Citrix Gateway

Erstellen von VPN-Richtlinien über erweiterte Richtlinien

Classic Policy Engine (PE) und Advance Policy Infrastructure (PI) sind zwei verschiedene Frameworks für die Richtlinienkonfiguration und -bewertung, die Citrix ADC derzeit unterstützt.

Advance Policy Infrastructure besteht aus einer leistungsstarken Ausdruck Die Ausdruckssprache kann verwendet werden, um Regeln in Richtlinien zu definieren, verschiedene Teile von Action zu definieren und andere unterstützte Entitäten zu definieren. Die Ausdruckssprache kann jeden Teil der Anfrage oder Antwort analysieren und ermöglicht es Ihnen auch, die Header und die Nutzdaten genau zu durchsehen. Dieselbe Ausdruckssprache wird erweitert und funktioniert durch jedes logische Modul, das Citrix ADC unterstützt.

Hinweis: Sie werden aufgefordert, erweiterte Richtlinien zum Erstellen von Richtlinien zu verwenden.

Warum von Classic Policy zu Advance Policy migrieren?

Advanced Policy hat einen umfangreichen Ausdruckssatz und bietet eine viel größere Flexibilität als Classic Policy. Da Citrix ADC skaliert und für eine Vielzahl von Clients geeignet ist, ist es unerlässlich, Ausdrücke zu unterstützen, die die erweiterten Richtlinien bei weitem übertreffen. Weitere Informationen finden Sie unter Richtlinien und Ausdrücke.

Im Folgenden sind die zusätzlichen Funktionen für Advance-Richtlinien aufgeführt.

  • Möglichkeit, auf den Hauptteil der Nachrichten zuzugreifen.
  • Unterstützt viele andere Protokolle.
  • Greift auf viele andere Funktionen des Systems zu.
  • Hat mehr Grundfunktionen, Operatoren und Datentypen.
  • Erreicht das Parsen von HTML-, JSON- und XML-Dateien.
  • Erleichtert den schnellen parallelen Mehrsaiten-Abgleich (patsetsusw.).

Jetzt können die folgenden VPN-Richtlinien mithilfe von Advance Policy konfiguriert werden.

  • Sitzungsrichtlinie
  • Autorisierungsrichtlinie
  • Traffic Richtlinie
  • Tunnel-Richtlinie
  • Audit-Richtlinie

Außerdem kann Endpunktanalyse (EPA) als nFactor für die Authentifizierungsfunktion konfiguriert werden. EPA wird als Gatekeeper für Endpunktgeräte verwendet, die versuchen, eine Verbindung zum Gateway-Gerät herzustellen. Bevor die Gateway-Anmeldeseite auf einem Endpunktgerät angezeigt wird, wird das Gerät abhängig von den vom Gateway-Administrator konfigurierten Berechtigungskriterien auf minimale Hardware- und Softwareanforderungen überprüft. Der Zugriff auf das Gateway wird basierend auf dem Ergebnis der durchgeführten Überprüfungen gewährt. Zuvor wurde EPA als Teil der Sitzungsrichtlinie konfiguriert. Jetzt kann es mit nFactor verknüpft werden, was mehr Flexibilität bietet, wann es durchgeführt werden kann. Weitere Informationen zu EPA finden Sie unter Funktionsweise von Endpunkt-Richtlinien . Weitere Informationen zu nFactor finden Sie unter Thema nFactor-Authentifizierung .

Anwendungsfälle:

Vorauthentifizierung EPA mit Advanced EPA

Der EPA-Scan vor der Authentifizierung erfolgt, bevor ein Benutzer die Anmeldeinformationen bereitstellt. Informationen zur Konfiguration von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scan vor der Authentifizierung als einem der Authentifizierungsfaktoren finden Sie im Thema CTX224268 .

Nach der Authentifizierung EPA mit Advanced EPA

Der EPA-Scan nach der Authentifizierung erfolgt, nachdem die Benutzeranmeldeinformationen überprüft wurden. Unter der klassischen Richtlinieninfrastruktur wurde EPA nach der Authentifizierung als Teil der Sitzungsrichtlinie oder Sitzungsaktion konfiguriert. Unter der erweiterten Richtlinieninfrastruktur soll der EPA-Scan als EPA-Faktor bei der nFactor-Authentifizierung konfiguriert werden. Informationen zur Konfiguration von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scan nach der Authentifizierung als einem der Authentifizierungsfaktoren finden Sie im Thema CTX224303 .

Vor- und Nachauthentifizierung EPA mithilfe erweiterter Richtlinien

EPA kann vor der Authentifizierung und nach der Authentifizierung durchgeführt werden. Informationen zur Konfiguration von Citrix Gateway für die nFactor-Authentifizierung mit EPA-Scans vor und nach der Authentifizierung finden Sie unter CTX231362 Thema.

Periodischer EPA-Scan als Faktor bei der nFactor-Authentifizierung

Unter der klassischen Richtlinieninfrastruktur wurde der regelmäßige EPA-Scan als Teil der Sitzungsrichtlinienaktion konfiguriert. Unter der erweiterten Richtlinieninfrastruktur kann es als Teil des EPA-Faktors bei der nFactor-Authentifizierung konfiguriert werden.

Weitere Informationen zum Konfigurieren des periodischen EPA-Scans als Faktor bei der nFactor-Authentifizierung erhalten Sie, indem Sie aufCTX231361 Thema klicken.

Problembehandlung:

Die folgenden Punkte sind bei der Fehlerbehebung zu beachten.

  • Klassische und Advance-Richtlinien desselben Typs (z. B. Sitzungsrichtlinie) können nicht an dieselbe Entität/denselben Bindungspunkt gebunden werden.
  • Priorität ist für alle PI-Richtlinien obligatorisch.
  • Die Vorab-Richtlinie für das VPN kann an alle Bindungspunkte gebunden werden.
  • Advance Policy mit derselben Priorität kann an einen einzigen Bindepunkt gebunden werden.
  • Wenn keine der konfigurierten Autorisierungsrichtlinien ausgewählt wird, wird die im VPN-Parameter konfigurierte globale Autorisierungsaktion angewendet.
  • In der Autorisierungsrichtlinie wird die Autorisierungsaktion nicht rückgängig gemacht, wenn die Autorisierungsregel fehlschlägt.

Häufig verwendete äquivalente Ausdrücke für erweiterte Richtlinien für klassische Richtlinien:

Klassische Richtlinienausdrücke Erweiterte Richtlinienausdrücke
ns_true true
ns_false false
REQ.HTTP HTTP.REQ
RES.HTTP HTTP.RES
HEADER “foo” HEADER(“foo”)
CONTAINS “bar” .CONTAINS(“bar”) [Note use of “..”]
REQ.IP CLIENT.IP
RES.IP SERVER.IP
SOURCEIP SRC
DESTIP DST
REQ.TCP CLIENT.TCP
RES.TCP SERVER.TCP
SOURCEPORT SRCPORT
DESTPORT DSTPORT
STATUSCODE STATUS
REQ.SSL.CLIENT.CERT CLIENT.SSL.CLIENT_CERT