False ausgewertet wird, selbst wenn eine Adresse in der Zulassungsliste von Webroot (oder einem Dienstanbieter) als schädlich aufgeführt wird.
Aktivieren oder Deaktivieren der IP-Reputation. IP-Reputation ist Teil der allgemeinen Reputationsfunktion, die lizenzbasiert ist. Wenn Sie die Reputationsfunktion aktivieren oder deaktivieren, wird die IP-Reputation aktiviert oder deaktiviert.
Allgemeines Verfahren. Die Bereitstellung von IP-Reputation umfasst die folgenden Aufgaben
- Stellen Sie sicher, dass die auf der Citrix ADC Appliance installierte Lizenz IP-Reputationsunterstützung besitzt. Firewall-Lizenzen für Premium- und eigenständige Anwendungen unterstützen die IP-Reputationsfunktion.
- Aktivieren Sie die IP-Reputations- und Anwendungs-Firewall-Funktionen.
- Fügen Sie ein Anwendungs-Firewall-Profil hinzu.
- Fügen Sie mithilfe der PI-Ausdrücke eine Anwendungsfirewall hinzu, um die schädlichen IP-Adressen in der IP-Reputation-Datenbank zu identifizieren.
- Binden Sie die Firewall-Richtlinie der Anwendung an einen entsprechenden Bindungspunkt.
- Stellen Sie sicher, dass jede Anfrage, die von einer bösartigen Adresse empfangen wurde, in der
ns.log
Datei protokolliert wird, um zu zeigen, dass die Anfrage wie im Profil angegeben verarbeitet wurde.
Konfigurieren der IP-Reputation-Funktion über die CLI
Geben Sie an der Eingabeaufforderung Folgendes ein:
enable feature reputation
disable feature reputation
In den folgenden Beispielen wird gezeigt, wie Sie mithilfe des PI-Ausdrucks eine Anwendungsfirewall Richtlinie hinzufügen können, um bösartige Adressen zu identifizieren. Sie können die integrierten Profile verwenden oder ein Profil hinzufügen oder ein vorhandenes Profil konfigurieren, um die gewünschte Aktion aufzurufen, wenn eine Anforderung mit einer Richtlinienübereinstimmung übereinstimmt.
Die Beispiele 3 und 4 zeigen, wie ein Richtlinien-Dataset erstellt wird, um eine Blockierungsliste oder eine Zulassungsliste von IP-Adressen zu generieren.
Beispiel 1:
Mit dem folgenden Befehl wird eine Richtlinie erstellt, die bösartige IP-Adressen identifiziert und die Anforderung blockiert, wenn eine Übereinstimmung ausgelöst wird:
add appfw policy pol1 CLIENT.IP.SRC.IPREP_IS_MALICIOUS APPFW_BLOCK
Beispiel 2:
Der folgende Befehl erstellt eine Richtlinie, die den Reputationsdienst verwendet, um die Client-IP-Adresse im X-Forwarded-For
Header zu überprüfen und die Verbindung zurückzusetzen, wenn eine Übereinstimmung ausgelöst wird.
> add appfw policy pol1 "HTTP.REQ.HEADER(\"X-Forwarded-For\").TYPECAST_IP_ADDRESS_AT.IPREP_IS_MALICIOUS" APPFW_RESET**
Beispiel 3:
Das folgende Beispiel zeigt, wie Sie eine Liste hinzufügen, um Ausnahmen hinzuzufügen, die bestimmte IP-Adressen zulassen:
> add policy dataset Allow_list1 ipv4
> bind policy dataset Allow_list1 10.217.25.17 -index 1
> bind policy dataset Allow_list1 10.217.25.18 -index 2
Beispiel 4:
Das folgende Beispiel zeigt, wie die benutzerdefinierte Liste hinzugefügt wird, um bestimmte IP-Adressen als bösartig zu kennzeichnen:
> add policy dataset Block_list1 ipv4
> bind policy dataset Block_list1 10.217.31.48 -index 1
> bind policy dataset Block_list1 10.217.25.19 -index 2
Beispiel 5:
Das folgende Beispiel zeigt einen Richtlinienausdruck zum Blockieren der Client-IP unter den folgenden Bedingungen:
- Es stimmt mit einer IP-Adresse überein, die in der benutzerdefinierten Block_List1 konfiguriert ist (Beispiel 4)
- Es stimmt mit einer in der Webroot-Datenbank aufgelisteten IP-Adresse überein, es sei denn, sie wird durch die Aufnahme in die Allow_List1 (Beispiel 3) gelockert.
> add appfw policy "Ip_Rep_Policy" "((CLIENT.IP.SRC.IPREP_IS_MALICIOUS || CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Block_list1")) && ! (CLIENT.IP.SRC.TYPECAST_TEXT_T.CONTAINS_ANY("Allow_list1")))" APPFW_BLOCK
Verwenden des Proxyservers:
Wenn die Citrix ADC Appliance keinen direkten Zugriff auf das Internet hat und mit einem Proxy verbunden ist, konfigurieren Sie den IP Reputation-Client so, dass er Anfragen an den Proxy sendet.
Geben Sie an der Eingabeaufforderung Folgendes ein:
set reputation settings –proxyServer <proxy server ip> -proxyPort <proxy server port>
Beispiel:
> set reputation settings proxyServer 10.102.30.112 proxyPort 3128
> set reputation settings –proxyServer testproxy.citrite.net –proxyPort 3128
> unset reputation settings –proxyserver –proxyport
> sh reputation settings
Hinweis:
Die Proxyserver-IP kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein.
Konfigurieren der IP-Reputation über die Citrix ADC GUI
- Navigieren Sie zu System > Einstellungen. Klicken Sie im Abschnitt Modi und Features auf den Link, um den Bereich Erweiterte Funktionen konfigurieren aufzurufen und das Kontrollkästchen Reputation zu aktivieren.
- Klicken Sie auf OK.
So konfigurieren Sie einen Proxyserver über die Citrix ADC GUI
- Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Reputation. Klicken Sie unter Einstellungenauf Reputationseinstellungen ändern, um einen Proxyserver zu konfigurieren. Sie können die Reputationsfunktion auch aktivieren oder deaktivieren. Proxyserver kann eine IP-Adresse oder ein vollqualifizierter Domänenname (FQDN) sein. Proxy-Port akzeptiert Werte zwischen[1–65535] .
Erstellen einer Zulassungsliste und einer Sperrliste von Client-IP-Adressen mit der GUI
- Navigieren Sie auf der Registerkarte Konfiguration zu AppExpert > Datensätze .
- Klicken Sie auf Hinzufügen.
- Geben Sie im Bereich Datensatz erstellen (oder Datensatz konfigurieren) einen aussagekräftigen Namen für die Liste der IP-Adressen an. Der Name muss den Zweck der Liste widerspiegeln.
- Wählen Sie Typ als IPv4 aus.
- Klicken Sie auf Einfügen, um einen Eintrag hinzuzufügen.
- Fügen Sie im Bereich Richtliniendatenmengenbindung konfigurieren eine IP-Adresse im IPv4-Format im Eingabefeld Wert hinzu.
- Geben Sie einen Index an.
- Fügen Sie einen Kommentar hinzu, der den Zweck der Liste erklärt. Dieser Schritt ist optional, wird jedoch empfohlen, da ein beschreibender Kommentar bei der Verwaltung der Liste hilfreich ist.
Auf ähnliche Weise können Sie eine Sperrliste erstellen und die IP-Adressen hinzufügen, die als bösartig angesehen werden sollen.
Weitere Informationenzur Verwendung von Datensätzen und zum Konfigurieren von Standardsyntax Richtlinienausdrücken finden Sie unter Mustersätze und Datensätze.
Konfigurieren einer Anwendungs-Firewall-Richtlinie über die Citrix ADC GUI
- Navigieren Sie auf der Registerkarte Konfiguration zu Sicherheit > Anwendungsfirewall > Richtlinien > Firewall . Klicken Sie auf Hinzufügen, um eine Richtlinie mit den PI-Ausdrücken zur Verwendung der IP-Reputation hinzuzufügen.
Sie können auch den Ausdruckseditor verwenden, um einen eigenen Richtlinienausdruck zu erstellen. Die Liste enthält vorkonfigurierte Optionen, die nützlich sind, um einen Ausdruck mithilfe der Bedrohungskategorien zu konfigurieren.
Highlights
- Stoppen Sie schnell und präzise schlechten Datenverkehr am Rande des Netzwerks von bekannten bösartigen IP-Adressen, die verschiedene Arten von Bedrohungen darstellen. Sie können die Anforderung blockieren, ohne den Körper zu analysieren.
- Konfigurieren Sie die IP-Reputationsfunktionalität dynamisch für mehrere Anwendungen.
- Schützen Sie Ihr Netzwerk vor Datenverletzungen ohne Leistungseinbußen, und konsolidieren Sie mit schnellen und einfachen Bereitstellungen den Schutz auf einer einzigen Services Fabric.
- Sie können IP-Reputationsprüfungen für Quell- und Ziel-IPs durchführen.
- Sie können die Header auch untersuchen, um bösartige IPs zu erkennen.
- Die IP-Reputationsprüfung wird sowohl in Forward-Proxy- als auch in Reverse-Proxy-Bereitstellungen unterstützt.
- Der IP-Reputation-Prozess stellt eine Verbindung mit Webroot her und aktualisiert die Datenbank alle 5 Minuten.
- Jeder Knoten in der Hochverfügbarkeits- oder Clusterbereitstellung erhält die Datenbank von Webroot.
- Die IP-Reputationsdaten werden für alle Partitionen in Bereitstellungen mit Administratorpartitionen freigegeben.
- Sie können einen AppExpert Datensatz verwenden, um Listen von IP-Adressen zu erstellen, um Ausnahmen für IP-Adressen hinzuzufügen, die in der Webroot-Datenbank blockiert sind. Sie können auch Ihre eigene angepasste Blockliste erstellen, um bestimmte IPs als bösartig zu kennzeichnen.
- Die Datei iprep.db wird im Ordner /var/nslog/iprep erstellt. Nach der Erstellung wird es nicht gelöscht, auch wenn das Feature deaktiviert ist.
- Wenn die Reputationsfunktion aktiviert ist, wird die Citrix ADC Webroot-Datenbank heruntergeladen. Danach wird es alle 5 Minuten aktualisiert.
- Die Hauptversion der Webroot Datenbank ist Version: 1.
- Die Nebenversion wird täglich aktualisiert. Die Update-Version wird alle 5 Minuten erhöht und auf 1 zurückgesetzt, wenn die Nebenversion erhöht wird.
- Mit PI-Ausdrücken können Sie die IP-Reputation mit anderen Funktionen wie Responder und Rewrite verwenden.
- Die IP-Adressen in der Datenbank befinden sich in Dezimalschreibweise.
Tipps zum Debuggen
- Wenn Sie die Reputationsfunktion in der GUI nicht sehen können, vergewissern Sie sich, dass Sie über die richtige Lizenz verfügen.
- Überwachen Sie die Meldungen in
var/log/iprep.log
zum Debuggen. -
Webroot-Konnektivität: Wenn die
ns iprep: Not able to connect/resolve WebRoot
Meldung angezeigt wird, stellen Sie sicher, dass die Appliance über Internetzugang verfügt und DNS konfiguriert ist. -
Proxyserver: Wenn die
ns iprep: iprep_curl_download: 88 curl_easy_perform failed. Error code: 5 Err msg:couldnt resolve proxy name
Meldung angezeigt wird, stellen Sie sicher, dass die Proxyserver-Konfiguration korrekt ist. - IP-Reputation-Funktion funktioniert nicht: Der IP-Reputation-Prozess dauert etwa fünf Minuten, bis er gestartet wird, nachdem Sie die Reputation-Funktion aktiviert haben. Die IP-Reputationsfunktion funktioniert möglicherweise für diese Dauer nicht.
- Download der Datenbank: Wenn der IP-DB-Daten-Download nach der Aktivierung der IP-Reputation-Funktion fehlschlägt, wird der folgende Fehler in den Protokollen angezeigt.
iprep: iprep_curl_download:86 curl_easy_perform failed. Error code:7 Err msg:Couldn't connect to server
Lösung: Zulassen Sie den ausgehenden Datenverkehr zu den folgenden URLs, oder konfigurieren Sie einen Proxy, um das Problem zu beheben.
localdb-ip-daily.brightcloud.com:443
localdb-ip-rtu.brightcloud.com:443
api.bcti.brightcloud.com:443
Teilen
Teilen
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.