Citrix Application Delivery Management-Service

Aktivieren der Datenerfassung für Citrix ADC Gateway-Appliances, die im Double-Hop-Modus bereitgestellt werden

Der Doppel-Hop-Modus von Citrix ADC Gateway bietet zusätzlichen Schutz für ein internes Organisationsnetzwerk, da ein Angreifer mehrere Sicherheitszonen oder Demilitarisierte Zonen (DMZ) durchdringen muss, um die Server im sicheren Netzwerk zu erreichen.

Als Administrator können Sie mit Citrix ADM Folgendes analysieren:

  • Die Anzahl der Hops (Citrix ADC Gateway-Appliances), über die die ICA-Verbindungen laufen

  • Die Details über die Latenz bei jeder TCP-Verbindung und wie sie sich gegen die vom Client wahrgenommene Gesamt-ICA-Latenz auswirkt

Die folgende Abbildung zeigt, dass Citrix ADM und Citrix ADC Gateway in der ersten DMZ im selben Subnetz bereitgestellt werden.

Double-Hop

Das Citrix ADC Gateway in der ersten DMZ verarbeitet Benutzerverbindungen und führt die Sicherheitsfunktionen eines SSL-VPN aus. Dieses Citrix ADC Gateway verschlüsselt Benutzerverbindungen, bestimmt, wie die Benutzer authentifiziert werden, und steuert den Zugriff auf die Server im internen Netzwerk.

Das Citrix ADC Gateway in der zweiten DMZ dient als Citrix ADC Gateway-Proxygerät. Mit diesem Citrix ADC Gateway kann der ICA-Datenverkehr die zweite DMZ durchlaufen, um Benutzerverbindungen mit der Serverfarm abzuschließen.

Das Citrix ADM kann entweder im Subnetz bereitgestellt werden, das zur Citrix ADC Gateway-Appliance in der ersten DMZ gehört, oder im Subnetz, das zur zweiten DMZ der Citrix ADC Gateway-Appliance gehört.

Im Double-Hop-Modus sammelt Citrix ADM TCP-Datensätze von einer Appliance und ICA-Einträge von der anderen Appliance. Nachdem Sie die Citrix ADC Gateway-Appliances zum Citrix ADM-Bestand hinzugefügt und die Datenerfassung aktiviert haben, exportiert jede Appliance die Berichte, indem sie die Hop-Anzahl und die Verbindungsketten-ID verfolgt.

Damit Citrix ADM identifiziert, welche Appliance Datensätze exportiert, wird jede Appliance mit einer Hop-Anzahl angegeben, und jede Verbindung wird mit einer Verbindungsketten-ID angegeben. Die Anzahl der Hop stellt die Anzahl der Citrix ADC Gateway-Appliances dar, über die der Datenverkehr von einem Client zu den Servern fließt. Die Verbindungsketten-ID stellt die End- zu-Endverbindungen zwischen Client und Server dar.

Citrix ADM verwendet die Hop-Anzahl und die Verbindungsketten-ID, um die Daten der Citrix ADC Gateway-Appliances miteinander zu verknüpfen und die Berichte zu generieren.

Um Citrix ADC Gateway-Appliances zu überwachen, die in diesem Modus bereitgestellt werden, müssen Sie zuerst das Citrix ADC Gateway dem Citrix ADM-Bestand hinzufügen, AppFlow auf Citrix ADM aktivieren und dann die Berichte auf dem Citrix ADM Dashboard anzeigen.

Aktivieren der Datenerfassung auf Citrix ADM

Wenn Sie Citrix ADM aktivieren, um die ICA-Details von beiden Appliances zu erfassen, sind die erfassten Details redundant. Um diese Situation zu überwinden, müssen Sie AppFlow für ICA auf der ersten Citrix ADC Gateway-Appliance aktivieren und dann AppFlow für TCP auf der zweiten Appliance aktivieren. Auf diese Weise exportiert eine der Appliances ICA-AppFlow Datensätze, und die andere Appliance exportiert TCP-AppFlow-Datensätze. Dies spart auch die Verarbeitungszeit beim Analysieren des ICA-Datenverkehrs.

So aktivieren Sie die AppFlow Funktion von Citrix ADM:

  1. Navigieren Sie zu Infrastruktur > Instanzen, und wählen Sie die Citrix ADC-Instanz aus, die Sie die Analyse aktivieren möchten.

  2. Wählen Sie in der Liste Aktion die Option Insight aktivieren/deaktivierenaus.

  3. Wählen Sie die virtuellen VPN-Server aus, und klicken Sie auf AppFlow aktivieren.

  4. Geben Sie im Feld AppFlow aktivieren den Wert true ein, und wählen Sie ICA/TCP für ICA-Datenverkehr bzw. TCP-Datenverkehr aus.

    Hinweis:

    Wenn die AppFlow Protokollierung für die entsprechenden Dienste oder Dienstgruppen auf der Citrix ADC Appliance nicht aktiviert ist, werden die Datensätze im Citrix ADM Dashboard nicht angezeigt, selbst wenn in der Spalte Insight Aktiviert angezeigt wird.

  5. Klicken Sie auf OK.

    Double-Hop

Konfigurieren von Citrix ADC Gateway-Geräten zum Exportieren von Daten

Nachdem Sie die Citrix ADC Gateway Appliances installiert haben, müssen Sie die folgenden Einstellungen auf den Citrix ADC-Gateway-Appliances konfigurieren, um die Berichte in Citrix ADM zu exportieren:

  • Konfigurieren Sie virtuelle Server der Citrix ADC Gateway-Appliances in der ersten und zweiten DMZ für die Kommunikation miteinander.

  • Binden Sie den virtuellen Citrix ADC Gateway-Server in der zweiten DMZ an den virtuellen Citrix ADC Gateway-Server in der ersten DMZ.

  • Aktivieren Sie den Doppel-Hop auf dem Citrix ADC Gateway in der zweiten DMZ.

  • Deaktivieren Sie die Authentifizierung auf dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.

  • Aktivieren einer der Citrix ADC Gateway-Appliances zum Exportieren von ICA-Datensätzen

  • Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von TCP-Datensätzen:

  • Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances.

Konfigurieren Sie Citrix ADC Gateway mit der Befehlszeilenschnittstelle:

  1. Konfigurieren Sie den virtuellen Citrix ADC Gateway-Server in der ersten DMZ für die Kommunikation mit dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON|OFF)] [-imgGifToPng] …

    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. Binden Sie den virtuellen Citrix ADC Gateway-Server in der zweiten DMZ an den virtuellen Citrix ADC Gateway-Server in der ersten DMZ. Führen Sie den folgenden Befehl auf dem Citrix ADC Gateway in der ersten DMZ aus:

    bind vpn vserver <name> -nextHopServer <name>

    bind vpn vserver vs1 -nextHopServer nh1
    
  3. Aktivieren Sie Double Hop und AppFlow auf dem Citrix ADC Gateway in der zweiten DMZ.

    set vpn vserver <name> [- doubleHop ( ENABLED |DISABLED )] [- appflowLog ( ENABLED |DISABLED )]

    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. Deaktivieren Sie die Authentifizierung auf dem virtuellen Citrix ADC Gateway-Server in der zweiten DMZ.

    set vpn vserver<name> [-authentication (ON|OFF)]

    set vpn vserver vs -authentication OFF
    
  5. Aktivieren Sie eine der Citrix ADC Gateway-Appliances zum Exportieren von TCP-Datensätzen.

    bind vpn vserver<name> [-policy **<string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von ICA-Datensätzen:

    bind vpn vserver<name> [-policy **<string> **-priority **<positive_integer>] [-type **<type>]

    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances:

    set appFlow param [-connectionChaining (ENABLED DISABLED)]
    set appflow param -connectionChaining ENABLED
    

Konfigurieren von Citrix ADC Gateway mithilfe des Konfigurationsdienstprogramms:

  1. Konfigurieren Sie das Citrix ADC Gateway in der ersten DMZ für die Kommunikation mit dem Citrix ADC Gateway in der zweiten DMZ und binden Sie das Citrix ADC-Gateway in der zweiten DMZ an das Citrix ADC-Gateway in der ersten DMZ.

    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway, und klicken Sie auf Virtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Published Applications.

    3. Klicken Sie auf Next Hop Server und binden Sie einen nächsten Hop-Server an das zweite Citrix ADC Gateway-Gerät.

  2. Aktivieren Sie den Doppel-Hop auf dem Citrix ADC Gateway in der zweiten DMZ.

    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway, und klicken Sie auf Virtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Grundeinstellungen auf das Symbol “Bearbeiten”.

    3. Erweitern Sie Mehr, wählen Sie Double Hop und klicken Sie auf OK.

  3. Deaktivieren Sie die Authentifizierung auf dem virtuellen Server auf dem Citrix ADC Gateway in der zweiten DMZ.

    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway, und klicken Sie auf Virtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server und klicken Sie in der Gruppe Grundeinstellungen auf das Symbol “Bearbeiten”.

    3. Erweitern Sie Mehrund deaktivieren Sie Authentifizierung aktivieren.

  4. Aktivieren Sie eine der Citrix ADC Gateway-Appliances zum Exportieren von TCP-Datensätzen.

    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway, und klicken Sie auf Virtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.

    3. Klicken Sie auf das Symbol + und wählen Sie in der Liste Choose policy die Option AppFlow aus und wählen Sie in der Liste Typ auswählen die Option Andere TCP-Anforderungaus.

    4. Klicken Sie auf Weiter.

    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.

  5. Aktivieren Sie die andere Citrix ADC Gateway-Appliance zum Exportieren von ICA-Datensätzen:

    1. Erweitern Sie auf der Registerkarte Konfiguration die Option Citrix ADC Gateway, und klicken Sie auf Virtuelle Server.

    2. Doppelklicken Sie im rechten Bereich auf den virtuellen Server, und erweitern Sie in der Gruppe Erweitert die Option Richtlinien.

    3. Klicken Sie auf das Symbol + und wählen Sie in der Liste Choose policy die Option AppFlow aus und wählen Sie in der Liste Typ auswählen die Option Andere TCP-Anforderungaus.

    4. Klicken Sie auf Weiter.

    5. Fügen Sie eine Richtlinienbindung hinzu, und klicken Sie auf Schließen.

  6. Aktivieren Sie die Verbindungsverkettung auf beiden Citrix ADC Gateway-Appliances.

    1. Navigieren Sie auf der Registerkarte Konfiguration zu System > Appflow.

    2. Klicken Sie im rechten Bereich in der Gruppe Einstellungen auf Appflow-Einstellungen ändern.

    3. Wählen Sie Verbindungsverkettung aus, und klicken Sie auf OK.

Aktivieren der Datenerfassung für Citrix ADC Gateway-Appliances, die im Double-Hop-Modus bereitgestellt werden