Aktivieren der Datenerfassung für Citrix ADC Gateway-Appliances, die im Double-Hop-Modus bereitgestellt werden

Der Citrix ADC Gateway-Doppelhop-Modus bietet zusätzlichen Schutz für das interne Netzwerk einer Organisation, da ein Angreifer mehrere Sicherheitszonen oder DMZ (Demilitarized Zones) durchdringen müsste, um die Server im sicheren Netzwerk zu erreichen. Wenn Sie die Anzahl der Hops (Citrix ADC Gateway-Appliances) analysieren möchten, über die die ICA-Verbindungen bestehen, sowie die Details zur Latenz jeder TCP-Verbindung und deren Auswirkung auf die vom Client wahrgenommene ICA-Latenz müssen Sie Citrix Application Delivery Management (ADM) installieren, damit, dass die Citrix ADC Gateway-Appliances diese wichtigen Statistiken melden.

Abbildung 3. Citrix ADM im Double-Hop-Modus bereitgestellt

lokalisiertes Bild

Das Citrix ADC Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses Citrix ADC Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie die Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.

Das Citrix ADC Gateway in der zweiten DMZ dient als Citrix ADC Gateway-Proxygerät. Mit diesem Citrix ADC Gateway kann der ICA-Datenverkehr die zweite DMZ durchlaufen, um Benutzerverbindungen mit der Serverfarm abzuschließen.

Das Citrix ADM kann entweder im Subnetz bereitgestellt werden, das zur Citrix ADC Gateway-Appliance in der ersten DMZ gehört, oder im Subnetz, das zur zweiten DMZ der Citrix ADC Gateway-Appliance gehört. Im obigen Bild werden Citrix ADM und Citrix ADC Gateway in der ersten DMZ im selben Subnetz bereitgestellt.

Im Double-Hop-Modus sammelt Citrix ADM TCP-Datensätze von einer Appliance und ICA-Einträge von der anderen Appliance. Nachdem Sie die Citrix ADC Gateway-Appliances zur Citrix ADM Bestandsliste hinzugefügt und die Datenerfassung aktiviert haben, exportieren alle Appliances die Berichte, indem Sie die Anzahl der Hop und die Verbindungsketten-ID verfolgen.

Damit Citrix ADM identifiziert, welche Appliance Datensätze exportiert, wird jede Appliance mit einer Hop-Anzahl angegeben, und jede Verbindung wird mit einer Verbindungsketten-ID angegeben. Die Anzahl der Hop stellt die Anzahl der Citrix ADC Gateway-Appliances dar, über die der Datenverkehr von einem Client zu den Servern fließt. Die Verbindungsketten-ID stellt die End- zu-Endverbindungen zwischen Client und Server dar.

Citrix ADM verwendet die Hop-Anzahl und die Verbindungsketten-ID, um die Daten der Citrix ADC Gateway-Appliances miteinander zu verknüpfen und die Berichte zu generieren.

Um die in diesem Modus bereitgestellten Citrix ADC Gateway-Appliances zu überwachen, müssen Sie zuerst Citrix ADC Gateway zur Citrix ADM Bestandsliste hinzufügen, AppFlow auf Citrix ADM aktivieren und dann die Berichte im Citrix ADM-Dashboard anzeigen.

Aktivieren der Datenerfassung auf Citrix ADM

Wenn Sie Citrix ADM aktivieren, um die ICA-Details von beiden Appliances zu erfassen, sind die erfassten Details redundant. Das ist, dass beide Appliances die gleichen Metriken melden. Um diese Situation zu beheben, müssen Sie AppFlow für ICA auf einer der ersten Citrix ADC Gateway-Appliance aktivieren und dann AppFlow für TCP auf der zweiten Appliance aktivieren. Dadurch exportiert eine der Appliances ICA AppFlow Datensätze, und die andere Appliance exportiert TCP-AppFlow-Datensätze. Dies spart auch die Verarbeitungszeit beim Analysieren des ICA-Datenverkehrs.

So aktivieren Sie die AppFlow Funktion von Citrix ADM:

  1. Geben Sie in einem Webbrowser die IP-Adresse des Citrix Application Delivery Management (ADM) ein (z. B.http://192.168.100.1).

  2. Geben Sie unter Benutzername und Kennwort die Administratoranmeldeinformationen ein.

  3. Navigieren Sie zu Infrastruktur > Instances, und wählen Sie die Citrix ADC Instanz aus, die Sie die Analyse aktivieren möchten.

  4. Wählen Sie im Drop-down-Menü Aktion die Option Insight aktivieren/deaktivieren aus.

  5. Wählen Sie die virtuellen VPN-Server aus, und klicken Sie auf AppFlow aktivieren.

  6. Geben Sie im Feld AppFlow aktivieren den Wert true ein, und wählen Sie ICA/TCP für ICA-Datenverkehr bzw. TCP-Datenverkehr aus.

    Hinweis:

    Wenn die AppFlow Protokollierung für die entsprechenden Dienste oder Dienstgruppen auf der Citrix ADC Appliance nicht aktiviert ist, werden die Datensätze im Citrix ADM Dashboard nicht angezeigt, selbst wenn in der Spalte Insight Aktiviert angezeigt wird.

  7. Klicken Sie auf OK.

    lokalisiertes Bild

Konfigurieren von Citrix ADC Gateway-Appliances zum Exportieren von Daten

Nachdem Sie die Citrix ADC Gateway Appliances installiert haben, müssen Sie die folgenden Einstellungen auf den Citrix ADC-Gateway-Appliances konfigurieren, um die Berichte in Citrix ADM zu exportieren:

  • Konfigurieren Sie virtuelle Server der Citrix ADC Gateway-Appliances in der ersten und zweiten DMZ für die Kommunikation miteinander.
  • Binden Sie den virtuellen Citrix ADC Gateway-Server in der zweiten DMZ an den virtuellen Citrix ADC Gateway-Server in der ersten DMZ.
  • Aktivieren Sie den Doppel-Hop auf dem Citrix ADC Gateway in der zweiten DMZ.
  • Deaktivieren Sie die Authentifizierung auf dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.
  • Aktivieren einer der Citrix ADC Gateway-Appliances zum Exportieren von ICA-Datensätzen
  • Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von TCP-Datensätzen:
  • Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances.

Konfigurieren von Citrix ADC Gateway über die Befehlszeilenschnittstelle:

  1. Konfigurieren Sie den virtuellen Citrix ADC Gateway-Server in der ersten DMZ für die Kommunikation mit dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. Binden Sie den virtuellen Citrix ADC Gateway-Server in der zweiten DMZ an den virtuellen Citrix ADC Gateway-Server in der ersten DMZ. Führen Sie den folgenden Befehl auf dem Citrix ADC Gateway in der ersten DMZ aus:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. Aktivieren Sie Double Hop und AppFlow auf dem Citrix ADC Gateway in der zweiten DMZ.

    set vpn vserver <name> [- doubleHop** ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. Deaktivieren Sie die Authentifizierung auf dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.

    set vpn vserver <name> [-authentication (ON|AUS)]

    set vpn vserver vs -authentication OFF
    
  5. Aktivieren Sie eine der Citrix ADC Gateway-Appliances zum Exportieren von TCP-Datensätzen.

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von ICA-Datensätzen:

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

Konfigurieren von Citrix ADC Gateway mit dem Konfigurationsdienstprogramms:

  1. Konfigurieren Sie das Citrix ADC Gateway in der ersten DMZ für die Kommunikation mit dem Citrix ADC Gateway in der zweiten DMZ und binden Sie das Citrix ADC-Gateway in der zweiten DMZ an das Citrix ADC-Gateway in der ersten DMZ.
    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway und klicken Sie auf Virtuelle Server.
    2. Doppelklicken Sie im rechten Fensterbereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert Veröffentlichte Anwendungen.
    3. Klicken Sie auf **Next Hop Server, **und binden Sie einen Next Hop Server an die zweite Citrix ADC Gateway-Appliance.
  2. Aktivieren Sie den Doppel-Hop auf dem Citrix ADC Gateway in der zweiten DMZ.
    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway und klicken Sie auf Virtuelle Server.
    2. Doppelklicken Sie im rechten Fensterbereich auf den virtuellen Server, und klicken Sie in der Gruppe Grundeinstellungen auf das Symbol Bearbeiten.
    3. Erweitern Sie Mehr, wählen Sie Double Hop und klicken Sie auf OK.
  3. Deaktivieren Sie die Authentifizierung auf dem virtuellen Server auf dem Citrix ADC Gateway in der zweiten DMZ.
    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway und klicken Sie auf Virtuelle Server.
    2. Doppelklicken Sie im rechten Fensterbereich auf den virtuellen Server, und klicken Sie in der Gruppe Grundeinstellungen auf das Symbol Bearbeiten.
    3. Erweitern Sie Mehr, und deaktivieren Sie die Option Authentifizierung aktivieren.
  4. Aktivieren Sie eine der Citrix ADC Gateway-Appliance, um TCP-Datensätze zu exportieren.
    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway und klicken Sie auf Virtuelle Server.
    2. Doppelklicken Sie im rechten Fensterbereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert Richtlinien.
    3. Klicken Sie auf das Symbol +, und wählen Sie in der Dropdownliste Richtlinie auswählen AppFlow aus, und wählen Sie in der Dropdownliste Typ auswählen die Option Andere TCP-Anforderung aus.
    4. Klicken Sie auf Weiter.
    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.
  5. Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von ICA-Datensätzen:
    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway und klicken Sie auf Virtuelle Server.
    2. Doppelklicken Sie im rechten Fensterbereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.
    3. Klicken Sie auf das Symbol +, und wählen Sie in der Dropdownliste Richtlinie auswählen die Option AppFlow aus, und wählen Sie in der Dropdownliste Typ auswählen die Option Andere TCP-Anforderung aus.
    4. Klicken Sie auf Weiter.
    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.
  6. Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances.
    1. Navigieren Sie auf der Registerkarte Konfiguration zu System > Appflow.
    2. Klicken Sie im rechten Fensterbereich in der Gruppe Einstellungen auf Appflow-Einstellungen ändern.
    3. Wählen Sie Verbindungsverkettung aus, und klicken Sie auf OK.

Aktivieren der Datenerfassung für Citrix ADC Gateway-Appliances, die im Double-Hop-Modus bereitgestellt werden