Citrix Gateway 13.0

Verwenden von Advance Policy zum Erstellen von VPN-Richtlinien

Classic Policy Engine (PE) und Advance Policy Infrastructure (PI) sind zwei verschiedene Frameworks, die Citrix ADC derzeit unterstützt.

Advance Policy Infrastructure besteht aus extrem leistungsstarken Ausdruckssprache. Die Ausdruckssprache kann verwendet werden, um Regeln in Richtlinie zu definieren, verschiedene Teile von Aktion zu definieren und andere unterstützte Entitäten zu definieren. Die Ausdruckssprache kann durch einen beliebigen Teil der Anfrage oder Antwort analysieren und ermöglicht Ihnen auch, tief durch die Header und Payload zu schauen. Die gleiche Ausdruckssprache erweitert und funktioniert durch jedes logische Modul, das Citrix ADC unterstützt.

Hinweis: Sie werden aufgefordert, erweiterte Richtlinien zum Erstellen von Richtlinien zu verwenden.

Warum von der klassischen Richtlinie zu Advance Policy migrieren?

Die erweiterte Richtlinie verfügt über einen umfangreichen Ausdruck und bietet viel mehr Flexibilität als die klassische Richtlinie. Da Citrix ADC eine Vielzahl von Clients skaliert und gerecht wird, ist es zwingend erforderlich, Ausdrücke zu unterstützen, die die erweiterten Richtlinien deutlich übertreffen. Weitere Informationen finden Sie unter Richtlinien und Ausdrücke.

Im Folgenden sind die zusätzlichen Funktionen für Advance Policy.

  • Möglichkeit, auf den Hauptteil der Nachrichten zuzugreifen.
  • Unterstützt viele zusätzliche Protokolle.
  • Greifen auf viele zusätzliche Funktionen des Systems zu.
  • Hat mehr Anzahl von grundlegenden Funktionen, Operatoren und Datentypen.
  • Erfolgt die Analyse von HTML-, JSON- und XML-Dateien.
  • Ermöglicht schnelles paralleles Mehlen-Matching (Patsets usw.).

Jetzt können die folgenden VPN-Richtlinien mit Advance Policy konfiguriert werden.

  • Sitzungsrichtlinie
  • Autorisierungsrichtlinie
  • Verkehrsrichtlinie
  • Tunnelrichtlinie
  • Überwachungsrichtlinie

Außerdem kann Endpunktanalyse (EPA) als nFactor für die Authentifizierungsfunktion konfiguriert werden. EPA wird als Gatekeeper für Endpoint-Geräte verwendet, die versuchen, eine Verbindung mit der Gateway-Appliance herzustellen. Bevor die Gateway-Anmeldeseite auf einem Endgerät angezeigt wird, wird das Gerät je nach den vom Gateway-Administrator konfigurierten Berechtigungskriterien auf minimale Hardware- und Softwareanforderungen überprüft. Der Zugriff auf Gateway wird basierend auf den Ergebnissen der durchgeführten Prüfungen gewährt. Zuvor wurde EPA als Teil der Sitzungsrichtlinie konfiguriert. Jetzt kann es mit nFactor verknüpft werden, was mehr Flexibilität bietet, wenn es ausgeführt werden kann. Weitere Informationen zu EPA finden Sie unter Funktionsweise von Endpunktrichtlinien. Weitere Informationen zu nFactor finden Sie unter NFaktor-Authentifizierung.

Anwendungsfälle:

EPA vor der Authentifizierung mit Advanced EPA

Vor der Authentifizierung erfolgt die EPA-Scan, bevor der Benutzer die Anmeldeinformationen zur Verfügung stellt. Informationen zum Konfigurieren von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scan vor der Authentifizierung als einer der Authentifizierungsfaktoren finden Sie unter CTX224268.

EPA nach der Auth mit Advanced EPA

Der EPA-Scan nach der Authentifizierung erfolgt nach der Überprüfung der Benutzeranmeldeinformationen. Unter der klassischen Richtlinieninfrastruktur wurde EPA nach der Authentifizierung als Teil der Sitzungsrichtlinie oder der Sitzungsaktion konfiguriert. Unter Erweiterte Richtlinien-Infrastruktur soll der EPA-Scan als EPA-Faktor in der n-Faktor-Authentifizierung konfiguriert werden. Informationen zum Konfigurieren von Citrix Gateway für die n-Faktor-Authentifizierung mit EPA-Scan nach der Authentifizierung als einer der Authentifizierungsfaktoren finden Sie unter CTX224303.

EPA vor der Authentifizierung und nach der Authentifizierung mit erweiterten Richtlinien

EPA kann vor der Authentifizierung und nach der Authentifizierung durchgeführt werden. Informationen zum Konfigurieren von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scans vor der Authentifizierung und nach der Authentifizierung finden Sie unter CTX231362.

Periodischer EPA-Scan als Faktor bei der nFactor-Authentifizierung

Unter Klassische Richtlinien-Infrastruktur wurde der periodische EPA-Scan als Teil der Sitzung Richtlinienaktion konfiguriert. Unter der erweiterten Richtlinieninfrastruktur kann es als Teil des EPA-Faktors in der n-Faktor-Authentifizierung konfiguriert werden.

Weitere Informationen zum Konfigurieren des periodischen EPA-Scans als Faktor in der nFactor-Authentifizierung erhalten Sie, indem Sie auf CTX231361 klicken.

Fehlerbehebung:

Für die Fehlerbehebung sind folgende Punkte zu beachten.

  • Klassische und Advance-Richtlinien desselben Typs (z. B. Sitzungsrichtlinie) können nicht an denselben Entity/Bindpoint gebunden werden.
  • Die Priorität ist für alle PI-Richtlinien obligatorisch.
  • Advance Policy für VPN kann an alle Bindpoints gebunden werden.
  • Advance Policy mit derselben Priorität kann an einen einzelnen Bindpoint gebunden werden.
  • Wenn keine der konfigurierten Autorisierungsrichtlinien getroffen wird, wird die im VPN-Parameter konfigurierte globale Autorisierungsaktion angewendet.
  • In der Autorisierungsrichtlinie wird die Autorisierungsaktion nicht rückgängig gemacht, wenn die Autorisierungsregel fehlschlägt.

Häufig verwendete erweiterte Richtlinienäquivalente Ausdrücke für klassische Richtlinien:

Klassische Richtlinienausdrücke Erweitert Richtlinienausdrücke
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS “bar” .CONTAINS(“bar”) [Beachten Sie die Verwendung von “.”.]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT
Verwenden von Advance Policy zum Erstellen von VPN-Richtlinien